É um LXC não privilegiado onde o próprio usuário do host é mapeado para 0 menos seguro de um em que um de seus subids é mapeado para 0 e por quê?

1

Em vez de criar contêineres "comuns" não-privilegiados do LXC, onde todos os usuários são mapeados para (não privilegiados) subuid / gid do meu host, estou considerando um mapeamento onde meu próprio usuário hospedeiro será mapeado para o usuário 0 (root) . Eles seriam contêineres de aplicativo único muito finos.

A razão é que desta forma eu não preciso da subárvore do diretório rootfs, que reside na casa do meu usuário, para ser namespace-chmod para um usuário diferente e eu posso deletá-lo com um rm simples em vez de um namespace .

Este tipo de LXC é menos seguro do que o "comum", e por que é? O que poderia acontecer?

    
por circlespainter 30.09.2015 / 10:29

0 respostas