LXDコンテナーが非特権で実行されているかどうかを確認する方法は?
私は rootとして非特権で実行するようにLXDコンテナを設定しています です。
それらが実際にそのように動作することを確認するにはどうすればよいですか?
ホスト上のps -efが、コンテナで実行されているすべてのプロセスがテンプレートに従うことを示すだけで十分ですか?
165536 5284 1104 0 12:19 ? 00:00:00 /usr/sbin/sshd -D
(最初の要素はuidです)
または、コンテナの「権限レベル」を示すlxcパラメータがありますか?
はい、コンテナで実行されているプロセスのUIDがルートおよびホスト内の他のユーザーと異なることを確認するには十分です。 (setuid/setgidマッピングマジック)
リンクしたページは、lxdではなくlxcについて説明しています。 lxdは、本質的には、より高レベルでより便利な方法でlxcの機能へのアクセスを提供するデーモンプロセスです。 lxdの答えは次のとおりです。
$ lxc config get your-container-name security.privileged
それが「true」を示す場合、コンテナは特権であり、そうでない場合は特権があります。
stgraberの投稿 ごとに、次を実行して特権コンテナのセットをクエリすることもできます。
$ lxc list security.privileged=true