Eu criei um bootstrap do Ubuntu 16.04 (via debootstrap ) para ser executado via systemd-nspawn (também no 16.04). Quando iniciado por
# systemd-nspawn -D <mycontainer>
Eu obtenho um sistema totalmente funcional e funcionando corretamente.
Gostaria de descartar seus privilégios por meio da opção --private-users . A página man afirma que
Note that user namespacing currently requires OS trees that are prepared for the UID shift that is being applied: UIDs and GIDs used for file ownership or in file ACL entries must be shifted to the container UID base that is used during container runtime.
Como exatamente isso deve ser feito, em relação ao intervalo UID usado pelo contêiner?
Como uma nota lateral, notei que o 16.04 (que vem com systemd versão 229) não possui alguns switches provavelmente úteis descritos no documento oficial : --private-users-chown , -U e --private-users=pick .
O problema foi resolvido na versão 230 - meus contêineres existentes foram movidos automaticamente para uma versão não privilegiada após o upgrade.
Agora, os processos do contêiner, como visto no host, são executados com um usuário não privilegiado.