meson: Add manpages

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Only build tools when requested

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Add tools option

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Re-shuffle PAM

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson_options: Move entries around

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4120 from brauner/2022-05-18.meson.pam

build: add pam_cgfs to meson

Merge pull request #4121 from sitano/ivan_fix_pidfds_loglvl

lxc_can_use_pidfd: don't log error if pidfds not supported, trace

lxc_can_use_pidfd: don't log error if pidfds not supported, trace

Signed-off-by: Ivan Prisyazhnyy <john.koepi@gmail.com>

pam: fix compiler warnings

Signed-off-by: Christian Brauner (Microsoft) <christian.brauner@ubuntu.com>

build: add pam_cgfs to meson

Signed-off-by: Christian Brauner (Microsoft) <christian.brauner@ubuntu.com>

Merge pull request #4115 from terceiro/rename-completion

bash: rename main bash completion file

Merge pull request #4117 from stgraber/master

More meson coverage

meson: Add remaining scripts

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Re-organize dir variables

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Add init helper scripts

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Add common configs

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Add SELinux configs

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Add global config

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

bash: rename main bash completion file

Since the `lxc` binary is actually provided by lxd, the main
bash-completion file needs to be moved away to not conflict with a bash
completion file provided for the `lxc` binary by lxd.

Signed-off-by: Antonio Terceiro <terceiro@debian.org>

Merge pull request #4113 from stgraber/master

More meson tweaks

meson: Add doc examples

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Rework options

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4110 from stgraber/master

More meson fixes

meson: Use dependencies for pkgconfig

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Bump minimal version

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Simplify pc handling

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4109 from stgraber/master

More meson fixes

meson: Add bash completion

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Include the /var paths

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Include rootfs dir

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Setup pkgconfig

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Include headers

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Fix hook install locations

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Fix library version

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Add lxc-attach

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Fix internal binaries

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Fix template installation location

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Get test binaries to match autotools

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4108 from stgraber/master

Meson improvements

Update MAINTAINERS file

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Fix unix epoch

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Update run_command calls

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Install the test binaries

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Cleanup build configs

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

meson: Remove non-existent tests

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4101 from memnoth/fix-fail-exec-dnsmasq

lxc-net.in: fix failure executing dnsmasq

lxc-net.in: fix failure executing dnsmasq

Failure executing dnsmasq happens if misc dir is not existed as the
following error messages.

localhost.localdomain systemd[1]: Starting LXC network bridge setup...
localhost.localdomain lxc-net[5754]: dnsmasq: cannot open or create lease file /usr/local/var/lib/misc/dnsmasq.lxcbr0.leases: No such file or directory
localhost.localdomain dnsmasq[5754]: cannot open or create lease file /usr/local/var/lib/misc/dnsmasq.lxcbr0.leases: No such file or directory
localhost.localdomain dnsmasq[5754]: FAILED to start up
localhost.localdomain lxc-net[5727]: Failed to setup lxc-net.
localhost.localdomain lxc-net[5727]: Failed to setup lxc-net.
localhost.localdomain systemd[1]: lxc-net.service: Main process exited, code=exited, status=1/FAILURE
localhost.localdomain systemd[1]: lxc-net.service: Failed with result 'exit-code'.
localhost.localdomain systemd[1]: Failed to start LXC network bridge setup.

Modify 'lxc-net' script to call 'mkdir -p' command if the directory is not
existed before executing dnsmasq daemon.

Signed-off-by: Leesoo Ahn <lsahn@ooseel.net>

Merge pull request #4099 from corubba/feature/stop-order

tools: lxc-autostart: Reverse order on stop

tools: lxc-autostart: Reverse order on stop

As it was already discussed in lxc/lxd#2082, containers should be
stopped in the opposite order they are started in. LXD does so already,
lxc should do the same.

Signed-off-by: Corubba Smith <corubba@gmx.de>

Merge pull request #4098 from memnoth/mnth/fastpath-mkdir_p

utils: add fastpath routine on mkdir_p function

utils: add fastpath routine on mkdir_p function

Call 'access' to examine whether 'dir' is already existed or not instead
of directly calling 'mkdir' on each dir name separated by slash '/' even though
'dir' is existed.

Signed-off-by: Leesoo Ahn <lsahn@ooseel.net>

Merge pull request #4096 from brauner/2022-03-22.meson

build: add more tests to meson

build: add more tests to meson

Signed-off-by: Christian Brauner (Microsoft) <christian.brauner@ubuntu.com>

tests: fix include statements

Signed-off-by: Christian Brauner (Microsoft) <christian.brauner@ubuntu.com>

Merge pull request #4095 from brauner/2022-03-22.meson

build: add tests to meson

build: add tests to meson

Signed-off-by: Christian Brauner (Microsoft) <christian.brauner@ubuntu.com>

Merge pull request #4091 from JamiKettunen/non-modular-kernels

lxc-checkconfig: Only check probed modules if /proc/modules exists

lxc-checkconfig: Only check probed modules if /proc/modules exists

Kernels can be built with CONFIG_MODULES=n which results in
is_probed() telling the module isn't probed and lsmod spamming the
following to stderr each time it's called:

  libkmod: kmod_module_new_from_loaded: could not open /proc/modules: No such file or directory
  Error: could not get list of modules: No such file or directory

Fix this by "stubbing" is_probed() when /proc/modules doesn't exist
as it's always called after a is_enabled() anyway.

