<div dir="ltr">Richard, <div><br></div><div>I have to disagree that it should require idmap. It is true that without idmap the container can freely set it's own rlimits, but I believe this functionality could be useful to containers that don't run /sbin/init. What I mean by that is application specific containers could have their limits set without the application having to set them, or even having to write a shim to set them. </div><div><br></div><div>Ryan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Feb 22, 2015 at 5:59 PM, Richard Weinberger <span dir="ltr"><<a href="mailto:richard.weinberger@gmail.com" target="_blank">richard.weinberger@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Jan 30, 2015 at 4:32 PM, Ryan Cleere <<a href="mailto:rcleere@gmail.com">rcleere@gmail.com</a>> wrote:<br>
> I guess I don't really have an argument for or against removing some of them<br>
> from <rlimits>. The original patch that I wrote and we use internally only<br>
> allowed setting of RLIMIT_NOFILE, but when I went to publish it back to this<br>
> list is was trivial to just make it a generic interface to all of the<br>
> RLIMIT_* tunables. I don't have a need for them at this time, but I figured<br>
> someone else might find them useful. But if this list can come up with a set<br>
> we want included/excluded then the <rlimits> section can be modified<br>
> accordingly. Although it might be confusing to an operator who is reading<br>
> the setrlimit(2) manpage and can't understand why they can't set the limit<br>
> they are interested in.<br>
<br>
</span>BTW: This should depend on idmap (user namespaces set up).<br>
Without user namespaces root can bypass/reset all these limits.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Thanks,<br>
//richard<br>
</font></span></blockquote></div><br></div>