seccomp: s/HAVE_DECL_SECCOMP_NOTIF_GET_FD/HAVE_DECL_SECCOMP_NOTIFY_FD/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: /sseccomp_notif_free/seccomp_notify_free/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: s/seccomp_notif_alloc/seccomp_notify_alloc/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: s/seccomp_notif_id_valid/seccomp_notify_id_valid/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: s/seccomp_notif_send_resp/seccomp_notify_respond/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: s/seccomp_notif_receive/seccomp_notify_receive/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: s/seccomp_notif_get_fd/seccomp_notify_fd/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: s/SCMP_ACT_USER_NOTIF/SCMP_ACT_NOTIFY/g

Align with upstream libseccomp.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3010 from brauner/2019-05-17/bugfixes

lxccontainer: cleanup attach functions

lxccontainer: cleanup attach functions

Specifically, refloat function arguments and remove useless comments.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3009 from brauner/2019-05-16/rework_attach

attach: do not reload container

attach: do not reload container

Let lxc_attach() reuse the already initialized container.

Closes https://github.com/lxc/lxd/issues/5755.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3006 from tomponline/tp-phys-downhook

network: Fixes bug that stopped down hook from running for phys netdevs

network: Fixes bug that stopped down hook from running for phys netdevs

Signed-off-by: Thomas Parrott <thomas.parrott@canonical.com>

Merge pull request #3005 from tomponline/tp-phys-ns-restore

network: move phys netdevs back to monitor's net ns rather than pid 1's

network: move phys netdevs back to monitor's net ns rather than pid 1's

Updates lxc_restore_phys_nics_to_netns() to move phys netdevs back to the monitor's network namespace rather than the previously hardcoded PID 1 net ns.

This is to fix instances where LXC is started inside a net ns different from PID 1 and physical devices are moved back to a different net ns when the container is shutdown than the net ns than where the container was started from.

Signed-off-by: Thomas Parrott <thomas.parrott@canonical.com>

Merge pull request #3004 from brauner/master

configure: handle checks when cross-compiling

configure: handle checks when cross-compiling

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #3001 from Rachid-Koucha/patch-11

Use %m instead of strerror() when available

Error prone semicolon

Suppressed error prone semicolon in SYSTRACE() macro.

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Use %m instead of strerror() when available

Use %m under HAVE_M_FORMAT instead of strerror()

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #2999 from rikardfalkeborn/fix-realloc-memleak-proctitle

initutils: Fix memleak on realloc failure

Merge pull request #2998 from rikardfalkeborn/fix-returning-non-bool

Fix returning -1 in functions with return type bool

Merge pull request #3000 from Rachid-Koucha/patch-11

Config: check for %m availability

Config: check for %m availability

GLIBC supports %m to avoid calling strerror(). Using it saves some code space.
==> This check will define HAVE_M_FORMAT to be use wherever possible (e.g. log.h)

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

initutils: Fix memleak on realloc failure

Signed-off-by: Rikard Falkeborn <rikard.falkeborn@gmail.com>

zfs: Fix return value on zfs_snapshot error

Returning -1 in a function with return type bool is the same as
returning true. Change to return false to indicate error properly.

Detected with cppcheck.

Signed-off-by: Rikard Falkeborn <rikard.falkeborn@gmail.com>

lvm: Fix return value if lvm_create_clone fails

Returning -1 in a function with return type bool is the same as
returning true. Change to return false to indicate error properly.

Detected with cppcheck.

Signed-off-by: Rikard Falkeborn <rikard.falkeborn@gmail.com>

criu: Remove unnecessary return after _exit()

Since _exit() will terminate, the return statement is dead code. Also,
returning -1 from a function with bool as return type is confusing.

Detected with cppcheck.

Signed-off-by: Rikard Falkeborn <rikard.falkeborn@gmail.com>

Merge pull request #2997 from rst0git/criu-v-option

criu: Use -v4 instead of -vvvvvv

criu: Use -v4 instead of -vvvvvv

CRIU has only 4 levels of verbosity (errors, warnings, info, debug).
Thus, using `-v4` is more appropriate.

https://criu.org/Logging

Signed-off-by: Radostin Stoyanov <rstoyanov1@gmail.com>

Merge pull request #2993 from Rachid-Koucha/patch-9

New --bbpath option and unecessary --rootfs checks

Option --busybox-path instead of --bbpath

As suggested during the review.

