LXC：rootユーザーとエンドユーザーが所有する権限のないコンテナーの間にセキュリティ上の違いはありますか？

つまり、ルートが所有する権限を持たないコンテナは、標準アカウントが所有するコンテナよりも「権限が少ない」ことが可能ですか？

私はそうは思わない。重要なことは、/proc/$PID/uid_mapコンテナのユーザー名前空間にあるプロセスではなく、次の/etc/subuidコマンドを実行すると想定しています。初期ユーザーの名前空間（つまり、コンテナではない）$PIDコンテナで実行されているプロセスでは：

$ cat /proc/$PID/uid_map
0 200000 1000

これは、$ PIDプロセスのUID範囲が対応する（コンテナ）ユーザー名前空間の外側のUID範囲[0-1000)にマップされることを意味します。[200000-201000)範囲外のUIDはコンテナの65534（）[200000-201000)にマップされます。$(cat /proc/sys/kernel/overflowuid)たとえば、新しいPID名前空間を作成しないと、これが発生する可能性があります。この場合、コンテナ内のプロセスは外部プロセスを見ることができますが、そのUIDは65534です。

したがって、正しいUIDマッピングを使用すると、コンテナがルートとして起動されても、そのプロセスは外部に無許可のUIDを持つことになります。

内部依存 UID は/etc/subuid何らかの方法で外部単一 UID に接続されません。このファイルの目的は、権限のないユーザーが複数のUIDを使用してコンテナを起動できるようにすることです（ほとんどのLinuxオペレーティングシステムの場合と同様）。デフォルトでは、権限のないユーザーの場合は、UIDのみをマッピングできます。つまり、UIDが1000で$PIDコンテナのプロセスを参照している場合は、次の操作のみを実行できます。

echo "$N 1000 1" >/proc/$PID/uid_map

$N権限のないユーザーの場合。他のすべては許可されません。より多くの範囲を描くことができれば、つまり

echo "$N 1000 50" >/proc/$PID/uid_map

[1000-1050)コンテナを介してコンテナ外のUIDにアクセスできます。もちろん、外部UID範囲の開始を変更できる場合は、root権限を簡単に取得できます。したがって、/etc/subuid使用できる外部範囲を定義します。このファイルはnewuidmapsetuid ルートで使用されます。

$ cat /etc/subuid
woky:200000:50
$ echo '0 200000 50' >/proc/$PID/uid_map
-bash: echo: write error: Operation not permitted
$ newuidmap $PID 0 200000 50
$ # success

詳細ははるかに複雑で、説明するには私が適切な人ではないかもしれませんが、答えをしない方が良いと思います。 :-) マニュアルページuser_namespaces(7)とnewuidmap(1)私が直接研究した内容を確認したい場合もあります。新しいLinuxユーザーネームスペースの最初のプロセスはsetuid（）を呼び出す必要がありますか？。残念ながら、LXCがこのファイルをどのように使用しているのかわかりません。