2.3.2 /etc/subuid 与 /etc/subgid 的配置与作用

文档摘要

2.3.2 /etc/subuid 与 /etc/subgid 的配置与作用当我们谈论 Linux 容器技术的安全边界时，往往容易陷入对 Seccomp、AppArmor 或 Capabilities 这些光鲜概念的追捧，却忽略了支撑整个 Rootless 容器大厦的基石——那些静静躺在目录下、看似平淡无奇的文本文件。与正是这样的幕后英雄。它们不像内核命名空间那样拥有直接的系统调用接口，也不似 cgroups 那般掌管资源生杀大权，但如果没有这对文件在主机用户与容器用户之间搭建起精确的数学映射关系，Rootless 容器将永远只是一个无法落地的概念。