Merge pull request #2842 from brauner/2019-02-11/fix_licensing

tree-wide: Fix inconsistent license headers

Merge pull request #3178 from xinhua9569/master

conf: fix memory leak for set config rootfs options

Merge pull request #3202 from brauner/cgroup2_freezer_fixes

cgroups/freezer: rework cgroup2 freezer feature usage

cgroups/freezer: fix and improve cgroup2 freezer implementation

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

cgroups: add DEFAULT_MOUNTPOINT #define

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3196 from brauner/cgroup2_devices_fixes_2

cgroups/devices: use dedicated enums

cgroups/devices: use dedicated enums

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3195 from brauner/cgroup2_devices_fixes

cgroup2: add bpf device controller live update

cgroups/devices: introduce ebpf device cgroup global rule types

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

cgroups/devices: handle NULL

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

configure: enable -Wunused-but-set-variable

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

cgroups/cgfsng: implement cgroup2 device controller live update

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

conf: record cgroup2 devices in parsed format

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

cgroups/cgfsng: "atomically" replace bpf device programs

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

macro: remove unused macros

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

api_extension: add cgroup2_devices api extension

This will only be defined if liblxc was even compiled with bpf supported.
Support itself will be determined at runtime by liblxc itself.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3194 from brauner/cgroup2_devices

cgroups: add cgroup2 device controller support

cgroups: add cgroup2 device controller support

Add a bpf-based device controller implementation.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3193 from lifeng68/master

cgfsng: return attach fail if container stopped

cgfsng: return attach fail if container stopped

Signed-off-by: LiFeng <lifeng68@huawei.com>

conf: fix memory leak for set config rootfs options

Signed-off-by: dongxinhua <dongxinhua@huawei.com>

Merge pull request #3190 from idatahu/fix_ovs_log

fix wrong order of bridge/nic in error message

fix wrong order of bridge/nic in error message

Signed-off-by: Balázs Póka <poka@idata.hu>

Merge pull request #3189 from Rachid-Koucha/patch-2

Typo in a comment

Typo in a comment

"above" was used instead of "below"

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #3187 from brauner/launchpad_bug_1848587

tests: use /dev/null instead of /dev/network_latency

tests: use /dev/loop-control instead of /dev/network_latency

BugLink: https://bugs.launchpad.net/bugs/1848587
The latter device has been removed apparently.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3184 from ffontaine/master

configure.ac: fix build on toolchain without SSP

configure.ac: fix build on toolchain without SSP

Commit 3b5a0eebd4d2efdaa03c6fb11950abfcf081fab8 reverted
3aa7271157d3c815a4426c1f8eaea2f3b6dafa6a resulting in lxc being unable
to be built on toolchain without SSP support

Fixes:
 - http://autobuild.buildroot.org/results/57945f54ffbc5c8764b6891a4516c4907e56ab97

Signed-off-by: Fabrice Fontaine <fontaine.fabrice@gmail.com>

Merge pull request #3182 from aadi123/master

Update cgroup.h

Update cgroup.h

Fixed the documentation to say that cgroupv2 uses a unified hierarchy
Signed-off-by: Aaditya Murthy <amurthy123@utexas.edu>

Merge pull request #3180 from brauner/2019-11-06/terminal_fixes

terminal: bugfixes

terminal: prevent returning invalid pointer

Closes: https://github.com/lxc/lxd/issues/6408
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

terminal: make lxc_terminal_signal_fini() static

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3177 from hallyn/2019-11-01/mapself

lxc-usernsexec: support easily mapping own uid

lxc-usernsexec: support easily mapping own uid

Signed-off-by: Serge Hallyn <shallyn@cisco.com>

Merge pull request #3175 from ralt/pr/execute-attach-exit-code-tests

tests: add tests making sure the exit code is appropriate.

tests: add tests making sure the exit code is appropriate.

lxc2 broke this feature for lxc-execute, and lxc3 broke it for
lxc-attach. This adds a test making sure we don't do the same mistake
a third time.

Signed-off-by: Florian Margaine <florian@platform.sh>

Merge pull request #3174 from Blub/2019-10-29/terminal-init-null-on-error

terminal: return NULL on error in terminal_signal_init

terminal: return NULL on error in terminal_signal_init

Callers expect a NULL on error, and with PR #3171 marking
the pointer as __do_free, we now return a pointer to freed
memory here otherwise.

Signed-off-by: Wolfgang Bumiller <w.bumiller@proxmox.com>

Merge pull request #3171 from brauner/bugfixes

terminal: prevent memory leak for lxc_terminal_state

terminal: prevent memory leak for lxc_terminal_state

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3169 from Blub/2019-10-23/aa_prevent_proc-acpi

apparmor: Prevent writes to /proc/acpi/**

apparmor: Prevent writes to /proc/acpi/**

Same as #3117.

