我确实想出了:
docker run -i -t --cap-add=SYS_ADMIN debian /bin/bash
除了“SYS_ADMIN”之外,还有其他方法可以提供更少的功能,这也增加了很多其他的上限?
有关更多信息,请参见http://linux.die.net/man/7/capabilities
Linux VServer 通过添加另一个标志解决了这种情况 - VXC_SECURE_MOUNT 参见http://linux-vserver.org/Capabilities_and_Flags