<html>

  <head>

    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">

      <pre wrap="">

I'm running 1.0.5, I'll test git or 1.0.6 if it come out before I can test a git version.</pre>

      <br>

      <br>

      Il 23/09/2014 16:14, Stéphane Graber ha scritto:<br>

    </div>

    <blockquote cite="mid:20140923141425.GL19386@dakara" type="cite">

      <pre wrap="">That very much looks like the security fix commits we've got a while

back and for which we already have workarounds in git.

Would be great if you could try running the current stable-1.0 branch

and see if that fixes it for you.

On Tue, Sep 23, 2014 at 02:15:08PM +0200, <a class="moz-txt-link-abbreviated" href="mailto:vivo75@gmail.com">vivo75@gmail.com</a> wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">

last long term 3.14.9 has a change that make user lxc fail to start, it

seem the permission problem has been already encountered and fixed

before, in lxc userspace, not in kernel.

=======================

lxc-start --version

1.0.5

=======================

git bisect good | tee -a ${HOME}/bisect.log

9810174c0384f725a31be1dfc64a881695ad465d is the first bad commit

commit 9810174c0384f725a31be1dfc64a881695ad465d

Author: Eric W. Biederman <a class="moz-txt-link-rfc2396E" href="mailto:ebiederm@xmission.com"><ebiederm@xmission.com></a>

Date:   Mon Jul 28 17:10:56 2014 -0700

    mnt: Move the test for MNT_LOCK_READONLY from change_mount_flags

into do_remount

    commit 07b645589dcda8b7a5249e096fece2a67556f0f4 upstream.

    There are no races as locked mount flags are guaranteed to never change.

    Moving the test into do_remount makes it more visible, and ensures all

    filesystem remounts pass the MNT_LOCK_READONLY permission check.  This

    second case is not an issue today as filesystem remounts are guarded

    by capable(CAP_DAC_ADMIN) and thus will always fail in less privileged

    mount namespaces, but it could become an issue in the future.

    Acked-by: Serge E. Hallyn <a class="moz-txt-link-rfc2396E" href="mailto:serge.hallyn@ubuntu.com"><serge.hallyn@ubuntu.com></a>

    Signed-off-by: "Eric W. Biederman" <a class="moz-txt-link-rfc2396E" href="mailto:ebiederm@xmission.com"><ebiederm@xmission.com></a>

    Signed-off-by: Greg Kroah-Hartman <a class="moz-txt-link-rfc2396E" href="mailto:gregkh@linuxfoundation.org"><gregkh@linuxfoundation.org></a>

:040000 040000 fdeae1bccd4d8935fe5ff820bb2a08ae9a19c15e

b2a326f9db8e6e34be00b7ad53f0dc8b203b9e93 M      fs

=======================

log of the fail start follow

I lxc_start_ui - using rcfile

/srv/lxc/lxc_user/.local/share/lxc/apache2/config

I lxc_confile - read uid map: type u nsid 0 hostid 100000 range 65536

I lxc_confile - read uid map: type g nsid 0 hostid 100000 range 65536

W lxc_log - lxc_log_init called with log already initialized

D lxc_conf - allocated pty '/dev/pts/10' (5/6)

I lxc_conf - tty's configured

D lxc_start - sigchild handler set

D lxc_console - opening /dev/tty for console peer

I lxc_caps - Last supported cap was 34

D lxc_console - using '/dev/tty' as console

D lxc_console - 5072 got SIGWINCH fd 11

D lxc_console - set winsz dstfd:8 cols:80 rows:24

I lxc_start - 'apache2' is initialized

D lxc_start - Not dropping cap_sys_boot or watching utmp

I lxc_start - Cloning a new user namespace

I lxc_cgroup - cgroup driver cgroupfs initing for apache2

N lxc_start - switching to gid/uid 0 in new user namespace

D lxc_conf - mounted '/srv/lxc/lxc_user/.local/share/lxc/apache2/rootfs'

on '/usr/lib/lxc/rootfs'

I lxc_conf - 'apache2' hostname has been setup

D lxc_conf - 'eth0' has been setup

I lxc_conf - network has been setup

I lxc_conf - Mounting /dev under /usr/lib/lxc/rootfs

D lxc_conf - entering mount_check_fs for /dev

D lxc_conf - mount_check_fs returning 1 last devtmpfs

D lxc_conf - Bind mounting /dev/.lxc/apache2.f4369c12c7bf962c to

/usr/lib/lxc/rootfs/dev

I lxc_conf - Mounted /dev under /usr/lib/lxc/rootfs

D lxc_conf - remounting /dev/console on /usr/lib/lxc/rootfs/dev/console

to respect bind or remount options

E lxc_conf - Operation not permitted - failed to mount '/dev/console' on

'/usr/lib/lxc/rootfs/dev/console'

E lxc_conf - failed to setup the mount entries for 'apache2'

E lxc_start - failed to setup the container

E lxc_sync - invalid sequence number 1. expected 2

E lxc_start - failed to spawn 'apache2'

E lxc_start_ui - The container failed to start.

E lxc_start_ui - Additional information can be obtained by setting the

--logfile and --log-priority options.

_______________________________________________

lxc-devel mailing list

<a class="moz-txt-link-abbreviated" href="mailto:lxc-devel@lists.linuxcontainers.org">lxc-devel@lists.linuxcontainers.org</a>

<a class="moz-txt-link-freetext" href="http://lists.linuxcontainers.org/listinfo/lxc-devel">http://lists.linuxcontainers.org/listinfo/lxc-devel</a>

</pre>

      </blockquote>

      <pre wrap="">

</pre>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

lxc-devel mailing list

<a class="moz-txt-link-abbreviated" href="mailto:lxc-devel@lists.linuxcontainers.org">lxc-devel@lists.linuxcontainers.org</a>

<a class="moz-txt-link-freetext" href="http://lists.linuxcontainers.org/listinfo/lxc-devel">http://lists.linuxcontainers.org/listinfo/lxc-devel</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>