lxc-test-usernic: drop cgroup handling

This stuff is not needed in a modern systemd based system, and in fact
breaks.  It would probably be better to detect such a system so that a
non-systemd box can still run this test.  But I'm not sure what would be
reliable.

Signed-off-by: Serge Hallyn <serge@hallyn.com>

test-usernic: don't use ifconfig

ifconfig is not available on many modern systems.  Use ip instead.

Maybe it would be better to detect what's available, but that
could become brittle.

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #4391 from gibmat/fix-x32-container-creation

Add x32 to the list of recognized architectures

Add x32 to the list of recognized architectures

LXC supports x32 containers, but currently creation of those containers is broken:

lxc-create: x32-test: ../src/lxc/confile.c: set_config_personality: 1432 Invalid argument - Unsupported personality "x32"
lxc-create: x32-test: ../src/lxc/parse.c: lxc_file_for_each_line_mmap: 129 Failed to parse config file "/var/lib/lxc/x32-test/config" at line "lxc.arch = x32"
lxc-create: x32-test: ../src/lxc/tools/lxc_create.c: main: 317 Failed to create container x32-test

Signed-off-by: Mathias Gibbens <gibmat@debian.org>

Merge pull request #4390 from jacobmcnamee/unpack-tar-xattrs

lxc-download, lxc-local: preserve xattrs on unpack

lxc-download, lxc-local: preserve xattrs on unpack

Update tar invocation to preserve all xattrs when unpacking the rootfs,
notably retaining security.capability xattrs (e.g. for ping, newuidmap)

Note: bsdtar already preserves xattrs with -p

Signed-off-by: Jacob McNamee <jacob@jacobmcnamee.com>

Merge pull request #4388 from mihalicyn/plumb_userns_checks

tree-wide: use container_uses_namespace() in more places

tree-wide: use container_uses_namespace() in less trivial cases

In our current codebase we have a logical pattern:
list_empty(&handler->conf->id_map)
*IF AND ONLY IF*
container does NOT use user namespace

Which is perfectly correct nowadays, but once we (hopefully)
get an "isolated user namespaces" stuff ready it won't be the case.
It will be perfectly fine to have a user namespace with empty
/proc/*/{u,g}id_map files. Nowadays it's also possible,
but this kind of a configuration close to useless and nobody
actually uses it.

No functional changes intended.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

tree-wide: use container_uses_namespace() helper

No functional changes.

Will be useful in future support for an isolated
user namespaces [1]. I have already played with
that locally and found that in the LXC codebase
we have a bunch of different ways to ensure if
a container uses user namespaces or not.

This commit contains a trivial conversion from
an open-coded version of the container_uses_namespace()
helper to an actual use of the helper.

[1] https://lpc.events/event/17/contributions/1569/

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4363 from zhaixiaojuan/main

Add loongarch64 support

Merge pull request #4382 from petermichaux/main

Add Verbose Output in Download Template

Fix error message.

Signed-off-by: Peter Michaux <petermichaux@gmail.com>

Add verbose output in download template.

Signed-off-by: Peter Michaux <petermichaux@gmail.com>

Merge pull request #4381 from petermichaux/patch-1

Align columns in lxc-download.in template

Align columns in lxc-download.in template

Signed-off-by: Peter Michaux <petermichaux@gmail.com>

Add loongarch64 support

Signed-off-by: zhaixiaojuan <zhaixiaojuan@loongson.cn>

Merge pull request #4375 from lxc/dependabot/github_actions/actions/upload-artifact-4

build(deps): bump actions/upload-artifact from 3 to 4

build(deps): bump actions/upload-artifact from 3 to 4

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 3 to 4.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/v3...v4)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3236 from xinhua9569/master

config: try to create workdir if not exist

config: try to create workdir if not exist

Signed-off-by: dongxinhua <dongxinhua@huawei.com>

Merge pull request #4368 from desultory/main

Updated lxc-local template

lxc-local: Add --no-dev option to exclude /dev from the fstree

Signed-off-by: Zen <z@pyl.onl>

lxc-local: Re-organize code to use more functions

Signed-off-by: Zen <z@pyl.onl>

lxc-local: Improve usage info

Signed-off-by: Zen <z@pyl.onl>

lxc-local: Change LXC_CONFIG to LXC_METADATA to match args and be more clear

Signed-off-by: Zen <z@pyl.onl>

Merge pull request #3430 from Der-Jan/master-zfs-fix

Read list until process exits

Merge pull request #4351 from flisk/fix-untagged-vlans-on-bridges-without-default-pvids

don't try to delete vlan 0 from veth

Merge pull request #4169 from cole-miller/link-local

Disable IPv6 link-local addresses for bridged veth

Disable IPv6 link-local addresses for bridged veth

When creating a bridged veth tunnel, disable assignment of IPv6
link-local addresses on the host's end by writing 1 to
/proc/sys/net/ipv6/conf/NAME/disable_ipv6, if it exists.

