В Вс, 21/11/2021 в 15:09 +0300, Dmitry V. Levin пишет:
> On Sun, Nov 21, 2021 at 02:56:05PM +0300, Nikolay A. Fetisov wrote:
> > 
> > Т.е. теперь namespaces могут создавать и обычные пользователи...
> > ...
> 
> Это как раз зависит от положения переключателя
> /proc/sys/kernel/userns_restrict, см. соседний тред.
> 

Ну т.е. это уйдёт само при следующей сборке ядра.

> > Хотя, как минимум внутри контейнеров LXC/LXD это не так страшно,
> > есть ещё ограничение по числу процессов в контейнере в целом,
> > и оно успешно срабатывает.
> 
> Но если внутри контейнера можно создавать userns, то это ограничение,
> видимо, обходится таким же образом, как и глобальные ограничения?
> Или что-то препятствует этому?

Для изоляции контейнера используются namespaces. То, что создаётся 
внутри контейнера - получается следующим уровнем иерархии.
Ограничение на число процессов контейнера задаётся в хост-системе
через /sys/fs/cgroup/pids/lxc.payload.<ct>/pids.max , и учитывает
и процессы создаваемых внутри контейнера namespaces.


Отсюда и неочевидность описанного выше срабатывания ограничений 
RLIMIT_NPROC - при заданном ограничении pids.max в, скажем, 256,
и пакетном nproc 512 получение ошибки "fork: retry: Ресурс временно
недоступен" оказывается несколько неожиданно.

-- 
С уважением,
Николай Фетисов