При попытке запуска вновь созданного контейнера в пользовательском пространстве имён выдаёт следующее: авг 15 01:25:42 comp.ill systemd[1]: Starting Container vpn... авг 15 01:25:42 comp.ill systemd-nspawn[3642]: Failed to set up ID mapped mounts: Operation not permitted авг 15 01:25:42 comp.ill systemd-nspawn[3631]: Short read while reading cgroup mode (0 bytes). The child is most likely dead. авг 15 01:25:42 comp.ill systemd[1]: systemd-nspawn@vpn.service: Main process exited, code=exited, status=1/FAILURE авг 15 01:25:42 comp.ill systemd[1]: systemd-nspawn@vpn.service: Failed with result 'exit-code'. авг 15 01:25:42 comp.ill systemd[1]: Failed to start Container vpn. Стоит убрать опцию '-U' -- как всё волшебным образом взлетает.
На правильный пакет.
cat /etc/sysctl.d/50-systemd-nspawn.conf # 2^23 fs.inotify.max_queued_events = 8388608 # 2^16 fs.inotify.max_user_instances = 65536 # 2^22 fs.inotify.max_user_watches = 4194304 -kernel.idmap_mounts = 1 Спасибо нашим ядрам за заботу о безопасности. Вам решать, что использовать, kernel.idmap_mounts или -U. Паковать такую настройку в пакет systemd-container я еще не решился.