Signed-off-by: Cole Miller <m@cole-miller.net>

don't try to delete vlan 0 from veth

vid 0 is a special value that indicates the absence of a default pvid

Signed-off-by: flisk <self@flisk.xyz>

Merge pull request #4321 from lkomurcub/libarchive_tar_exclude

Add libarchive tar support for lxc download

Merge pull request #4344 from gibmat/fix-ephemeral-copy

lxc_storage_prepare(): Fix ephemeral copies

conf: fix ephemeral copies

Don't rely on rootfs->bdev_type because that may be NULL. Use storage->type
instead which can't be NULL.

Co-Developed-by: Mathias Gibbens <gibmat@debian.org>
Signed-off-by: Mathias Gibbens <gibmat@debian.org>
Reported-by: Mathias Gibbens <gibmat@debian.org>
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Merge pull request #4370 from simondeziel/no-upstart

Remove support for upstart

config/init: Drop upstart files

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

doc: remove the warning mentionning upstart

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

hooks/ubuntu-cloud-prep: remove upstart handling

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

meson: Remove support for upstart

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

Merge pull request #4357 from ElJeffe/fix-idmap-clear

reset root_nsuid_map and root_nsgid_map when idmaps is cleared

reset root_nsuid_map and root_nsgid_map when idmaps is cleared

Signed-off-by: Jef Steelant <jef@steelant.be>

Merge pull request #4352 from simondeziel/shellcheck-checkconfig

Make `lxc-checkconfig` shellcheck clean

lxc/checkconfig: use multiline `echo`

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: replace `echo -n` by printf

printf is already used for color output.

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: minor cosmetic change

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: avoid subshell (SC2235)

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: remove superfluous (..) around test command (SC2234)

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: check exit code directly (SC2181)

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: replace `! -z` by `-n` (SC2236)

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: add missing quotes to please shellcheck

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: remove some unneeded `echo -n`

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: replace `type` by `command`

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

lxc/checkconfig: replace `cat | grep` with `grep`

Also speedup `grep` invokations while at it.

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

Merge pull request #4349 from mihalicyn/set_timeout_fixup

lxc/lxccontainer: fix do_lxcapi_set_timeout retval

lxc/lxccontainer: fix do_lxcapi_set_timeout retval

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4345 from lxc/dependabot/github_actions/actions/checkout-4

build(deps): bump actions/checkout from 3 to 4

build(deps): bump actions/checkout from 3 to 4

Bumps [actions/checkout](https://github.com/actions/checkout) from 3 to 4.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/v3...v4)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #4343 from stgraber/main

lxccontainer.h: Move new fields to the end

lxccontainer.h: Move new fields to the end

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4341 from stgraber/main

Remove references to LXD

Remove references to LXD

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4339 from hallyn/2023-08-29/consoleperms

Update console perms to 0600

Update console perms to 0600

Closes #4338

We should not give execute permissions to console output.

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #4336 from smoser/fix/api-start-split-better

Fix start api call to split quoted strings in execute or init command.

Fix start api call to split quoted strings in execute or init command.

If a user of the container.start api call provided NULL for the argv
argument, then lxc would load either 'lxc.execute.cmd' or
'lxc.init.cmd' configuration items as the command.

Given a config like:

    lxc.execute.cmd = /usr/bin/touch "file one" "file 2"

lxc would just split the string on spaces and end up executing array:

  ['touch', 'file"', 'one"', '"file', '2"']

This differs from the experience with the `lxc-start` command which
would use lxc_string_split_quoted and execute:

  ['touch', 'file one', 'file 2']

Note that as described in lxc_string_split_quoted, commands that include
nested quotes and possibly other characters are still a problem.  In
those cases, the caller of 'start' can provide an argv array.

Signed-off-by: Scott Moser <smoser@brickies.net>

Merge pull request #4260 from mihalicyn/lxcapi_set_timeout

LXC API extension: set_timeout

Merge pull request #4295 from mihalicyn/apparmor_mount_propagation

Apparmor mount propagation

github: Update for main branch

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4327 from hallyn/2023-07-17/ai

CONTRIBUTING: add a note on AI generated code

CONTRIBUTING: add a note on AI generated code

Signed-off-by: Serge Hallyn <shallyn@cisco.com>

Merge pull request #4324 from hallyn/2023-07-06/bequiet

get_hierarchy: dont WARN about no usable controller

get_hierarchy: dont WARN about no usable controller

If I start a container with loglevel WARN, and (on a pretty
stock ubuntu) do lxc-info -n $c, I get

lxc-start media 20230706233337.765 WARN     cgfsng - cgroups/cgfsng.c:get_hierarchy:142 - There is no useable cpuacct controller
lxc-start media 20230706233337.765 WARN     cgfsng - cgroups/cgfsng.c:get_hierarchy:142 - There is no useable blkio controller

I don't think that's worth WARNing about, so change it to
INFO.

