<div dir="ltr"><div class="gmail_default" style="font-size:small">Thanks for the response. <br></div><div class="gmail_default" style="font-size:small">I disable selinux and a apparmor routinely. My containers are just a way to separate applications, there are no users accessing them, nothing bad can happen.<br></div><div class="gmail_default" style="font-size:small">So basically you are saying that there is no way to run Centos 7 under an Ubuntu host.<br></div><div class="gmail_default" style="font-size:small">Pretty amazing, if I may say.<br></div><div class="gmail_default" style="font-size:small">I think somebody dropped the ball.<br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 6, 2015 at 4:30 AM, Fajar A. Nugraha <span dir="ltr"><<a href="mailto:list@fajar.net" target="_blank">list@fajar.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Feb 6, 2015 at 3:25 AM, CDR <<a href="mailto:venefax@gmail.com">venefax@gmail.com</a>> wrote:<br>
> In Ubuntu 14.04 fully updated and lxc latest.1.1, a container with Centos 7<br>
> never allows connection via lxc-console. It stays as below.<br>
> If you start the container with -F, you can see how it boots and indeed you<br>
> can log in via the console.<br>
><br>
> lxc-console -n centos7<br>
><br>
> Connected to tty 1<br>
> Type <Ctrl+a q> to exit the console, <Ctrl+a Ctrl+a> to enter Ctrl+a itself<br>
><br>
> Is there possible workaround?<br>
<br>
</span>Probably not.<br>
<br>
Thanks to systemd, the only way you could start a c7 container under<br>
ubuntu should be if you use<br>
<br>
lxc.aa_profile = unconfined<br>
lxc.mount.auto =<br>
lxc.cap.drop =<br>
<br>
(or don't specify the last two lines while using your own config file,<br>
not using centos.common.conf). That would pretty much mean the<br>
container could access everything on the host, and my simple test of<br>
running "agetty tty1" inside the container pretty much screwed the<br>
host.<br>
<br>
If you exclusively need c7, it would probably easier to just use a c7<br>
host as well, and use their "supported" method (i.e. docker). That way<br>
you'd at least get selinux protection on the container as well, which<br>
should prevent it from doing "bad stuff" to the host. Plus you don't<br>
have to deal with the mess that is systemd (since they remove it and<br>
replace with fakesystemd). You won't be able to get a login prompt<br>
either, but at least it's a "safer" and supported way to run c7 inside<br>
a container.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Fajar<br>
_______________________________________________<br>
lxc-users mailing list<br>
<a href="mailto:lxc-users@lists.linuxcontainers.org">lxc-users@lists.linuxcontainers.org</a><br>
<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a></font></span></blockquote></div><br></div>