答案:通过设置cgroup目录所有权和权限,可使非root用户appuser管理特定资源组。首先创建cpu和memory子系统目录,将其所有权赋予appuser;随后该用户可写入进程PID并配置资源限制参数如memory.limit_in_bytes;还可通过systemd服务文件指定User、MemoryLimit等项,由systemd自动处理cgroup权限与创建。此方法基于cgroups v1,v2需使用委派机制实现类似功能。
在 Linux 系统中,cgroups(Control Groups)用于限制、记录和隔离进程组的资源使用(如 CPU、内存、I/O 等)。从权限角度看,只有具备相应权限的用户才能创建或管理 cgroups。通过合理配置,可以实现非 root 用户对特定 cgroup 的控制。以下是一个实用的 cgroups 用户权限控制示例,基于 cgroups v1(常见于大多数传统发行版)。
1. 创建专用 cgroup 子系统
假设我们希望让用户 appuser 能够管理内存和 CPU 资源的限制,但不赋予其 root 权限。
以 root 身份执行以下操作:
mkdir /sys/fs/cgroup/cpu/appgroup mkdir /sys/fs/cgroup/memory/appgroup
这两个目录分别用于 CPU 和内存资源控制。
2. 设置目录所有权和权限
将这些 cgroup 目录的所有权赋予目标用户,使其能够写入配置:
chown -R appuser:appuser /sys/fs/cgroup/cpu/appgroup chown -R appuser:appuser /sys/fs/cgroup/memory/appgroup
这样 appuser 就可以向这些目录中的 cgroup.procs 或 tasks 文件写入进程 PID,并设置 cpu.cfs_quota_us、memory.limit_in_bytes 等参数。
3. 验证用户权限
切换到 appuser 用户:
芦笋演示
一键出成片的录屏演示软件,专为制作产品演示、教学课程和使用教程而设计。
34 查看详情 su – appuser
尝试设置内存限制:
echo 100000000 > /sys/fs/cgroup/memory/appgroup/memory.limit_in_bytes
启动一个进程并加入该 cgroup:
echo $$ > /sys/fs/cgroup/memory/appgroup/cgroup.procs # 当前 shell 进程加入 cgroup
此时该 shell 及其子进程将受到内存限制。
4. 使用 systemd 启动服务时集成 cgroup 控制(可选)
如果使用 systemd 管理服务,可通过 .service 文件指定资源限制,由 systemd 自动创建 cgroup 并赋权:
[Service] User=appuser MemoryLimit=100M CPUQuota=50%
systemd 会为该服务自动创建对应的 cgroup,并确保 appuser 有足够权限运行进程。
基本上就这些。只要正确设置文件系统权限,非特权用户也能安全地使用 cgroups 实现资源控制,避免全局 root 权限滥用。注意:cgroups v2 使用统一层级结构,权限模型略有不同,需配合委扈权限(delegation)机制实现类似效果。实际部署时建议结合 systemd 或容器运行时(如 Docker)简化管理。
以上就是Linux cgroups用户权限控制示例的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/418349.html
微信扫一扫 
支付宝扫一扫 
