From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.org>
Date: Sun, 21 Nov 2021 15:09:40 +0300
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20211121120940.GC8487@altlinux.org>
References: <girar.task.290158.1.1@gyle.mskdc.altlinux.org>
 <20211120115307.GA27513@altlinux.org>
 <97dfb53d-ed5d-3c8f-dbcf-d427646b9889@basealt.ru>
 <20211120121149.GB27513@altlinux.org>
 <f7cbd651-1342-2d9f-c075-133df1727598@basealt.ru>
 <6bd4cbca3eb21b04052c2b4dbfb0ec84d4d62b93.camel@altlinux.org>
 <2c07adc3-d0df-f19e-8179-348f32dc7632@rosalinux.ru>
 <3e1dfc4a9661414edf338311c5afab8e81a2077d.camel@altlinux.org>
 <20211121100038.GA8487@altlinux.org>
 <47e473aa1eebfdb707b0037529104a6bf685535b.camel@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <47e473aa1eebfdb707b0037529104a6bf685535b.camel@altlinux.org>
Subject: Re: [devel]
 =?koi8-r?b?W0VybGFuZ10gz8fSwc7J3sXOycUgzsEgy8/Myd7F09TX?=
 =?koi8-r?b?zyDQz9TPy8/XINcg4czY1MU=?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 21 Nov 2021 12:09:40 -0000
Archived-At: <http://lore.altlinux.org/devel/20211121120940.GC8487@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Sun, Nov 21, 2021 at 02:56:05PM +0300, Nikolay A. Fetisov wrote:
> В Вс, 21/11/2021 в 13:00 +0300, Dmitry V. Levin пишет:
> > ...
> > 
> > Серия изменений v5.14-rc1~153^2~2, призванная решить эту проблему,
> > в качестве побочного эффекта позволяет любому непривилегированному
> > пользователю превышать ограничения RLIMIT_NPROC и нескольких других
> > лимитов путём создания userns и переноса в них своей активности.
> 
> Т.е. теперь namespaces могут создавать и обычные пользователи...
> Проверил на p10 / 5.10.72-std-def-alt1 - можно,
> на p9 / 5.4.62-std-def-alt1 от пользователя - 
> "unshare failed: Операция не позволена".

Это как раз зависит от положения переключателя
/proc/sys/kernel/userns_restrict, см. соседний тред.

> Хотя, как минимум внутри контейнеров LXC/LXD это не так страшно,
> есть ещё ограничение по числу процессов в контейнере в целом,
> и оно успешно срабатывает.

Но если внутри контейнера можно создавать userns, то это ограничение,
видимо, обходится таким же образом, как и глобальные ограничения?
Или что-то препятствует этому?


-- 
ldv