Signed-off-by: Wolfgang Bumiller <w.bumiller@proxmox.com>

Merge pull request #3168 from havmind/memfd_create_powerpc

syscall_wrappers: rename internal memfd_create to memfd_create_lxc

syscall_wrappers: rename internal memfd_create to memfd_create_lxc

In case the internal memfd_create has to be used, make sure we don't
clash with the already existing memfd_create function from glibc.

This can happen if this glibc function is a stub. In this case, at
./configure time, the test for this function will return false, however
the declaration of that function is still available. This leads to
compilation errors.

Signed-off-by: Patrick Havelange <patrick.havelange@essensium.com>

Merge pull request #3161 from tomponline/tp-lxc-destroy

lxc/tools/lxc/destroy: Restores error message on container destroy

lxc/tools/lxc/destroy: Restores error message on container destroy

Partially reverts 65b92ea5fcab559fd21be2685bd2f15ef6d33532 so that trying to destroy a non-existent container gives an error message.

Signed-off-by: Thomas Parrott <thomas.parrott@canonical.com>

Merge pull request #3160 from tenforward/japanese

Update lxc.containers.conf(5) in Japanese

Update lxc.containers.conf(5) in Japanese

Update for commit 767bd70

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Merge pull request #3159 from Rachid-Koucha/patch-1

Bad sgml/man translation

Bad sgml/man translation

When calling "man lxc.container.conf", an internal "man" keyword is displayed :

$ man lxc.container.conf
[...]
lxc.mount.entry
              Specify a mount point corresponding to a line in the fstab format.  Moreover lxc supports mount  propagation,  such  as
              rslave  or  rprivate, and adds three additional mount options.  optional don't fail if mount does not work.  create=dir
              or create=file to create dir (or file) when the point will be mounted.  relative source path is taken to be relative to
              the mounted container root. For instance,

dev/null proc/kcore none bind,relative 0 0
              .fi     <-----------------------------------UNEXPECTED KEYWORD !!!!

The problem seems to come from the missing blanks before "dev/null proc/kcore none bind,relative 0 0"

Moreover, for homogeneity purposes, it is better to use the "programlisting" tag used in the rest of the text instead of  "screen".

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #3157 from tenforward/japanese

Update Japanese lxc.container.conf(5)

Add more info about lxc.start.order in Japanese man

Update for commit 0684250

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Add autodev.tmpfs.size to Japanese lxc.container.conf(5)

Update for commit 63012bd

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Merge pull request #3155 from caioboffo/issue#3147

Send successful output messages to log info instead of error

lxc-destroy: send successful output messages to log info instead of error.

Signed-off-by: Caio B. Silva <caioboffo@gmail.com>

Merge pull request #3154 from ljelinek-cznic/doc-start-order

doc: Add more info about 'lxc.start.order'

doc: Add more info about 'lxc.start.order'

Signed-off-by: Lukas Jelinek <lukas.jelinek@nic.cz>

Merge pull request #3152 from caioboffo/more_autoconf_improvements

Autoconf 2.69 conformance II

update obsolete functions

Signed-off-by: Caio B. Silva <caioboffo@gmail.com>

Merge pull request #3128 from Napsty/add-parameter-devfs_size

Add config parameter for /dev tmpfs size

Add autodev.tmpfs.size config parameter

Signed-off-by: Claudio Kuenzler <ck@claudiokuenzler.com>

Merge pull request #2933 from brauner/2019-04-13/pdeath_signal_fixes

start: handle setting pdeath signal in new pidns

start: handle setting pdeath signal in new pidns

In the usual case the child runs in a separate pid namespace. So far we haven't
been able to reliably set the pdeath signal. When we set the pdeath signal we
need to verify that we haven't lost a race whereby we have been orphaned and
though we have set a pdeath signal it won't help us since, well, the parent is
dead.
We were able to correctly handle this case when we were in the same pidns since
getppid() will return a valid pid. When we are in a separate pidns 0 will be
returned since the parent doesn't exist in our pidns.
A while back, while Jann and I were discussing other things he came up with a
nifty idea: simply pass an fd for the parent's status file and check the
"State:" field. This is the implementation of that idea.

Suggested-by: Jann Horn <jann@thejh.net>
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3150 from brauner/2019-10-04/pidfd_fixes

start: pidfds obviously start - like any fd - at 0

start: pidfds obviously start - like any fd - at 0

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3149 from AlbanVidal/fix-lxc-update-config

Fix lxc-update-config in network.address

Fix lxc-update-config in network.address

Signed-off-by: Alban VIDAL <zordhak@debian.org>

Merge pull request #3146 from caioboffo/autoconf_2_69_conformance

Autoconf 2.69 conformance

allow users to configure the option --enable-feature or --with-package, if an option is given run shell commands action-if-given

Signed-off-by: Caio B. Silva <caioboffo@gmail.com>

Set minimun autoconf version to 2.69 and change obsolete function AC_HELP_STRING for AS_HELP_STRING

Signed-off-by: Caio B. Silva <caioboffo@gmail.com>

Merge pull request #3140 from caioboffo/fix3139

Ensures OpenSSL compatibility with older versions of EVP API.

