自宅の nerdctl + containerd 環境を rootless にした際のトラブル対応だが、 docker の場合もおおよそ似たものだろうと思う。 rootless とは 通常のままだと docker / nerdctl は root 権限で動作してしまう。 sudo usermod -aG docker <USER> などして sudo 不要にしていても実際には sudo しているのと同じことである。 rootless にすると各ユーザごとにコンテナが起動することになる。ホストマシンでの各ユーザの権限を最高としてコンテナ内では root として扱うことができるため、例えば volume mount の中にホストマシンで root 権限を要するファイルがあった場合、コンテナからは触ることができない。 これにより脆弱性が突かれた場合でも root 権限による操作を防ぐことができる
![自宅サーバを rootless に移行した際のトラブル対応](https://cdn-ak-scissors.b.st-hatena.com/image/square/c67dfffd8302e5722fc53ce62b91363cbb35d3b3/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--oIYAY1dl--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%2525E8%252587%2525AA%2525E5%2525AE%252585%2525E3%252582%2525B5%2525E3%252583%2525BC%2525E3%252583%252590%2525E3%252582%252592%252520rootless%252520%2525E3%252581%2525AB%2525E7%2525A7%2525BB%2525E8%2525A1%25258C%2525E3%252581%252597%2525E3%252581%25259F%2525E9%25259A%25259B%2525E3%252581%2525AE%2525E3%252583%252588%2525E3%252583%2525A9%2525E3%252583%252596%2525E3%252583%2525AB%2525E5%2525AF%2525BE%2525E5%2525BF%25259C%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3A%2525E3%252583%2525A6%2525E3%252583%2525BC%2525E3%252583%2525B3%252Cx_203%252Cy_98%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2o0cUtwdExNU0hJbGJoaFVxd2FsSmloNWp4Q1RqSFdZM1M4OHNrPXM5Ni1j%252Cr_max%252Cw_90%252Cx_87%252Cy_72%2Fog-base.png)