我不是创建“通用”LXC 非特权容器,其中所有用户都映射到我的主机用户的(非特权)subuid/gid,而是考虑将我的主机用户本身映射到用户 0(root)的映射。它们将是非常纤薄的单一应用程序容器。
原因是,通过这种方式,我不需要驻留在我的用户家中的 rootfs 目录子树对其他用户进行命名空间 chmod,我可以使用普通 rm 而不是命名空间来删除它。
这种 LXC 是否比“普通”的 LXC 安全性较差,为什么?会发生什么?
主机用户本身映射到 0 的非特权 LXC 是否比其子用户之一映射到 0 的 LXC 更不安全,为什么?