我创建了一个 Ubuntu 16.04 引导程序(通过debootstrap),以通过(也在 16.04 上)运行systemd-nspawn。当通过
# systemd-nspawn -D <mycontainer>
我得到了一个功能齐全、运行正常的系统。
我想通过该--private-users选项放弃其权限。手册页指出
请注意,用户命名空间当前需要为正在应用的 UID 转移做好准备的 OS 树:用于文件所有权或文件 ACL 条目中的 UID 和 GID 必须转移到容器运行时使用的容器 UID 基础。
相对于UID容器使用的范围,应该如何具体做到这一点?
顺便提一下,我注意到 16.04(附带systemd229 版)没有官方文件:--private-users-chown,-U和--private-users=pick。
答案1
该问题已在版本中得到解决230- 升级后,我现有的容器自动移至非特权版本。
现在,从主机来看,容器进程以非特权用户身份运行。