Allow containers to start in AppArmor namespaces

This patch allows users to start containers in AppArmor namespaces.
Users can define their own profiles for their containers, but
lxc-start must be allowed to change to a namespace.

A container configuration file can wrap a container in an AppArmor
profile using lxc.aa_profile.

A process in an AppArmor namespace is restricted to view
or manage only the profiles belonging to this namespace, as if no
other profiles existed. A namespace can be created as follow:
sudo mkdir /sys/kernel/security/apparmor/policy/namespaces/$NAMESPACE

AppArmor can stack profiles so that the contained process is bound
by the intersection of all profiles of the stack. This is achieved
using the '//&' operator as follow:

lxc.aa_profile = $PROFILE//&:$NAMESPACE://unconfined

In this case, even the guest process appears unconfined in the
namespace, it is still confined by $PROFILE.

A guest allowed to access "/sys/kernel/security/apparmor/** rwklix,"
will be able to manage its own profile set, while still being
enclosed in the topmost profile $PROFILE:

Different guests can be assigned the same namespace or different
namespaces. In the first case, they will share their profiles.
In the second case, they will have distinct sets of profiles.

This is validated on privileged containers.

Signed-off-by: Frédéric Dalleau <frederic.dalleau@collabora.com>

Merge pull request #1675 from 0x0916/2017-07-05/lxc-init

lxc-init: some enhancements

Merge pull request #1673 from brauner/2017-07-04/update_readme

README: update

Merge pull request #1677 from 0x0916/2017-07-05/fix-parse-config-file

tests: delete the intermediate file and directory.

Merge pull request #1676 from 0x0916/2017-07-05/fix-headers

fix headers

tests: remove temp lxcpath for attach testcase

Signed-off-by: Long Wang <w@laoqinren.net>

tests: remove the temp container directory

c->destory() will not remove the temp container directory.
This patch fix that.

Signed-off-by: Long Wang <w@laoqinren.net>

tests: create temp file before lxc_container_new

Signed-off-by: Long Wang <w@laoqinren.net>

use same ifndef/define format for all headers

Signed-off-by: Long Wang <w@laoqinren.net>

caps.h: move ifndef/define to the top

Signed-off-by: Long Wang <w@laoqinren.net>

lxc-init: move initialization of act to outside of the loop

Signed-off-by: Long Wang <w@laoqinren.net>

lxc-init: adjust include statements

* Use `#include <lxc/lxccontaienr.h>` style for exported haeders.
* remove used header `caps.h`

Signed-off-by: Long Wang <w@laoqinren.net>

lxc-init: non-functional changes

This patch mainly update the message format to:

* upper the first letter
* end without a dot

all changes are relate to `lxc-init`

Signed-off-by: Long Wang <w@laoqinren.net>

lxc-init: add comment for exclude 32 and 33 signals

Signed-off-by: Long Wang <w@laoqinren.net>

Merge pull request #1674 from 0x0916/2017-07-04/lxc-execute

lxc-execute: print error message when failed

lxc-execute: print error message when failed

Signed-off-by: Long Wang <w@laoqinren.net>

README: update

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #1672 from brauner/2017-07-03/add_cii_best_practices_badge_to_readme

README: add CII Best Practices badge to README

README: add CII Best Practices badge to README

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #1668 from 0x0916/2017-07-03/lxclock

lxclock: bugfix and update some comment

lxclock: non-functional changes

This patch mainly updates comments based on the current code.

Signed-off-by: Long Wang <w@laoqinren.net>

lxclock: return the right error when open lock file failed

Signed-off-by: Long Wang <w@laoqinren.net>

Merge pull request #1667 from 0x0916/2017-07-02/fix-cppcheck-warnings

fix some cppcheck warnings

Merge pull request #1666 from 0x0916/2017-07-02/remove-unused-code

remove the unused macro

fix some cppcheck warnings

use cppcheck tools `cppcheck --enable=warning  .` on lxc source directory.