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #2996 from brauner/Rachid-Koucha-patch-10

lxccontainer: do not display if missing privileges

lxccontainer: do not display if missing privileges

lxc-ls without root privileges on privileged containers should not display
information. In lxc_container_new(), ongoing_create()'s result is not checked
for all possible returned values. Hence, an unprivileged user can send command
messages to the container's monitor. For example:

$ lxc-ls -P /.../tests -f
NAME     STATE AUTOSTART GROUPS IPV4 IPV6 UNPRIVILEGED
ctr -     0         -      -    -    false
$ sudo lxc-ls -P /.../tests -f
NAME     STATE   AUTOSTART GROUPS IPV4      IPV6 UNPRIVILEGED
ctr RUNNING 0         -      10.0.3.51 -    false

After this change:

$ lxc-ls -P /.../tests -f      <-------- No more display without root privileges
$ sudo lxc-ls -P /.../tests -f
NAME     STATE   AUTOSTART GROUPS IPV4      IPV6 UNPRIVILEGED
ctr RUNNING 0         -      10.0.3.37 -    false
$

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

New --bbpath option and unecessary --rootfs checks

. Add the "--bbpath" option to pass an alternate busybox pathname instead of the one found from ${PATH}.
. Take this opportunity to add some formatting in the usage display
. As a try is done to pick rootfs from the config file and set it to ${path}/rootfs, it is unnecessary to make it mandatory

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #2992 from brauner/2019-05-10/coding_style_update

coding style: update

coding style: update

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2985 from tomponline/tp-mtu

network: Adds mtu support for phys and macvlan types

Merge pull request #2989 from Rachid-Koucha/patch-8

Redirect error messages to stderr

Redirect error messages to stderr

Some error messages were not redirected to stderr.
Moreover, do "exit 0" instead of "exit 1" when "help" option is passed.

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #2986 from brauner/2019-05-09/clone_pidfd

start: use CLONE_PIDFD

start: use CLONE_PIDFD

Use CLONE_PIDFD when possible.

Note the clone() syscall ignores unknown flags which is usually a design
mistake. However, for us this bug is a feature since we can just pass the flag
along and see whether the kernel has given us a pidfd.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

api: Adds the network_phys_macvlan_mtu extension

This will allow LXD to check for custom MTU support for phys and macvlan devices.

Signed-off-by: Thomas Parrott <thomas.parrott@canonical.com>

network: Restores phys device MTU on container shutdown

The phys devices will now have their original MTUs recorded at start and restored at shutdown.

This is to protect the original phys device from having any container level MTU customisation being applied to the device once it is restored to the host.

Signed-off-by: Thomas Parrott <thomas.parrott@canonical.com>

namespace: support CLONE_PIDFD with lxc_clone()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: Adds mtu support for phys and macvlan types

Signed-off-by: Thomas Parrott <thomas.parrott@canonical.com>

Merge pull request #2984 from brauner/2019-05-09/clone_pidfd

clone: add infrastructure for CLONE_PIDFD

clone: add infrastructure for CLONE_PIDFD

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=eac7078a0fff1e72cf2b641721e3f55ec7e5e21e

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

raw_syscalls: simplify assembly

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>
Co-developed-by: David Howells <dhowells@redhat.com>
Signed-off-by: David Howells <dhowells@redhat.com>

Merge pull request #2906 from brauner/2019-03-12/namespace_switching

utils: improve switch_to_ns()

utils: improve switch_to_ns()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2983 from tenforward/japanese

Update Japanese lxc.container.conf(5)

doc: Fix and improve Japanese translation

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>
Reviewed-by: Hiroaki Nakamura <hnakamur@gmail.com>

doc: Update Japanese lxc.container.conf(5)

This is the translation for the following description:
  - lxc.seccomp.notify.proxy (commit 8a64375)
  - host side veth device static routes (commit d4a7da4)
  - IPVLAN (commit c9f5238)
  - Layer 2 proxy mode (commit 6509154)
  - gateway device route mode (commit a2f9a67)

and fix typo in English man page.

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Merge pull request #2982 from Rachid-Koucha/patch-5

Devices created in rootfs instead of rootfs/dev

Devices created in rootfs instead of rootfs/dev

Added /dev in the mknod commands.

Signed-off-by: Rachid Koucha <rachid.koucha@gmail.com>

Merge pull request #2981 from tomponline/tp-veth-gateway

network: Re-works veth gateway logic

network: Re-works veth gateway logic

Handles more errors and gives better error messages.

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2979 from tomponline/tp-vlan-mtu

network: Makes vlan network interfaces set mtu before upscript called

Merge pull request #2978 from tomponline/tp-ipvlan-mtu

network: Adds custom mtu support for ipvlan interfaces

network: Makes vlan network interfaces set mtu before upscript called

This is consistent with veth and ipvlan types.

Also makes the debug message for success occur after up script has run.

Also makes device clean up on error more thorough and consistent.