Merge pull request #3144 from tenforward/japanese

Update Japanese man pages

doc: Add the lxc.net.[i].veth.mode option in Japanese lxc.container.conf(5)

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

doc: Add Japanese pam_cgfs(8) man page

* translate pam_cgfs(8)
* support --{enable,disable}-{commands,tools} in doc/ja

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Merge pull request #3141 from avhvr/man-pam_cgfs

doc: add man page for pam_cgfs

doc: add man page for pam_cgfs

Signed-off-by: Venkata Harshavardhan Reddy Allu <venkataharshavardhan_ven@srmuniv.edu.in>

Ensures OpenSSL compatibility with older versions of EVP API.

Signed-off-by: Caio B. Silva <caioboffo@gmail.com>

Merge pull request #3134 from jcfaracco/loop

utils: Copying source filename to avoid missing info

utils: Copying source filename to avoid missing info.

Some applications use information from LOOP_GET_STATUS64. The file
associated with loop device is pointed inside structure field
`lo_file_name`. The current code is setting up a loop device without
this information. A legacy example of code checking this is cryptsetup:

    static char *_ioctl_backing_file(const char *loop)
    {
        struct loop_info64 lo64 = {0};
        int loop_fd;

        loop_fd = open(loop, O_RDONLY);
        if (loop_fd < 0)
            return NULL;

        if (ioctl(loop_fd, LOOP_GET_STATUS64, &lo64) < 0) {
            close(loop_fd);
            return NULL;
        }

        lo64.lo_file_name[LO_NAME_SIZE-2] = '*';
        lo64.lo_file_name[LO_NAME_SIZE-1] = 0;

        close(loop_fd);
        return strdup((char*)lo64.lo_file_name);
    }

It will return an empty string because lo_file_name was not set.

Signed-off-by: Julio Faracco <jcfaracco@gmail.com>

Merge pull request #3132 from brauner/2019-09-02/cgroup_improvements

cgroups: unify cgfsng_{un}freeze()

cgroups: unify cgfsng_{un}freeze()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3130 from brauner/2019-08-30/cgroup_fixes

cgroup: bugfixes

cgroups: initialize cgroup root directory - encore

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

cgroups: check for empty cgroups on freeze/unfreeze

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3129 from brauner/2019-08-28/fix_cgroup_braino

cgroups: initialize cgroup root directory

cgroups: initialize cgroup root directory

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3112 from avkvl/fix_count_user_network_interfaces

try to fix search user instead of search substring

Merge pull request #3055 from Rachid-Koucha/patch-3

Use file/directory names from macro.h

Merge pull request #3120 from brauner/2019-08-15/cgroup2_freezer

cgroups: support cgroup2 freezer

Merge pull request #3097 from lpirl/proc-1-uid_map-permission-denied

suppress false-negative error in templates and nvidia hook

Merge pull request #3122 from terceiro/lxc-attach-exit-status

lxc-attach: make sure exit status of command is returned

Merge pull request #3117 from P-EB/master

[aa-profile] Deny access to /proc/acpi/**

[aa-profile] Deny access to /proc/acpi/**

Signed-off-by: Pierre-Elliott Bécue <becue@crans.org>

lxc-attach: make sure exit status of command is returned

Commit ae68cad763d5b39a6a9e51de2acd1ad128b720ca introduced a regression that
makes lxc-attach ignore the exit status of the executed command. This was first
identified in 3.0.4 LTS, while it worked on 3.0.3.

  # lxc-attach --version
  3.0.4
  # lxc-attach -n test false; echo $?
  0

Signed-off-by: Antonio Terceiro <terceiro@debian.org>
Bug-Debian: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=934983

Merge pull request #3124 from qianfan-Zhao/lxc-create-abs-path

lxc-create: check absoule path for param '--dir'

cgfsng: mount pure unified cgroup layout correctly

When pure cgroup unified mode is used we cannot pre-mount a tmpfs as this
confuses systemd.
Users should also set lxc.mount.auto = cgroup:force to ensure that systemd in
the container and on the host use identical cgroup layouts.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

lxc-create: check absoule path for param '--dir'

Fix: #3123

Signed-off-by: qianfan Zhao <qianfanguijin@163.com>

cgroups: support cgroup2 freezer

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>