我不是創建“通用”LXC 非特權容器,其中所有用戶都映射到我的主機用戶的(非特權)subuid/gid,而是考慮將我的主機用戶本身映射到用戶 0(root)的映射。它們將是非常纖薄的單一應用程式容器。
原因是,透過這種方式,我不需要駐留在使用者家中的 rootfs 目錄子樹對不同使用者進行命名空間 chmod,並且我可以使用普通 rm 而不是命名空間來刪除它。
這種 LXC 是否比「普通」的 LXC 安全性較低,為什麼?會發生什麼事?
主機使用者本身對應到 0 的非特權 LXC 是否比其子使用者之一映射到 0 的 LXC 更不安全,為什麼?