答案：通过设置cgroup目录所有权和权限，可使非root用户appuser管理特定资源组。首先创建cpu和memory子系统目录，将其所有权赋予appuser；随后该用户可写入进程PID并配置资源限制参数如memory.limit_in_bytes；还可通过systemd服务文件指定User、MemoryLimit等项，由systemd自动处理cgroup权限与创建。此方法基于cgroups v1，v2需使用委派机制实现类似功能。

在 Linux 系统中，cgroups（Control Groups）用于限制、记录和隔离进程组的资源使用（如 CPU、内存、I/O 等）。从权限角度看，只有具备相应权限的用户才能创建或管理 cgroups。通过合理配置，可以实现非 root 用户对特定 cgroup 的控制。以下是一个实用的 cgroups 用户权限控制示例，基于 cgroups v1（常见于大多数传统发行版）。

1. 创建专用 cgroup 子系统

假设我们希望让用户 appuser 能够管理内存和 CPU 资源的限制，但不赋予其 root 权限。

以 root 身份执行以下操作：

这两个目录分别用于 CPU 和内存资源控制。

2. 设置目录所有权和权限

将这些 cgroup 目录的所有权赋予目标用户，使其能够写入配置：

这样 appuser 就可以向这些目录中的 cgroup.procs 或 tasks 文件写入进程 PID，并设置 cpu.cfs_quota_us、memory.limit_in_bytes 等参数。

3. 验证用户权限

切换到 appuser 用户：

尝试设置内存限制：

启动一个进程并加入该 cgroup：

echo $$ > /sys/fs/cgroup/memory/appgroup/cgroup.procs # 当前 shell 进程加入 cgroup

此时该 shell 及其子进程将受到内存限制。

4. 使用 systemd 启动服务时集成 cgroup 控制（可选）

如果使用 systemd 管理服务，可通过 .service 文件指定资源限制，由 systemd 自动创建 cgroup 并赋权：

systemd 会为该服务自动创建对应的 cgroup，并确保 appuser 有足够权限运行进程。

基本上就这些。只要正确设置文件系统权限，非特权用户也能安全地使用 cgroups 实现资源控制，避免全局 root 权限滥用。注意：cgroups v2 使用统一层级结构，权限模型略有不同，需配合委扈权限（delegation）机制实现类似效果。实际部署时建议结合 systemd 或容器运行时（如 Docker）简化管理。