如何检查 LXD 容器是否以非特权运行？

Question 1

是的，您足以看到，对于在容器中运行的进程，您的 UID 与 root 和主机中的其他用户不同。（setuid/setgid 映射魔法）

Answer

是的，您足以看到，对于在容器中运行的进程，您的 UID 与 root 和主机中的其他用户不同。（setuid/setgid 映射魔法）

Question 2

您链接到的页面描述的是 lxc 而不是 lxd。lxd 本质上是一个守护进程，它以更高级/更方便的方式提供对 lxc 功能的访问。我认为 lxd 的答案是：

$ lxc config get your-container-name security.privileged

如果显示“真”，则该容器具有特权，否则则不具有特权。

每stgraber 的帖子您还可以通过运行以下命令查询特权容器集：

$ lxc list security.privileged=true

Answer

您链接到的页面描述的是 lxc 而不是 lxd。lxd 本质上是一个守护进程，它以更高级/更方便的方式提供对 lxc 功能的访问。我认为 lxd 的答案是：

$ lxc config get your-container-name security.privileged

如果显示“真”，则该容器具有特权，否则则不具有特权。

每stgraber 的帖子您还可以通过运行以下命令查询特权容器集：

$ lxc list security.privileged=true

Question 3

还可以通过以下方式检查 LXD 容器内部容器是否无特权：

其中将显示类似内容（根0映射到用户1000000）：

# cat /proc/self/gid_map 
         0    1000000 1000000000
# cat /proc/self/uid_map 
         0    1000000 1000000000

（假设/etc/subuid＆/etc/subgid在容器主机上正确配置）

root非特权用户可以读取这些值。

Answer

还可以通过以下方式检查 LXD 容器内部容器是否无特权：

其中将显示类似内容（根0映射到用户1000000）：

# cat /proc/self/gid_map 
         0    1000000 1000000000
# cat /proc/self/uid_map 
         0    1000000 1000000000

（假设/etc/subuid＆/etc/subgid在容器主机上正确配置）

root非特权用户可以读取这些值。

Question 4

与此同时，您可以利用它lxc-ls来获得一个列表，告诉您哪些容器以非特权方式运行，哪些容器不是：

# lxc-ls -f
NAME           STATE   AUTOSTART GROUPS IPV4 IPV6 UNPRIVILEGED 
container-name RUNNING 0         -      -    -    true

Answer

与此同时，您可以利用它lxc-ls来获得一个列表，告诉您哪些容器以非特权方式运行，哪些容器不是：

# lxc-ls -f
NAME           STATE   AUTOSTART GROUPS IPV4 IPV6 UNPRIVILEGED 
container-name RUNNING 0         -      -    -    true

相关内容