O sistema de arquivos proc
não suporta recursos, ACL ou até mesmo alterar permissões básicas com chmod
. As permissões do Unix determinam se o processo de chamada obtém acesso. Assim, apenas o root pode gravar esse arquivo. Com namespaces de usuário, essa é a raiz global (aquela no namespace original); root em um contêiner não consegue alterar as configurações de sysctl.
Até onde eu sei, a única solução para alterar uma configuração sysctl de dentro de um espaço de nomes não privilegiado é arranjar um canal de comunicação com o exterior (por exemplo, um socket ou pipe), e ter o processo de escuta como root fora o recipiente.