Signed-off-by: Jami Kettunen <jami.kettunen@protonmail.com>

Merge pull request #4090 from brauner/2022-02-22.fixes.4

cgroups: modify cgroup2 attach logic

cgroups: modify cgroup2 attach logic

Recent kernels have seen various permission checking fixes when moving
processes into cgroups. So we're forced to modify how we attach to
containers.

Link: https://discuss.linuxcontainers.org/t/lxd-4-23-unable-to-start-nested-containers
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4089 from brauner/2022-02-22.fixes

ttys: ensure container_ttys= env variable is set correctly

ttys: ensure container_ttys= env variable is set correctly

Fixes: #4088
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4087 from tenforward/japanese

doc: Fix reverse allowlist/denylist in Japanese man page

doc: Fix reverse allowlist/denylist in Japanese man page

Update for commit 2965130c45124a01f017144512c39fc39fa8717c

Signed-off-by: KATOH Yasufumi <karma@jazz.email.ne.jp>

Merge pull request #4085 from brauner/2022-02-20.cgroup.fixes

cgroups: fixes

cgroups: log fd of newly created cgroup

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

cgroups: check that opened file descriptor is a cgroup filesystem

Link: https://discuss.linuxcontainers.org/t/lxd-4-23-unable-to-start-nested-containers/13416
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4078 from stgraber/master

lxc-checkconfig: Fix bashism

doc: Fix reverse allowlist/denylist

Reported at: https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/1957934
Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

lxc-checkconfig: Fix bashism

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4077 from terceiro/lxc-net-on-lxc

lxc-net: don't start by default inside lxc

lxc-net: don't start by default inside lxc

When lxc is installed inside an lxc container, trying to bring up
lxc-net with the default parameters will conflict with the networking
setup for lxc on the host. This breaks all networking inside the
container where lxc is installed.

Signed-off-by: Antonio Terceiro <terceiro@debian.org>

Merge pull request #4069 from brauner/2021-01-21.fixes

lxccontainer: allow xdev when creating the container dir

lxccontainer: allow xdev when creating the container dir

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4065 from stgraber/master

github: Clear default ACL on /home

github: Clear default ACL on /home

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4066 from brauner/2022-01-18.fixes.2

conf, lxccontainer, build: fixes

github: add systemd-coredump

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

github: more detailed compilation instructions

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

github: log system info

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

github: ensure system liblxc is wiped

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

lxccontainer: properly wrap lxcapi_create()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

build: simplify thread local storage handling

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

build: only enable LTO for regular builds

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

lxccontainer: simplify partial file creation

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

lxccontainer: improve create_partial()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

lxccontainer: improve do_lxcapi_create()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

lxccontainer: improve do_lxcapi_save_config()

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

conf: log termination status

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

conf: improve userns_exec_mapped_root()

As we do in all other places, first drop groups, then use
setres{g,u}id().

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4063 from simondeziel/gnupg

github: stop installing gnupg now that it's unused

github: stop installing gnupg now that it's unused

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

Merge pull request #4062 from stgraber/master

lxc-download: Rely on HTTPS only

lxc-download: Rely on HTTPS only

GPG has been a major source of issues over the years with various
attacks on the key network as well as client side issues making it hard
to retrieve our keys.

Back when we introduced the image server, SSL certificates were still
expensive and annoying to setup, so not something we'd have expected
potential mirrors to setup for us. They were also issued for multiple
years, making a compromise of such a certificate quite problematic.

But things have changed since, we now have completely free, very easily
deployable SSL certificates everywhere with the majority of those being
shortlived and with good reporting of issued certificates.

With that, we can now deprecate the GPG validation, disable the fallback
to non-HTTPS download and rely on our indices being accurate because
they've been downloaded from a server with a valid certificate.

This puts LXC more in line with what LXD has done since the beginning
and should offer a more reliable user experience.

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4058 from brauner/2022-01-13.fixes

cgroups: improvements

Merge pull request #4059 from DevinNorgarb/patch-1

Update README.md: Fix broken link (403 Forbidden)

Update README.md: Fix broken link (403 Forbidden)

Signed-off-by: Devin Norgarb dnorgarb@gmail.com

attach: don't pointlessly call cgroup_init()

We can let attach detect that it is running on a cgroup layout without
writable cgroup hierarchies. In that case attach can finish early and
doesn't need to run the heavy-handed cgroup parsing code.

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

commands: log command during file descriptor retrieval

Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4057 from Dmole/patch-2

lxc-checkconfig.in: CONFIG_NF_NAT_IPV4