<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">I am thinking more about container accessing another container, instead of container accessing the host. So it is like drilling a hole on the wall to next door, instead of drilling the floor to access the lobby. Or are they actually equivalent?</div><div class=""><br class=""></div><div class="">John</div><br class=""><div><blockquote type="cite" class=""><div class="">On Feb 15, 2016, at 01:01, Fajar A. Nugraha <<a href="mailto:list@fajar.net" class="">list@fajar.net</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote">On Mon, Feb 15, 2016 at 11:56 AM, John Siu <span dir="ltr" class=""><<a href="mailto:john.sd.siu@gmail.com" target="_blank" class="">john.sd.siu@gmail.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Is there any advantage to use separate subuid and subguid for each container?<br class="">
<br class="">
For example, when multiple unprivileged containers with the same subuid 100000, ps will show something like the following:<br class="">
<br class=""></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">One cannot tell which process is owned by which container.<br class="">
<br class=""></blockquote><div class=""><br class=""></div><div class="">ps -ea -O cgroup:50<br class=""></div><div class=""><br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Additionally, using the same subuid, is there any concern about one container gaining access to the other containers? Or is this not a problem at all?<br class="">
<br class=""></blockquote><div class=""><br class=""></div><div class="">in theory, yes, AFAIK that is a possibility. If somehow a process manage to break out of the container, it might be able to do stuff in the host as an unpriviliged user.</div><div class=""><br class=""></div><div class="">I haven't seen any attacks like that on recent systems though. In particular, with apparmor and lxcfs enabled, you should get an additional layer of security. So personally I find it's still acceptable for multiple unpriv containers to share the same subuid.</div><div class=""><br class=""></div><div class="">-- </div><div class="">Fajar</div></div></div></div>
_______________________________________________<br class="">lxc-users mailing list<br class=""><a href="mailto:lxc-users@lists.linuxcontainers.org" class="">lxc-users@lists.linuxcontainers.org</a><br class="">http://lists.linuxcontainers.org/listinfo/lxc-users</div></blockquote></div><br class=""></body></html>