Теперь ясно. Спасибо. > В Mon, 27 Aug 2018 23:00:58 +0300 > artiom <artio...@yandex.ru> пишет: > >> ЫЫЫ: "Subordinate user/group ids appear in Linux kernel 3.12 in 2013." >> >> Что это я понял. Но для чего это не вполне понятно не только после >> прочтения man, но и после прочтения док, даже то, что "для LXC" не >> сильно прояснило ситуацию. >> Русским языком можете объяснить, зачем эта штука появилась? > > Чтобы позапутаннее было. Система namespace в ядре это "лошадь, > изобретенная комитетом". Помнится, в свое время там была такая борьба > самолюбий между Parallels, RedHat и еще несколькими компаниями на тему > того, как правильно делать контейнеры. В результате получилось > несколько эклектично. > > В принципе понятная мысль - ограничить набор uid-ов, которыми может > пользоваться непривилегированный юзер, запуская контейнер. Тогда если у > нас есть несколько юзеров, запускающих контейнеры, можно сделать так, > чтобы их процессы по uid-ам вообще не пересекались. > > Только вот ни разу не попадались описания того, что кто-то это > используют. > > Обычно все запускают какой-то демон от рута - docker там или libvirtd, > и он уже рулит контейнерами. А наличие в разных контейнерах процессов с > одинаковыми uid никого не волнует. >
