From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.org>
Date: Sun, 21 Nov 2021 15:55:28 +0300
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20211121125528.GA10220@altlinux.org>
References: <97dfb53d-ed5d-3c8f-dbcf-d427646b9889@basealt.ru>
 <20211120121149.GB27513@altlinux.org>
 <f7cbd651-1342-2d9f-c075-133df1727598@basealt.ru>
 <6bd4cbca3eb21b04052c2b4dbfb0ec84d4d62b93.camel@altlinux.org>
 <2c07adc3-d0df-f19e-8179-348f32dc7632@rosalinux.ru>
 <3e1dfc4a9661414edf338311c5afab8e81a2077d.camel@altlinux.org>
 <20211121100038.GA8487@altlinux.org>
 <47e473aa1eebfdb707b0037529104a6bf685535b.camel@altlinux.org>
 <20211121120940.GC8487@altlinux.org>
 <0943d227010409ab48367c5010b238339483ae47.camel@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <0943d227010409ab48367c5010b238339483ae47.camel@altlinux.org>
Subject: Re: [devel]
 =?koi8-r?b?W0VybGFuZ10gz8fSwc7J3sXOycUgzsEgy8/Myd7F09TX?=
 =?koi8-r?b?zyDQz9TPy8/XINcg4czY1MU=?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 21 Nov 2021 12:55:28 -0000
Archived-At: <http://lore.altlinux.org/devel/20211121125528.GA10220@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Sun, Nov 21, 2021 at 03:37:19PM +0300, Nikolay A. Fetisov wrote:
> В Вс, 21/11/2021 в 15:09 +0300, Dmitry V. Levin пишет:
> > On Sun, Nov 21, 2021 at 02:56:05PM +0300, Nikolay A. Fetisov wrote:
> > > 
> > > Т.е. теперь namespaces могут создавать и обычные пользователи...
> > > ...
> > 
> > Это как раз зависит от положения переключателя
> > /proc/sys/kernel/userns_restrict, см. соседний тред.
> 
> Ну т.е. это уйдёт само при следующей сборке ядра.

Если у вас не установлен пакет bubblewrap, конечно.

> > > Хотя, как минимум внутри контейнеров LXC/LXD это не так страшно,
> > > есть ещё ограничение по числу процессов в контейнере в целом,
> > > и оно успешно срабатывает.
> > 
> > Но если внутри контейнера можно создавать userns, то это ограничение,
> > видимо, обходится таким же образом, как и глобальные ограничения?
> > Или что-то препятствует этому?
> 
> Для изоляции контейнера используются namespaces. То, что создаётся 
> внутри контейнера - получается следующим уровнем иерархии.
> Ограничение на число процессов контейнера задаётся в хост-системе
> через /sys/fs/cgroup/pids/lxc.payload.<ct>/pids.max , и учитывает
> и процессы создаваемых внутри контейнера namespaces.

Т.е. ответ "да", число процессов в контейнере на практике ограничивают
другими средствами.  Видимо, это имели в виду авторы v5.14-rc1~153^2~2,
когда решили в некотором смысле упразднить RLIMIT_NPROC для userns.
Видимо, они считали это настолько очевидным, что не стали упоминать
об этом в commit message'ах.


-- 
ldv