This patch fix the following warnning

```
[src/lxc/cgroups/cgfs.c:794]: (warning) %ld in format string (no. 3) requires 'long' but the argument type is 'unsigned long'.
[src/lxc/confile.c:4441]: (warning) %d in format string (no. 2) requires 'int' but the argument type is 'unsigned int'.
[src/lxc/confile.c:4502]: (warning) %d in format string (no. 2) requires 'int' but the argument type is 'unsigned int'.
[src/lxc/confile_legacy.c:921]: (warning) %d in format string (no. 2) requires 'int' but the argument type is 'unsigned int'.
[src/lxc/confile_legacy.c:938]: (warning) %d in format string (no. 2) requires 'int' but the argument type is 'unsigned int'.
[src/lxc/lxclock.c:63]: (warning) %zd in format string (no. 1) requires 'ssize_t' but the argument type is 'size_t {aka unsigned long}'.
[src/lxc/tools/lxc_info.c:118]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_info.c:118]: (warning) %u in format string (no. 2) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_info.c:123]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_info.c:127]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_info.c:130]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_top.c:212]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_top.c:212]: (warning) %u in format string (no. 2) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_top.c:217]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_top.c:221]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
[src/lxc/tools/lxc_top.c:224]: (warning) %u in format string (no. 1) requires 'unsigned int' but the argument type is 'signed int'.
```

Signed-off-by: Long Wang <w@laoqinren.net>

remove the unused macro

Signed-off-by: Long Wang <w@laoqinren.net>

Merge pull request #1591 from grzgrzgrz3/regres-lxc-ls

lxc-ls: return all containers by default, new filter - list only defi…

Merge pull request #1664 from d4s/altlinux-template

Added '--apt-conf' argument for ALTLinux template.

Added '--apt-conf' argument for ALTLinux template.

Added [-a|--apt-conf] parameter for selection of exact package
providing 'apt-conf'. By default 'apt-conf-sisyphus' is used for
Sisyphus and 'apt-conf-branch' for the rest of branches.

Signed-off-by: Denis Pynkin <denis.pynkin@collabora.com>

Merge pull request #1658 from 0x0916/2017-06-30/new-configuration-keys

new configuration keys

Merge pull request #1661 from 0x0916/2017-07-01/fix-set-state-error

start: send state to legacy lxc-monitord state server even if no state clients registered

start: send state to legacy lxc-monitord state server even if no state clients registered

This pr https://github.com/lxc/lxc/pull/1618 kill lxc-monitord, for backwards compatibility,
we also send state to legacy lxc-monitord state server in function `lxc_set_state`.

we should also send state if there is no state clients registered, otherwise `lxc-monitor` client will
not get state change event if container changed state to `STARTING` or `RUNNING`.

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1662 from 0x0916/2017-07-01/lxc-monitor-quit

lxc-monitord: exit when got a quit command

lxc-monitord: exit when got a quit command

lxc-monitor has an option to tell lxc-monitord to quit.

```
~/lxc (master) # lxc-monitor --help
lxc-monitor monitors the state of the NAME container

Options :
  -n, --name=NAME   NAME of the container
                    NAME may be a regular expression
  -Q, --quit        tell lxc-monitord to quit
```
But it does not work. This patch fix that.

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: rename lxc.utsname to lxc.uts.name

the legacy keys will be kept around until LXC 3.0 and then will be
removed.

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: rename lxc.devttydir to lxc.tty.dir

the legacy keys will be kept around until LXC 3.0 and then will be
removed

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: namespace lxc.signal keys

* rename lxc.haltsignal to lxc.signal.halt
* rename lxc.rebootsignal to lxc.signal.reboot
* rename lxc.stopsignal to lxc.signal.stop

the legacy keys will be kept around until LXC 3.0 and then will be
removed.

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: namespace lxc.log keys

* rename lxc.logfile to lxc.log.file
* renaem lxc.loglevel to lxc.log.level
* rename lxc.syslog to lxc.log.syslog

the legacy keys will be kept around until LXC 3.0 and then will be
removed.

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: namespace lxc.init keys

* rename lxc.init_cmd to lxc.init.cmd
* rename lxc.init_uid to lxc.init.uid
* rename lxc.init_gid to lxc.init.gid

the legacy keys will be kept around until LXC 3.0 and then will be
removed.

