什么是非特权 LXC 容器？

Question 1

非特权 LXC 容器是那些利用用户命名空间（用户名）。即允许将主机上的一系列 UID 映射到命名空间的内核功能里面其中UID为0的用户可以再次存在。

与我最初对非特权 LXC 容器的看法相反，这并不意味着容器必须由非特权主机用户拥有。这只是一种可能。

由 root 拥有和运行的非特权容器

把它再擦一遍。非特权 LXC 来宾不需要由主机上的非特权用户运行。

使用从属 UID/GID 映射配置容器，如下所示：

lxc.id_map = u 0 100000 100000
lxc.id_map = g 0 100000 100000

root如果主机上的用户拥有给定的从属 ID 范围，则可以让您更好地限制来宾。

然而，在这种情况下有一个重要的额外优势（是的，我已经验证它有效）：您可以在系统启动时自动启动容器。

通常，当您在网上搜索有关 LXC 的信息时，您会被告知无法自动启动非特权 LXC 来宾。但是，默认情况下，这仅适用于那些不在系统范围容器存储中的容器（通常类似于/var/lib/lxc）。如果它们是（这通常意味着它们是由 root 创建并由 root 启动的），那就完全是另外一个故事了。

lxc.start.auto = 1

一旦将其放入容器配置中，就会很好地完成这项工作。

获得正确的权限和配置

我自己在这个问题上遇到了一些困难，所以我在这里添加了一个部分。

除了lxc.include通常通过名称/usr/share/lxc/config/$distro.common.conf（$distro发行版名称在哪里）包含的配置片段之外，您还应该检查/usr/share/lxc/config/$distro.userns.conf您的系统上是否也有 a 并包含它。例如：

lxc.include = /usr/share/lxc/config/ubuntu.common.conf
lxc.include = /usr/share/lxc/config/ubuntu.userns.conf

进一步添加从属 ID 映射：

lxc.id_map = u 0 100000 65535
lxc.id_map = g 0 100000 65535

这意味着主机 UID 100000 是root 里面LXC guest 的用户命名空间。

现在请确保权限正确。如果您的来宾的姓名存储在环境变量中，$lxcguest您将运行以下命令：

# Directory for the container
chown root:root $(lxc-config lxc.lxcpath)/$lxcguest
chmod ug=rwX,o=rX $(lxc-config lxc.lxcpath)/$lxcguest
# Container config
chown root:root $(lxc-config lxc.lxcpath)/$lxcguest/config
chmod u=rw,go=r $(lxc-config lxc.lxcpath)/$lxcguest/config
# Container rootfs
chown 100000:100000 $(lxc-config lxc.lxcpath)/$lxcguest/rootfs
chmod u=rwX,go=rX $(lxc-config lxc.lxcpath)/$lxcguest/rootfs

这应该允许您在第一次尝试可能给出一些与权限相关的错误后运行容器。

Answer

非特权 LXC 容器是那些利用用户命名空间（用户名）。即允许将主机上的一系列 UID 映射到命名空间的内核功能里面其中UID为0的用户可以再次存在。

与我最初对非特权 LXC 容器的看法相反，这并不意味着容器必须由非特权主机用户拥有。这只是一种可能。

由 root 拥有和运行的非特权容器

把它再擦一遍。非特权 LXC 来宾不需要由主机上的非特权用户运行。

使用从属 UID/GID 映射配置容器，如下所示：

lxc.id_map = u 0 100000 100000
lxc.id_map = g 0 100000 100000

root如果主机上的用户拥有给定的从属 ID 范围，则可以让您更好地限制来宾。

然而，在这种情况下有一个重要的额外优势（是的，我已经验证它有效）：您可以在系统启动时自动启动容器。

通常，当您在网上搜索有关 LXC 的信息时，您会被告知无法自动启动非特权 LXC 来宾。但是，默认情况下，这仅适用于那些不在系统范围容器存储中的容器（通常类似于/var/lib/lxc）。如果它们是（这通常意味着它们是由 root 创建并由 root 启动的），那就完全是另外一个故事了。

lxc.start.auto = 1

一旦将其放入容器配置中，就会很好地完成这项工作。

获得正确的权限和配置

我自己在这个问题上遇到了一些困难，所以我在这里添加了一个部分。

除了lxc.include通常通过名称/usr/share/lxc/config/$distro.common.conf（$distro发行版名称在哪里）包含的配置片段之外，您还应该检查/usr/share/lxc/config/$distro.userns.conf您的系统上是否也有 a 并包含它。例如：

lxc.include = /usr/share/lxc/config/ubuntu.common.conf
lxc.include = /usr/share/lxc/config/ubuntu.userns.conf

进一步添加从属 ID 映射：

lxc.id_map = u 0 100000 65535
lxc.id_map = g 0 100000 65535

这意味着主机 UID 100000 是root 里面LXC guest 的用户命名空间。

现在请确保权限正确。如果您的来宾的姓名存储在环境变量中，$lxcguest您将运行以下命令：

# Directory for the container
chown root:root $(lxc-config lxc.lxcpath)/$lxcguest
chmod ug=rwX,o=rX $(lxc-config lxc.lxcpath)/$lxcguest
# Container config
chown root:root $(lxc-config lxc.lxcpath)/$lxcguest/config
chmod u=rw,go=r $(lxc-config lxc.lxcpath)/$lxcguest/config
# Container rootfs
chown 100000:100000 $(lxc-config lxc.lxcpath)/$lxcguest/rootfs
chmod u=rwX,go=rX $(lxc-config lxc.lxcpath)/$lxcguest/rootfs

这应该允许您在第一次尝试可能给出一些与权限相关的错误后运行容器。

Question 2

为了跟进 0xC0000022L（其解决方案对我来说效果很好），我写了一个增加-uid-gid.plperl 脚本来自动执行必要的所有权更改，以便正确映射 LXC 容器内的文件。

如果没有它，使用此建议的设置，LXC 容器 rootfs 中属于主主机上的 0/root 的文件将在 LXC 容器本身内映射到 65534/nobody。要映射到 LXC 容器内的 0/root，它们必须属于主机上的 100000。

这是在这里描述的https://yeupou.wordpress.com/2017/06/23/setting-up-lxc-containers-with-mapped-giduid/并且脚本可以直接在gitlab上获取https://gitlab.com/yeupou/stalag13/blob/master/usr/local/bin/increase-uid-gid.pl

Answer

为了跟进 0xC0000022L（其解决方案对我来说效果很好），我写了一个增加-uid-gid.plperl 脚本来自动执行必要的所有权更改，以便正确映射 LXC 容器内的文件。

如果没有它，使用此建议的设置，LXC 容器 rootfs 中属于主主机上的 0/root 的文件将在 LXC 容器本身内映射到 65534/nobody。要映射到 LXC 容器内的 0/root，它们必须属于主机上的 100000。

这是在这里描述的https://yeupou.wordpress.com/2017/06/23/setting-up-lxc-containers-with-mapped-giduid/并且脚本可以直接在gitlab上获取https://gitlab.com/yeupou/stalag13/blob/master/usr/local/bin/increase-uid-gid.pl

什么是非特权 LXC 容器？

答案1

由 root 拥有和运行的非特权容器

获得正确的权限和配置

答案2

相关内容