<div dir="ltr"><div><div><div><div><div><div>Hi,<br><br></div>Thanks for the reply. Sorry I missed it -- I'm still in the process of subscribing to the list and caught the reply in the archives.<br><br></div>I'm not seeing a lot in syslog when I attempt to start the container. I do see messages indicating that apparmor is disabled. Checking the kernel config, I've got seccomp and no SELinux, AppArmor or friends. The security framework is the discretionary access control module:<br><br>odroid@minion3:~$ zcat /proc/config.gz |egrep _SECURITY\|SECOMP<br>CONFIG_EXT4_FS_SECURITY=y<br>CONFIG_REISERFS_FS_SECURITY=y<br>CONFIG_JFS_SECURITY=y<br># CONFIG_SECURITY_DMESG_RESTRICT is not set<br># CONFIG_SECURITY is not set<br># CONFIG_SECURITYFS is not set<br>CONFIG_DEFAULT_SECURITY_DAC=y<br>CONFIG_DEFAULT_SECURITY=""<br><br></div>Looking at the LXC/LXD log output when starting the container, I see some seccomp-related stuff that appears to succeed and some that doesn't, but none of it looks fatal to my eye.<br><br></div>I've attached a (gzipped plaintext) copy of the log output here in case it has anything of any consequence.<br><br></div><div>I can start a container using lxc-create and the busybox template and specify '--define lxc.cap.drop=mac_admin' and still get a shell. I didn't strace it to see if it actually succeeded.<br><br></div><div>Thanks again for your help so far.<br></div><div><br></div>Cheers<br></div>Matt<br><br></div>