65534:65534 (nobody:nogroup) ist ein Nutzer, der eigentlich möglichst
nichts können sollte.
Wenn es kein Mapping im Container gibt, das auf einen Bereich mappt, in
dem die UID / GID des Files enthalten sind, wird 65534:65534 genommen,
und dann kommst du da nicht ran. Das ist vermutlich nicht, was du
willst.
Als Beispiel, sagen wir du mappst:
Das mappt 4 UIDs im Container auf 4 UIDs ausserhalb:
1 | 10 -> 20
|
2 | 11 -> 21
|
3 | 12 -> 22
|
4 | 13 -> 23
|
Hat dann ausserhalb eine Datei die UID 21, siehst du innerhalb die UID
11.
Hat ein Prozess innerhalb die UID 11, und greift auf die Datei zu, ist
das, wie wenn er UID 21 gehabt hätte.
Damit das unprivileged (ohne root) geht, muss es noch in der /etc/subuid
eingetragen sein. (in meinem Beispiel 20-23).
Du mappst bei dir:
Aber ausserhalb vom Container hat dein File die UID 33. 1033 ist die UID
ausserhalb vom Container, die im Container 33 entspricht, aber die Datei
hat UID 33, nicht UID 1033. Es ist keine UID im Container auf UID 33
ausserhalb gemappt.
Draco schrieb:
> In der SUBUID Datei... Was bedeutet die 1 hinter der UID? Das nur die
> eine UID gemappt wird?
Ja.