Signed-off-by: Serge Hallyn <shallyn@cisco.com>

Add libarchive tar support for lxc download

This patch fixes unpacking images when the system provided tar is libarchive (bsd-tar). bsd-tar  doesn't support 'exclude' flags (--anchored) like gnu-tar does. Instead each exclude path is prepended with ^ to simulate behavior of --anchored when bsd tar is detected.

Signed-off-by: Levent Komurcu <levent.komurcu@nl.bosch.com>

github: Add DCO/target tests

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4313 from mosbrew-ag/master

explicitly convert *mainloop_handler to __u64

explicitly convert *mainloop_handler to __u64

GCC treats such conversion as warning, while Clang-15 aborts compilation

Signed-off-by: Anatolii Gryzlov <agryzlov.mosbrew@gmail.com>

Merge pull request #4310 from magalilemes/parse-config-file

tests: fix parse_config_file seccomp test

tests: fix parse_config_file seccomp test

Link: https://bugs.launchpad.net/ubuntu-kernel-tests/+bug/1980218
Check if seccomp is enabled before throwing error.

Signed-off-by: Magali Lemes <magali.lemes@canonical.com>

Merge pull request #4309 from stgraber/master

src/tests: Fix container creation errors

src/tests: Fix container creation errors

Signed-off-by: Stéphane Graber <stgraber@ubuntu.com>

Merge pull request #4305 from hallyn/2023-04-21/private_symbols

rename functions which clash with libsystemd's

rename functions which clash with libsystemd's

If statically linking against both liblxc and libsystemd, some
function names conflict:

mkdir_p fd_cloexec path_simplify is_dir is_fs_type

Rename those to lxc_\0, as:

for sym in mkdir_p fd_cloexec path_simplify is_dir is_fs_type; do
git grep "$sym" | awk -F: '{ print $1 }' | sort | uniq | xargs sed -i "s/$sym/lxc_$sym/g"
done

(the above loop wrongly replaces is_dir in meson.build, but
c'est la vie)

Signed-off-by: Serge Hallyn <shallyn@cisco.com>

commands: support timeout in LXC_CMD_GET_STATE

Issue #4257

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

lxccontainer: extend lxccontainer API with set_timeout

lxccontainer set_timeout method allows to set LXC client
timeout for waiting monitor response.

Right now, it's implemented using the SO_RCVTIMEO client
socket option. (But it's the implementation detail that
can be changed in the future.)

This commit doesn't change behavior, because it's just
adds a new option and setter, but not changes any existing
LXC commands implementation. It's also extends internal API
function lxc_cmd with lxc_cmd_timeout.

Issue #4257

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4304 from mihalicyn/io_uring_stuck_fix

mainloop: fix stuck when io_uring is enabled

mainloop: io_uring: disable IORING_POLL_ADD_MULTI

Let's disable IORING_POLL_ADD_MULTI to workaround an issue
with false-positive POLLIN events in CQ.

In my local setup I managed to fix an issue without this
by making terminal FDs non-blocking, but during full
testsuite execution in Jenkins it was found that issue
still persists. So, let's add this ugly workaround too.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

terminal: make a terminal FDs non-blocking

Let's prevent freezes on read(2) by making a terminal FDs non-blocking.

It was discovered that there is an issue with io_uring mainloop when
multishot poll (IORING_POLL_ADD_MULTI) mode is enabled. Sometimes
false-positive poll events are put into a CQ. It makes further read(2)
stuck forever and blocks all mainloop processing for an infinite time.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

file_utils: add fd_make_nonblocking helper

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

file_utils: rename fd_make_nonblocking to fd_make_blocking

Currently, fd_make_nonblocking does exactly the opposite thing,
it clears O_NONBLOCK flag and makes fd blocking.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4300 from solardiz/setproctitle

setproctitle(): Handle potential NULL return from strrchr()

setproctitle(): Handle potential NULL return from strrchr()

Signed-off-by: Solar Designer <solar@openwall.com>

Merge pull request #4299 from tych0/make-setproctitle-safe

make setproctitle()'s /proc/pid/stat parsing safe

make setproctitle()'s /proc/pid/stat parsing safe

it turns out that our parsing of /proc/pid/stat was not safe in general
(though probably safe for lxc, since our executable names do not contain
spaces).

Let's fix this by looking backwards through the file for ), and then
continuing on from there.