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: rename lxc.limit to lxc.prlimit

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1649 from 0x0916/2017-06-27/wipe-lxc-network-references

wipe all references lxc.network.{[i]}.* and replace with lxc.net.[i].*

confile_legacy: fix lxc_clear_nic error

`lxc_clear_nic` can not clear the nic, because it will not found
the right `netdev`.

testcase from get_item.c

```
313         if (!c->set_config_item(c, "lxc.network.hwaddr", "00:16:3e:xx:xx:xx")) {
314                 fprintf(stderr, "%d: failed to set network.hwaddr\n", __LINE__);
315                 goto out;
316         }
317         if (!c->set_config_item(c, "lxc.network.ipv4", "10.2.3.4")) {
318                 fprintf(stderr, "%d: failed to set ipv4\n", __LINE__);
319                 goto out;
320         }
321
322         ret = c->get_config_item(c, "lxc.network.0.ipv4", v2, 255);
323         if (ret <= 0) {
324                 fprintf(stderr, "%d: lxc.network.0.ipv4 returned %d\n", __LINE__, ret);
325                 goto out;
326         }
327         if (!c->clear_config_item(c, "lxc.network.0.ipv4")) {
328                 fprintf(stderr, "%d: failed clearing all ipv4 entries\n", __LINE__);
329                 goto out;
330         }
331         ret = c->get_config_item(c, "lxc.network.0.ipv4", v2, 255);
332         if (ret != 0) {
333                 fprintf(stderr, "%d: after clearing ipv4 entries get_item(lxc.network.0.ipv4 returned %d\n", __LINE__, ret);
334                 goto out;
335         }
```

line `327` will failed to clear nic, and line `333` give the error.

Signed-off-by: 0x0916 <w@laoqinren.net>

testcase: define a network before checks

Signed-off-by: 0x0916 <w@laoqinren.net>

confile_utils: supporting new net hwaddr key in update_hwaddr

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: supporting new net hwaddr key in network_new_hwaddrs

Signed-off-by: 0x0916 <w@laoqinren.net>

confile_utils: add lxc_config_net_hwaddr

`lxc_config_net_hwaddr` return true if the config entry
is `lxc.network.hwaddr` or `lxc.net.[i].hwaddr`, `lxc.network.[i].hwaddr`

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: update comment: replace p+12 with p+8

Signed-off-by: 0x0916 <w@laoqinren.net>

replace all lxc.network* with lxc.net*

This patch wipe all references to lxc.network{[i]}.*
and replace with lxc.net.{[i]}.* in templates, documentation
and configuration files.

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1652 from 0x0916/2017-06-27/free-downscript

confile: free netdev->downscript

confile: free netdev->downscript

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1650 from 0x0916/2017-06-27/refactor-confile-code

refactor confile code

refactor confile code

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1639 from brauner/2017-06-23/lxc_2_1_preparations

confile: prepare for 2.1.

Merge pull request #1648 from 0x0916/remove-__func__

remove the `__func__` macro

Merge pull request #1647 from 0x0916/update-api-doc

API doc: update note for get_config_item

remove the `__func__` macro

Our logging function will always spew out the function name.

Signed-off-by: 0x0916 <w@laoqinren.net>

API doc: update note for get_config_item

Fix issue: https://github.com/lxc/lxc/issues/505

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1644 from evgeni/centos-7

default to CentOS 7

Merge pull request #1643 from evgeni/aarch64

templates/debian: add aarch64 → arm64 mapping

Merge pull request #1645 from evgeni/centos-altarch

use altarch mirror for CentOS on arches other than i386 and x86_64

use altarch mirror for CentOS on arches other than i386 and x86_64

CentOS only has i386 and x86_64 listed in mirrorlist.centos.org,
use http://mirror.centos.org/altarch/ for all other arches instead

See: https://bugs.centos.org/view.php?id=11250

Signed-off-by: Evgeni Golov <evgeni@debian.org>

default to CentOS 7

Signed-off-by: Evgeni Golov <evgeni@debian.org>

templates/debian: add aarch64 → arm64 mapping

uname -m reports aarch64, but Debian calls the arch arm64

Signed-off-by: Evgeni Golov <evgeni@debian.org>

Merge pull request #1635 from 0x0916/instead-of-strerror

Use strerror(errno) instead of %m

Merge pull request #1640 from 0x0916/update-ignore-file

update .gitignore

update .gitignore

Signed-off-by: 0x0916 <w@laoqinren.net>

Use strerror(errno) instead of %m

Signed-off-by: 0x0916 <w@laoqinren.net>

confile: remove lxc.pivotdir

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

confile: remove lxc.kmsg

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

confile: properly namespace security keys

- lxc.aa_profile => lxc.apparmor.profile
- lxc.aa_allow_incomplete => lxc.apparmor.allow_incomplete
- lxc.se_context => lxc.selinux.context

