自宅サーバを rootless に移行した際のトラブル対応自宅の nerdctl + containerd 環境を rootless にした際のトラブル対応だが、 docker の場合もおおよそ似たものだろうと思う。 rootless とは 通常のままだと docker / nerdctl は root 権限で動作してしまう。 sudo usermod -aG docker <USER> などして sudo 不要にしていても実際には sudo しているのと同じことである。 rootless にすると各ユーザごとにコンテナが起動することになる。ホストマシンでの各ユーザの権限を最高としてコンテナ内では root として扱うことができるため、例えば volume mount の中にホストマシンで root 権限を要するファイルがあった場合、コンテナからは触ることができない。 これにより脆弱性が突かれた場合でも root 権限による操作を防ぐことができる
