<font face="Default Sans Serif,Verdana,Arial,Helvetica,sans-serif" size="2">So  if I understood correctly, this means that lxd could potentially suffer from a weakness in 'lxc monitor' meaning that it is more secure to run unprivileged containers using the low level lxc-... functions?<br><br><font color="#990099">-----"lxc-users" <lxc-users-bounces@lists.linuxcontainers.org> wrote: -----</font><div class="iNotesHistory" style="padding-left:5px;"><div style="padding-right:0px;padding-left:5px;border-left:solid black 2px;">To: LXC users mailing-list <lxc-users@lists.linuxcontainers.org><br>From: Serge Hallyn <serge.hallyn@ubuntu.com><br>Sent by: "lxc-users" <lxc-users-bounces@lists.linuxcontainers.org><br>Date: 01/11/2016 23:36<br>Subject: Re: [lxc-users] is starting unprivileged containers as root as secure as running them as any other user?<br><br><div><font face="Courier New,Courier,monospace" size="2">Quoting Carlos Alberto Lopez Perez (clopez@igalia.com):<br>> On 11/01/16 23:13, Serge Hallyn wrote:<br>> > Quoting david.andel@bli.uzh.ch (david.andel@bli.uzh.ch):<br>> >>  Hmm, this is interesting.<br>> >> I am runnung my container from the unprivileged user 'lxduser' and yet:<br>> >><br>> >> root@qumind:~# ps -ef | grep '[l]xc monitor'<br>> >> root      7609     1  0 11:54 ?        00:00:00 [lxc monitor] /var/lib/lxd/containers pgroonga<br>> >><br>> >> What is wrong here?<br>> > <br>> > You're using lxd.  Lxd runs as root.  You are not starting the<br>> > containers as 'lxduser' - you are making requests as 'lxduser' for<br>> > the root-owned process 'lxd' to start the containers.<br>> <br>> I understood that LXD uses unprivileged containers by default...<br>> <br>> Does this mean that LXD is starting the unprivileged containers as root?<br><br>yes.  It does many things which an unprivileged user cannot do, so it has<br>to run as root.<br><br>The lxc-attach weakness I mentioned does not apply to 'lxc exec', because<br>lxd interposes a pty between your console and the container's.<br>_______________________________________________<br>lxc-users mailing list<br>lxc-users@lists.linuxcontainers.org<br><a href="http://lists.linuxcontainers.org/listinfo/lxc-users">http://lists.linuxcontainers.org/listinfo/lxc-users</a></font></div></lxc-users-bounces@lists.linuxcontainers.org></serge.hallyn@ubuntu.com></div></div><div></div></font>