<div dir="ltr"><div><div><div><div><div><div><div>Hey all.<br><br></div>Curious if anyone has experience with getting capabilities working in unprivileged containers. In particular I am trying to get mlock working...<br><br></div>Everything works as expected running in an unprivileged container. For the lxc.cap.drop is the default (<span class="gmail-pl-s"><span class="gmail-pl-pds"></span>mac_admin mac_override sys_time sys_module sys_rawio) I believe. So I would think that it would work as is... But it doesn't. I know nothing about capabilities other than "man capabilities". I would like it to work for running Vault in an unprivileged lxc (<a href="https://www.vaultproject.io/docs/config/index.html#disable_mlock">https://www.vaultproject.io/docs/config/index.html#disable_mlock</a>) or is that just crazy?<br><br></span></div><span class="gmail-pl-s">Is there some set of apparmor/privileges I can grant to the container other than going fully privileged that would cover this?<br><br></span></div><span class="gmail-pl-s">If anyone is curious I am running this test to see if it works as expected...<br><a href="https://github.com/linux-test-project/ltp/releases/tag/20160510">https://github.com/linux-test-project/ltp/releases/tag/20160510</a><br>(ltp-full-20160510/testcases/kernel/syscalls/mlock/mlock01.c)<br><br></span></div><span class="gmail-pl-s">Any input (even generic points in the right direction would be helpful).<br><br></span></div><span class="gmail-pl-s">Thanks!<br></span></div><span class="gmail-pl-s">Greg<br></span></div>