如何为非特权 systemd-nspawn 准备 Ubuntu 引导程序?

如何为非特权 systemd-nspawn 准备 Ubuntu 引导程序?

我创建了一个 Ubuntu 16.04 引导程序(通过debootstrap),以通过(也在 16.04 上)运行systemd-nspawn。当通过

# systemd-nspawn -D <mycontainer>

我得到了一个功能齐全、运行正常的系统。

我想通过该--private-users选项放弃其权限。手册页指出

请注意,用户命名空间当前需要为正在应用的 UID 转移做好准备的 OS 树:用于文件所有权或文件 ACL 条目中的 UID 和 GID 必须转移到容器运行时使用的容器 UID 基础。

相对于UID容器使用的范围,应该如何具体做到这一点?

顺便提一下,我注意到 16.04(附带systemd229 版)没有官方文件--private-users-chown-U--private-users=pick

答案1

该问题已在版本中得到解决230- 升级后,我现有的容器自动移至非特权版本。

现在,从主机来看,容器进程以非特权用户身份运行。

相关内容