This was reported to me by Solar Designer, who pointed me to this thread:
https://twitter.com/solardiz/status/1634204168545001473

Indeed, this is a lot of tap dancing to work around the kernel's 16
character executable limit. Perhaps I'll send a kernel patch to raise that
limit next.

Signed-off-by: Tycho Andersen <tycho@tycho.pizza>

lsm: apparmor: allow to change mount propagation

Long story behind this. Many years ago, Stéphane Graber
discovered an issue with apparmor mount rules.

Since
https://github.com/lxc/lxc/commit/7f2b13275daf68b173474900b1ce2c04105da33f
commit ("apparmor: Update mount states handling") it was prohibited
to change mount propagation flags, just because adding rules which
allow mount propagation user inside the container gets an ability
to mount everything [1].

Now with modern systemd versions this problem become more critical than
before. For instance, ArchLinux containers fail to start without
nesting apparmor profile enabled (because nesting profile effectively
just allow all mounts). Of course, that's a security issue.

We've also enabled sharing on the container rootfs:
https://github.com/lxc/lxc/pull/4229

Now for many workloads it's needed to change propagation flag to
private (see https://github.com/canonical/craft-parts/pull/400).

Issue:
$ lxc-start -F archlinux-test

systemd 253-1-arch running in system mode (+PAM +AUDIT -SELINUX -APPARMOR -IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY +P11KIT -QRENCODE +TPM2 +BZIP2 +LZ4 +XZ +ZLIB +ZSTD +BPF_FRAMEWORK +XKBCOMMON +UTMP -SYSVINIT default-hierarchy=unified)
Detected virtualization lxc.
Detected architecture x86-64.

Welcome to Arch Linux!

bpf-lsm: BPF LSM hook not enabled in the kernel, BPF LSM not supported
Failed to remount root directory as MS_SLAVE: Permission denied
(sd-gens) failed with exit status 1.
[!!!!!!] Failed to start up manager.
Exiting PID 1...

Workaround (unsafe):
$ lxc-start -s lxc.apparmor.allow_nesting=1 -s lxc.apparmor.profile=generated -F arch-test

John Johansen (Apparmor maintainer) and LXD team worked on fix [2].
It was merged to stable AppArmor 3.0 and 3.1 branches already.
There is no stable AppArmor version tag for that, but I think it will
be in the AppArmor version 3.0.10.

See also:
[1] https://bugs.launchpad.net/apparmor/+bug/1597017
[2] https://gitlab.com/apparmor/apparmor/-/merge_requests/333

Fixes: #4280
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4287 from hallyn/2023-03-10/dbus

switch from libsystemd's dbus to dbus-1

console-log test: make sure container is stopped before restarting

Closes #4237

Signed-off-by: Serge Hallyn <serge@hallyn.com>

switch from libsystemd's dbus to dbus-1

This is purely so that we can do static linking.  Linking against
libsystemd makes that a challenge because while it's perfectly simple
to do, distros tend not to provide a libsystemd.a.

Tools that want to (a) link against liblxc and (b) have a statically
linked binary to bind into a minimal container are ill served by
this.  So link against libdbus-1.

.github/workflows/build.yml: switch to dbus-1.
src/lxc/cgroups/cgfsng.c: replace the unpriv_systemd_create_scope(),
   start_scope, and enter_scope() systemd code with dbus-1 code.
src/tests/oss-fuzz.sh: update from libsystemd-dev to libdbus-1-dev
src/tests/oss-fuzz.sh: disable dbus
.github/workflows/*: update from libsystemd-dev to libdbus-1-dev
meson.build and meson_options.txt: switch from sd_bus to dbus
lxc.spec.in: add dbus-1 to BuildRequires

Signed-off-by: Serge Hallyn <serge@hallyn.com>
Changelog: 03/13: use custom iter type so we can cleanup more easily...
Changelog: 03/13: initialize each dbus_iter to { 0 } as mihalicyn suggested.

Merge pull request #4290 from mihalicyn/sk_cloexec

tree-wide: convert fcntl(FD_CLOEXEC) to SOCK_CLOEXEC

tree-wide: convert fcntl(FD_CLOEXEC) to SOCK_CLOEXEC

- replace accept() + fcntl(FD_CLOEXEC) with accept4(..., SOCK_CLOEXEC)
- remove fcntl(FD_CLOEXEC) in lxc_server_init() as we already set
SOCK_CLOEXEC in lxc_abstract_unix_open().

See also: ad9429e52 ("tree-wide: make socket SOCK_CLOEXEC")
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4281 from smoser/feature/oci-squashfs

Add support for squashfs images in oci via atomfs

Allow fuse mounts in apparmor start-container.

Unprivledged user should be able to do fuse mounts during start-container.
Specifically this solves the problem for un-priv fuse mounting via
pre-hook.

Signed-off-by: Scott Moser <smoser@brickies.net>