Файловая система, подключенная к контейнеру Docker, с переназначением пользователя

Требование root заключалось в том, чтобы укрепить Docker таким образом, чтобы не было повышения привилегий, а контейнер должен запускать пользователя без полномочий root.

Для этого я использовал функцию переназначения пользователей. Переназначение пользователя разрешило две вышеупомянутые проблемы, но создало другую проблему.

Контейнер выдает ошибку отказа в разрешении для смонтированных каталогов до тех пор, пока мы не предоставим каталогу разрешение others / world (o+w) на хост-машине.

Если я дам миру разрешение, это снова приведет к эскалации привилегий, поскольку любой другой пользователь на хост-машине будет иметь доступ на запись ко всем каталогам контейнеров.

Файлы subgid и subuid содержат следующие строки:

      dockremap:100000:65536

Мне нужно решение, чтобы избежать повышения привилегий одним из способов:

1. Пользователь dockremap имеет доступ только к каталогам контейнеров
2. другой подход - избегать повышения привилегий и запускать контейнеры от имени пользователя без полномочий root.

PS: я использую Photon OS.