[devel] [Erlang] ограничение на количество потоков в Альте

[mikhailnov на altlinux.org]

20.11.2021 18:04, Nikolay A. Fetisov пишет:
> В Сб, 20/11/2021 в 15:14 +0300, Anton Farygin пишет:
>>> ...
>> Да, эти умолчания конечно уже устарели и меняются в дистрибутивах. 
>> Возможно, их стоит уже расширить и в пакете с умолчаниями.
> +1, как минимум для серверных систем.
>
> Я с этим встретился при использовании непривилегированных контейнеров
> LXC/LXD, в случае запуска контейнеров с выделением им одного общего 
> диапазона subuid/subgid .

+100500, я года 2 не мог понять, почему в контейнере не работали банальные вещи, например, "su -u user", пока внимательно не посмотрел strace свежим взглядом, да и glebfm@ подсказал.

Лимит на кол-во процессов пользователя настолько дикий, что его не хватило в банальном чруте на весьма минималистичной десктопной системе!

> Механизм ulimit про namespaces ничего не знает, ограничения в 
> security/limits.d/50-defaults.conf считаются по процессам _всех_
> контейнеров. Как итог, можно получить срабатывение ulimit внутри
> полупустого контейнера на, например, запуск задачи по cron.
Почему? cron же пропустит задачу через PAM-стек, а pam_limits выставит лимиты, если, конечно, ему на это хватит прав, а в разной степени непривилегированных контейнерах может не хватить.
> И править значения nproc при этом приходится и в хост-системе,
> и во всех контейнерах.