<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Apr 5, 2014 at 7:22 AM, brian mullan <span dir="ltr"><<a href="mailto:bmullan.mail@gmail.com" target="_blank">bmullan.mail@gmail.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div dir="ltr"><i>See Stephane Graber's website (scroll down to section titled "Container Nesting"<br><br><a href="https://www.stgraber.org/2013/12/21/lxc-1-0-advanced-container-usage/" target="_blank">https://www.stgraber.org/2013/12/21/lxc-1-0-advanced-container-usage/</a></i></div>
</blockquote><div><br></div><div>Thank you, Brian.  Is the app armor configuration a strict requirement for container nesting?  Or are there any there other configuration options which could support it?  For instance, something based on selinux?</div>
<div><br></div><div>I read Stephane's walkthrough yesterday and it seems straight forward enough.  It looks like the ```lxc.aa_profile = lxc-container-default-with-nesting``` option will somehow cause the lxc-default-with-nesting apparmor config profile to get loaded.  I'm not quite sure how that profile definition works, though.  Is it an apparmor-specific format?  Will I have to re-compile lxc-1.0.2 with apparmor support enabled (configure --enable-apparmor ...)?<br>
</div>







<div><br></div><div>Sorry to be so inquisitive...  What specifically does apparmor accomplish which enables the container nesting?  Is it simply the management of permissions?  Again, could this be accomplished somehow (albeit in an admittedly more complex manner) without using apparmor?</div>
<div><br></div><div>I ask this for two reasons, first to understand how the nesting is actually accomplished for my own understanding, but also to be able to consider the possibility of reducing the dependency profile of the system implementing these containers -- that is, perhaps it may be possible for me to explicitly configure some permissions in a way that would securely enable container nesting, but also make apparmor not completely necessary.  I'm just trying to understand possibilities and options, is all.</div>
<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><i>If you are not yet using LXC 1.0</i></div>
</blockquote><div><br></div><div>Yes.  Using lxc-1.0.2 with kernel 3.12.15.</div><div><br></div><div><br></div></div></div></div>