Там нигде не сказано, там создаётся цэгруппа FF_limited и даются права колесу в ней запускать процессы. В иконке фокса я написал такую хрень: "cgexec -g memory,cpu,cpuset:FF_limited firefox -no-remote -p %u". И стартую его через там.
Да вот поправочка, со временем открыл для себя, что надо memory.memsw.limit_in_bytes делать такой же как и лимит памяти, чтобы при исчерпании RAM он не утраивал треш в свопе:
<code land="bash">
memory {
memory.limit_in_bytes = 5g;
memory.memsw.limit_in_bytes = 5g;
}
</code>
А я не знаю как определить группу во второй версии. У меня обе версии работают, но v.2 ничего про фокс не знает, с её точки зрения все процессы сидят в одном слайсе.
Re:А что, ulimit/rlimit уже отменили что ли?
Там нигде не сказано, там создаётся цэгруппа FF_limited и даются права колесу в ней запускать процессы. В иконке фокса я написал такую хрень: "cgexec -g memory,cpu,cpuset:FF_limited firefox -no-remote -p %u". И стартую его через там.
Да вот поправочка, со временем открыл для себя, что надо memory.memsw.limit_in_bytes делать такой же как и лимит памяти, чтобы при исчерпании RAM он не утраивал треш в свопе: <code land="bash"> memory { memory.limit_in_bytes = 5g; memory.memsw.limit_in_bytes = 5g; } </code>
А я не знаю как определить группу во второй версии. У меня обе версии работают, но v.2 ничего про фокс не знает, с её точки зрения все процессы сидят в одном слайсе.
Кстати, вон для фокса и не только тюрьму выпустили новую: Выпуск системы изоляции приложений Firejail 0.9.60 - может оно и лучше для целей. Народ, к слову плюётся там в обсуждении, пишут что bubblewrap лучше.
Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:67.0) Gecko/20100101 Firefox/67.0