url: https://linuxcontainers.org/ja/lxc/security/
title: "Linux Containers - LXC - セキュリティ"
description: "The umbrella project behind Incus, LXC, LXCFS, Distrobuilder and more."
host: linuxcontainers.org
favicon: https://linuxcontainers.org/static/img/favicon.ico
image: https://linuxcontainers.org/static/img/containers.png

非特権コンテナ

LXC コンテナ内の root User (uid = 0) は、ホスト OS (Proxmox) 上ではただの一般ユーザとして扱われます。

よって、コンテナ内の root User はホスト OS に対して root 権限で操作が行えません。そのため、ホスト OS に Attach されているデバイスへ直接アクセスすることが制限されるため、 VPN を LXC で実行する、などが行えないことがあります。

特権コンテナ

LXC コンテナ内の root User (uid = 0) がそのまま、ホストの root User (uid = 0) にマッピングされます。

これによって、コンテナ内の root User は直接デバイスへアクセスできてしまいます。

どちらを使うべきか

可能な限り、非特権コンテナを利用しましょう。

お仕事の k8s で特権コンテナ・非特権コンテナ、という話がでてきていたのですがこれだったのですね…。