[devel] [Erlang] ограничение на количество потоков в Альте

[Dmitry V. Levin]

On Sun, Nov 21, 2021 at 02:56:05PM +0300, Nikolay A. Fetisov wrote:
> В Вс, 21/11/2021 в 13:00 +0300, Dmitry V. Levin пишет:
> > ...
> > 
> > Серия изменений v5.14-rc1~153^2~2, призванная решить эту проблему,
> > в качестве побочного эффекта позволяет любому непривилегированному
> > пользователю превышать ограничения RLIMIT_NPROC и нескольких других
> > лимитов путём создания userns и переноса в них своей активности.
> 
> Т.е. теперь namespaces могут создавать и обычные пользователи...
> Проверил на p10 / 5.10.72-std-def-alt1 - можно,
> на p9 / 5.4.62-std-def-alt1 от пользователя - 
> "unshare failed: Операция не позволена".

Это как раз зависит от положения переключателя
/proc/sys/kernel/userns_restrict, см. соседний тред.

> Хотя, как минимум внутри контейнеров LXC/LXD это не так страшно,
> есть ещё ограничение по числу процессов в контейнере в целом,
> и оно успешно срабатывает.

Но если внутри контейнера можно создавать userns, то это ограничение,
видимо, обходится таким же образом, как и глобальные ограничения?
Или что-то препятствует этому?


-- 
ldv