命名空间资源控制

内核中有很多种对象没有单独的限制，或者当允许一组进程切换用户 ID 时，这些限制是无效的。在为不信任其用户或用户的程序行为良好的用户启用用户命名空间的内核中，这些问题变得更加严重。

因此，建议在启用用户命名空间的内核中启用内存控制组，并进一步建议用户空间配置内存控制组，以限制他们不信任的用户使用多少内存。

可以通过安装大多数发行版中存在的 libcgroup 包、编辑 /etc/cgrules.conf、/etc/cgconfig.conf 并设置 libpam-cgroup 来配置内存控制组。