Gossen Alexey wrote:
Итого нужно 1) Ограничить возможное количество дочерей / внучек / правнучек одного процесса. Потому как можно клонировать процесс не только параллельно, как на примере выше, но и последовательно. Какой параметр был бы для этого подходящим?
С этим обчный ulimit справится
2) Ограничить максимальную выдачу оперативной памяти одному процессу или оставить Н.З., который может быть использован только програмами с UID 0. ulimit на последнее, например, не годится.
Мне ничего готового видеть не приходилось. Но в принципе задача может быть решена и без патчей на ядерном уровне - при помощи сетевого (или висящего на tty) демона, который защитит себя от выгрузки mlockall()'ом, выставит себе риал-тайм приоритет через sched_setscheduler() и реализует в себе функционал ps и skill. Что-то в этом роде.
-- Don't you wish you had more energy... or less ambition?