Какой из следующих механизмов обеспечивает более строгую изоляцию процессов в Linux по сравнению с обычными user namespaces?