Signed-off-by: tomponline <thomas.parrott@canonical.com>

network: Adds custom mtu support for ipvlan interfaces

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2976 from brauner/2019-05-06/bugfixes

seccomp: document path calculation

Merge pull request #2977 from brauner/2019-05-06/pidfd_send_signal

raw_syscalls: add initial support for pidfd_send_signal()

raw_syscalls: add initial support for pidfd_send_signal()

Well, I added this syscall so we better use it. :)

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

seccomp: document path calculation

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2974 from brauner/master

tree-wide: make socket SOCK_CLOEXEC

Merge pull request #2975 from brauner/2019-05-04/returns_twice

compiler: add __returns_twice attribute

compiler: add __returns_twice attribute

The returns_twice attribute tells the compiler that a function may return more
than one time. The compiler will ensure that all registers are dead before
calling such a function and will emit a warning about the variables that may be
clobbered after the second return from the function. Examples of such functions
are setjmp and vfork. The longjmp-like counterpart of such function, if any,
might need to be marked with the noreturn attribute.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2973 from tomponline/tp-gw-dev

network: Adds gateway device route mode

Merge pull request #2968 from tomponline/tp-ipvlan-l2proxy

network: Static routes for IPVLAN with L2PROXY

network: Adds ipvlan static routes for l2proxy mode

Signed-off-by: tomponline <thomas.parrott@canonical.com>

tree-wide: make socket SOCK_CLOEXEC

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

network: Adds gateway device route mode

Adds ability to specify "dev" as the gateway value, which will cause a device route to be set as default gateway.

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2964 from tomponline/tp-l2proxy

network: Adds layer 2 (ARP/NDP) proxy mode

Merge pull request #2972 from brauner/2019-05-02/seccomp_notify_mem_fd

seccomp: send process memory fd

Merge pull request #2971 from hallyn/2019-05-01/nsshare.2

namespaces: allow a pathname to a nsfd for namespace to share

seccomp: send process memory fd

There's an inherent race when reading a process's memory. The easiest way is to
have liblxc get an fd and check that the race was one, send it to the caller
(They are free to ignore it if they don't use recvmsg()).

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

namespaces: allow a pathname to a nsfd for namespace to share

Signed-off-by: Serge Hallyn <shallyn@cisco.com>

network: Adds layer 2 (ARP/NDP) proxy mode

Adds the lxc.net.[i].l2proxy flag that can be either 0 or 1.

Defaults to 0.

This, when used with lxc.net.[i].link, will add IP neighbour proxy entries on the linked device
for any IPv4 and IPv6 addresses on the container's network device.

Additionally, for IPv6 addresses it will check the following sysctl values and fail with an error if not set:

net.ipv6.conf.[link].proxy_ndp=1
net.ipv6.conf.[link].forwarding=1

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2969 from brauner/2019-05-01/seccomp_fixes

seccomp: ensure fields are set to 0

seccomp: ensure fields are set to 0

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2950 from tomponline/tp-ipvlan

network: Adds IPVLAN support

network: Adds IPVLAN support

Example usage:

lxc.net[i].type=ipvlan
lxc.net[i].ipvlan.mode=[l3|l3s|l2] (defaults to l3)
lxc.net[i].ipvlan.flags=[bridge|private|vepa] (defaults to bridge)
lxc.net[i].link=eth0
lxc.net[i].flags=up

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2967 from brauner/2019-05-01/seccomp_notifier_api_removal

seccomp: remove alignment requirements

seccomp: remove alignment requirements

since apparently there are insane programming languages out there that just
silently remove packed members in structs.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2966 from brauner/2019-05-01/seccomp_notifier_api_removal

seccomp: don't commit to an api just yet

seccomp: don't commit to an api just yet

I'm not sure that I want to be married (to this layout) just yet.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2965 from brauner/2019-05-01/seccomp_notifier_fixes

seccomp: notifier fixes

seccomp: notifier fixes

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #2961 from tomponline/tp-static-net-funcs

network: Makes some routing functions static

network: Makes some routing functions static

The following functions can be made static for consistency:

lxc_ipv4_dest_add
lxc_ipv6_dest_add
lxc_ip_route_dest_add (renamed)

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2960 from tomponline/tp-seccomp-apiext-docs

docs: Adds missing doc entries for seccomp related API extensions

docs: Adds missing doc entries for seccomp related API extensions

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2949 from tomponline/tp-veth-routes

network: Adds veth static routes feature

Merge pull request #2957 from tomponline/tp-macvlan-mode

network: Fixes bug in macvlan mode selection

network: Fixes bug in macvlan mode selection

Signed-off-by: tomponline <thomas.parrott@canonical.com>

Merge pull request #2956 from brauner/2019-04-29/seccomp_trap_cleanup

seccomp: cleanup

seccomp: cleanup

Simplify and cleanup some of the seccomp code. This mainly focuses on removing
the open coding of various seccomp settings all over the code place in favor of
centralized helpers.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>