Hi,

On Sat, Nov 20, 2021 at 09:15:03PM +0300, mikhailnov@altlinux.org wrote:
> 
> 20.11.2021 18:04, Nikolay A. Fetisov пишет:
> > В Сб, 20/11/2021 в 15:14 +0300, Anton Farygin пишет:
> >>> ...
> >> Да, эти умолчания конечно уже устарели и меняются в дистрибутивах. 
> >> Возможно, их стоит уже расширить и в пакете с умолчаниями.
> > +1, как минимум для серверных систем.
> >
> > Я с этим встретился при использовании непривилегированных контейнеров
> > LXC/LXD, в случае запуска контейнеров с выделением им одного общего 
> > диапазона subuid/subgid .
> 
> +100500, я года 2 не мог понять, почему в контейнере не работали банальные вещи, например, "su -u user", пока внимательно не посмотрел strace свежим взглядом, да и glebfm@ подсказал.

В припципе, эта проблема хорошо демонстрировала вам, что контейнеры,
которые вы запускали были сконфигурированы неправильно ровно потому что
к ним применялись одни и те же лимиты.

Раньше для решения задачи можно было использовать маппинг uid/gid-ов, а в
совсем свежих ядрах (начиная с v5.14-rc1~153^2~2^2~5 [1]) RLIMIT_NPROC
стал виртуализирован для разных user_namespace-ов.

[1] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?h=21d1c5e386bc751f1953b371d72cd5b7d9c9e270

-- 
glebfm