The legacy keys will be kept around until LXC 3.0 and then will be removed.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #1638 from 0x0916/fix-memory-resource-leak

fix memory and resource leak

Merge pull request #1637 from 0x0916/fix-lxc.pc

Revert "Add a prefix to the lxc.pc"

fix memory and resource leak

Signed-off-by: 0x0916 <w@laoqinren.net>

Revert "Add a prefix to the lxc.pc"

This reverts commit 758243d8af0406e63cc5446c65d415298fa3cef2.

Signed-off-by: 0x0916 <w@laoqinren.net>

Merge pull request #1632 from brauner/2017-06-19/new_network_parser_part_deux

network: new network parser part II

Merge pull request #1633 from lifeng68/Fix_memory_leak

Fix memory leak of 'lxc_tty_state'

confile: do not check for empty value twice

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Fix memory leak of 'lxc_tty_state'

Signed-off-by: Li Feng <lifeng68@huawei.com>

network: test legacy index based networks

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: return negative idx for legacy networks

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: test new network configuration parser

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: new network parser part II

Serge and I discussed the new network parser we've merge a couple of days ago.
He pointed out that a bunch of use-cases we're currently supporting in the old
network parser would be broken by the new parser. As we've pointed out many
times before, we're strongly commited to backwards compatibility and not
breaking existing use-cases. That's why we decided to take a new approach.
Instead of trying to mangle the old parser and new parser to come up with
something that allows a smooth transition we will simply deprecate the old
configuration keys with LXC 3.0. In the meantime we will support the full-blown
old legacy parser and the new network parser. Specifically, this means that
we're deprecating:

    lxc.network.*

in favor of

    lxc.net.*

With LXC 2.1. defining networks using lxc.network.* keys will cause a
deprecation warning to be shown/logged. We strongly suggest that users upgrade
their existing configuration files to switch to the new network configuration
parser. Starting with LXC 3.0 we will remove all lxc.network.* keys and will
only support lxc.net.* style network configurations.

Note that the new network configuration parser will only accept index based
configuration keys, i.e. we are only support lxc.net.[i].* keys without an
index such as lxc.net.type are not supported anymore. The advantages of this
approach are vast. Not just internally, but also user-facing since it is much
clearer what configuration key belongs to what network.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #1631 from tenforward/japanese

Update Japanese lxc.container.conf(5)

doc: Untabify Japanese lxc.container.conf(5)

Tab and white space is mixed in Japanese lxc.container.conf(5), so
unify into the white space.

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

doc: Tweak Japanese lxc.container.conf(5)

Add description of new network configuration, and tweak.

Update for commit b9986e437ba334a3860472a3e01ed2fa221603ab

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Merge pull request #1630 from brauner/2017-06-20/fix_siblk_detection

utils: use 1LU otherwise we overflow

utils: use 1LU otherwise we overflow

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #1628 from tanyifeng/fix_detect_way_of_bitmask

utils: fix the way to detect blocking signal

utils: fix the way to detect blocking signal

Signed-off-by: Yifeng Tan <tanyifeng1@huawei.com>

Merge pull request #1626 from brauner/2017-06-13/new_networks_parser

new network config parser

confile: adapt warning

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: refuse to create unsupported net types

Containers setup by unprivileged users are only able to create veth network
types.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: non-functional changes

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: improve network logging

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: preserve backwards compatibility

The new network parser will support specifying multiple networks in the old
format where each new non-indexed "lxc.network.type" line starts a new network
configuration. This way we don't break users. For now, we just print a
deprecation warning. We will KILL this in LXC 3.0.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: add test-suite for configuration items

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: switch to single find + allocation fun

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: print deprecaton warning for networks

Specifying networks without an index is deprecated.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: remove obsolete logic

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: final cleanup

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>