答案:通过设置cgroup目录所有权和权限,可使非root用户appuser管理特定资源组。首先创建cpu和memory子系统目录,将其所有权赋予appuser;随后该用户可写入进程PID并配置资源限制参数如memory.limit_in_bytes;还可通过systemd服务文件指定User、MemoryLimit等项,由systemd自动处理cgroup权限与创建。此方法基于cgroups v1,v2需使用委派机制实现类似功能。
在 linux 系统中,cgroups(Control Groups)用于限制、记录和隔离进程组的资源使用(如 CPU、内存、I/O 等)。从权限角度看,只有具备相应权限的用户才能创建或管理 cgroups。通过合理配置,可以实现非 root 用户对特定 cgroup 的控制。以下是一个实用的 cgroups 用户权限控制示例,基于 cgroups v1(常见于大多数传统发行版)。
1. 创建专用 cgroup 子系统
假设我们希望让用户 appuser 能够管理内存和 CPU 资源的限制,但不赋予其 root 权限。
以 root 身份执行以下操作:
mkdir /sys/fs/cgroup/cpu/appgroup mkdir /sys/fs/cgroup/memory/appgroup
这两个目录分别用于 CPU 和内存资源控制。
2. 设置目录所有权和权限
将这些 cgroup 目录的所有权赋予目标用户,使其能够写入配置:
chown -R appuser:appuser /sys/fs/cgroup/cpu/appgroup chown -R appuser:appuser /sys/fs/cgroup/memory/appgroup
这样 appuser 就可以向这些目录中的 cgroup.procs 或 tasks 文件写入进程 PID,并设置 cpu.cfs_quota_us、memory.limit_in_bytes 等参数。
3. 验证用户权限
切换到 appuser 用户:
su – appuser
尝试设置内存限制:
echo 100000000 > /sys/fs/cgroup/memory/appgroup/memory.limit_in_bytes
启动一个进程并加入该 cgroup:
echo $$ > /sys/fs/cgroup/memory/appgroup/cgroup.procs # 当前 shell 进程加入 cgroup
此时该 shell 及其子进程将受到内存限制。
4. 使用 systemd 启动服务时集成 cgroup 控制(可选)
如果使用 systemd 管理服务,可通过 .service 文件指定资源限制,由 systemd 自动创建 cgroup 并赋权:
[Service] User=appuser MemoryLimit=100M CPUQuota=50%
systemd 会为该服务自动创建对应的 cgroup,并确保 appuser 有足够权限运行进程。
基本上就这些。只要正确设置文件系统权限,非特权用户也能安全地使用 cgroups 实现资源控制,避免全局 root 权限滥用。注意:cgroups v2 使用统一层级结构,权限模型略有不同,需配合委扈权限(delegation)机制实现类似效果。实际部署时建议结合 systemd 或容器运行时(如 docker)简化管理。