1.3.2 Rootless：安全优先的非特权运行模式

文档摘要

1.3.2 Rootless：安全优先的非特权运行模式当容器技术从实验室走向生产环境，安全审计的聚光灯便无情地照亮了传统容器架构中的阿喀琉斯之踵——特权提升风险。在Docker的语境下，守护进程以root身份盘踞于系统内核之上，如同一位拥有无上权力的君主，一旦城门失守，整个王国便岌岌可危。Podman的Rootless模式则彻底颠覆了这一范式，它并非简单地在特权容器外包裹一层沙箱，而是从架构根基层面重构了容器与宿主系统的权力契约。这种模式允许普通用户在无需sudo权限的情况下，构建、运行和管理容器，其本质是通过Linux内核的User Namespace技术，在进程层面实现了一种精巧的"权力镜像"——容器内的root用户，在宿主看来不过是一介平民。