Является ли непривилегированный LXC, в котором сам пользователь хоста, сопоставлен с 0, менее защищен, чем один, где один из его subids сопоставлен с 0, и почему?


1

Вместо того, чтобы создавать «общие» непривилегированные контейнеры LXC, в которых все пользователи сопоставлены с (непривилегированным) subuid / gid моего хост-пользователя, я рассматриваю сопоставление, при котором сам мой хост-пользователь будет сопоставлен с пользователем 0 (root). Это были бы очень тонкие контейнеры для одного приложения.

Причина в том, что таким образом мне не нужно, чтобы поддерево каталога rootfs, которое находится в доме моего пользователя, было пространством имен chmod для другого пользователя, и я могу удалить его с простым rm вместо пространства имен.

Является ли этот вид LXC менее безопасным, чем «обычный», и почему? Что может случиться?

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.