26、Podman 容器安全与镜像签名全解析

原创 于 2025-10-28 10:39:01 发布 · 64 阅读 · 0 GEO检测
标签
#Podman #容器安全 #镜像签名

Podman 容器安全与镜像签名全解析

1. 无 root 权限容器运行原理

在现代 Linux 发行版中, shadow-utils 包利用 /etc/subuid /etc/subgid 两个文件来确定可用于映射用户命名空间的 UID 和 GID。每个用户默认分配 65536 个 UID 和 65536 个 GID。

我们可以通过以下命令检查无 root 权限容器中 subuid subgid 的分配情况: 

$ id
uid=1000(alex) gid=1000(alex) groups=1000(alex),10(wheel) 
$ podman run alpine cat /proc/self/uid_map /proc/self/gid_map

输出结果如下: 

         0       1000          1
         1     100000      65536
         0       1000          1
         1     100000      65536

这表明两个文件都从当前运行容器的用户的 UID/GID(即 1000)开始映射 UID 和 GID 0。之后,从 100000 开始映射 UID 和 GID 1,直到 1655

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值