用户命名空间与资源控制

内核包含多种对象，它们要么没有单独的限制，要么在允许一组进程切换其 UID 时，其限制会失效。在管理员不信任其用户或用户程序的系统上，用户命名空间会使系统面临潜在的资源滥用风险。

为了缓解这种情况，我们建议管理员在任何启用用户命名空间的系统上启用内存控制组。此外，我们建议管理员配置内存控制组，以限制任何不受信任用户可使用的最大内存。

可以通过安装大多数发行版中存在的 libcgroup 软件包，编辑 /etc/cgrules.conf、/etc/cgconfig.conf 并设置 libpam-cgroup 来配置内存控制组。