使用者名稱空間與資源控制

核心包含多種物件，它們要麼沒有單獨的限制，要麼在允許一組程序切換其 UID 時，其限制會失效。在管理員不信任其使用者或使用者程式的系統上，使用者名稱空間會使系統面臨潛在的資源濫用風險。

為了緩解這種情況，我們建議管理員在任何啟用使用者名稱空間的系統上啟用記憶體控制組。此外，我們建議管理員配置記憶體控制組，以限制任何不受信任使用者可使用的最大記憶體。

可以透過安裝大多數發行版中存在的 libcgroup 軟體包，編輯 /etc/cgrules.conf、/etc/cgconfig.conf 並設定 libpam-cgroup 來配置記憶體控制組。