我确实提出了:
docker run -i -t --cap-add=SYS_ADMIN debian /bin/bash
除了“SYS_ADMIN”以外还有其他方法可以提供更少的功能吗?还增加了很多其他的上限?
有关详细信息,请参阅http://linux.die.net/man/7/capabilities
Linux VServer通过添加另一个标志解决了这种情况 - VXC_SECURE_MOUNT请参阅http://linux-vserver.org/Capabilities_and_Flags