lxc/conf: do not leak opts.data memory in __lxc_idmapped_mounts_child()

Fixes: Coverity 1641425
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

lxc/network: null-terminate ifname string in lxc_network_recv_name_and_ifindex_from_child()

Fixes: Coverity 1486538
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

tests/lxc-test-snapdeps: try to load overlay kernel module

We don't want test to be skipped just because overlay module
isn't loaded yet.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

tests/lxc-test-rootfs: add idmapped rootfs testcase

I've discovered that we have no test coverage for rootfs
"lxc.rootfs.options = idmap=container" at all.

Let's add this basic test at least.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4566 from mihalicyn/enter_net_ns_errors_fix

lxc/lxccontainer: stop printing misleading errors in enter_net_ns()

lxc/lxccontainer: stop printing misleading errors in enter_net_ns()

In enter_net_ns() we try to enter network namespace at first, before
entering a user namespace to support inherited netns case properly.
It is expected to get EPERM for unprivileged container with non-shared
network namespace at first try. Let's take this into account
and stop misleading users with these error messages.

Link: https://discuss.linuxcontainers.org/t/lxc-ls-fancy-command-shows-operation-not-permitted/24080
Fixes: 3011e79f92ef ("lxccontainer: fix enter_net_ns helper to work when netns is inherited")
Fixes: #4560
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4564 from Container-On-Android/fix/meson.build

meson.build: fix checks for fsconfig and calls

meson.build: use has_header_symbol() instead of get_define() to improve compatibility

Signed-off-by: DreamConnected <1487442471@qq.com>

meson.build: fix checks for fsconfig and calls

move Headers checks up to Calls. keep fsconfig checks on openSUSE #4176

Signed-off-by: Li Lu <1487442471@qq.com>

Merge pull request #4557 from RomanGenexis/meson-specfile-distrosysconfdir

meson.build: set `LXC_DISTRO_SYSCONF` when `-Dspecfile=true`

meson.build: set `LXC_DISTRO_SYSCONF` when `-Dspecfile=true`

Before the change, the `setup` meson step would fail when disabling the
`install-init-files` option:

$ meson setup -Dinstall-init-files=false build
<snip>
meson.build:936:44: ERROR: Entry LXC_DISTRO_SYSCONF not in configuration data.

This is because setting the `LXC_DISTRO_SYSCONF` option is conditional
and requires `install-init-files` to be enabled.

Meanwhile the `specfile` option (default enabled) also requires the
variable above, resulting in a failure when it is unset.

Amend the conditional to also set `LXC_DISTRO_SYSCONF` when `specfile`
option is `true`.

Fixes: 872db5424363 ("build: add more options for customizing install")
Signed-off-by: Roman Azarenko <roman.azarenko+gh@genexis.eu>

Merge pull request #4555 from gibmat/add-loong64-personality

Add loong64 to list of recognized architectures

Add loong64 to list of recognized architectures

Debian refers to the loong architecture as "loong64".

Signed-off-by: Mathias Gibbens <gibmat@debian.org>

Merge pull request #4554 from mihalicyn/no-new-privs-regression-fix

Revert (delay assumption of apparmor labels) to fix a regression

Revert "re-add onexec for apparmor, move label assumption until after container has been setup for attach"

This reverts commit 50dee37cfe3201ed51f477356f81941c960a5511.

Fixes: #4553
Bisected-by: Simon Deziel <simon.deziel@canonical.com>
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4552 from mihalicyn/fix_fuzzing_stuff

src/tests/oss-fuzz: pin meson to 1.7.2 to workaround build failures

src/tests/oss-fuzz: pin meson to 1.7.2 to workaround build failures

See also
https://github.com/google/oss-fuzz/pull/13286/commits/093b2480ce44c38c2418c20df2212f56b9e7fbd2

Thanks to Evgeny Vereshchagin

Fixes: #4551
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4547 from mihalicyn/mnt_opts_parsing_impr

Mount options (lxc.mount.entry) handling improvements

lxc/conf: support flag kind of mount options in lxc.mount.entry options

Currently, if user wants to use a flag-like mount option in lxc.mount.entry,
for example "userxattr" with overlayfs then it will be silently ignored.

Let's fix that by making parse_vfs_attr() to process all mount options.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

lxc/conf: support nosymfollow mount flag

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4550 from stgraber/main

conf: Add support for "move" mount flag

conf: Add support for "move" mount flag

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4549 from mihalicyn/lxc-ci-enable-more-tests

re-enable some tests

src/tests/lxc-test-unpriv: prevent fail on cleanup path

/run/user/$(id -u $TUSER) is a mountpoint for tmpfs, rm -rf
may fail with EBUSY errno. We should mask it and prevent test from marked
as failed because of this.

Also add set -x to make debugging easier in case of failures.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

src/tests/lxc-test-apparmor-mount: prevent fail on cleanup path

/run/user/$(id -u $TUSER) is a mountpoint for tmpfs, rm -rf
may fail with EBUSY errno. We should mask it and prevent test from marked
as failed because of this.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

src/tests/lxc-test-apparmor-generated: enable test

Remove "exit 0" at the beginning of a test to make it actually run.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4548 from simondeziel/ubuntu-14.04

meson.build: remove quirk for Ubuntu 14.04 libcap-dev

meson.build: remove quirk for Ubuntu 14.04 libcap-dev

After some research, it seems that Ubuntu 14.10's libcap-dev package corrected
the mistake and shiped the `.pc` file.

Both Ubuntu releases are very old now so remove the workaround.

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

Merge pull request #4539 from ianmerin/main

delay assumption of apparmor labels

apparmor test: add an overlay container start

make sure that when we start an overlay container, the
init pid is aa-confined.

Signed-off-by: Serge Hallyn <serge@hallyn.com>

re-add onexec for apparmor, move label assumption until after container has been setup for attach

Signed-off-by: Ian Merin <Ian.Merin@ncipher.com>

Merge pull request #4544 from RomanGenexis/4198-fix-container-ttys-env

lxc/conf,start: fix setting container_ttys environment variable

lxc/conf,start: fix setting container_ttys environment variable

Commit eae44ce19931 ("conf: fix append_ttyname()") changed the format
of `conf->ttys.tty_names`, where the `container_ttys=` prefix was
removed.

This seems to have been taken into account in `lxc_create_ttys()` in
`src/lxc/conf.c`, however that's not enough. `do_start()` in
`src/lxc/start.c` clears the environment, and then does `putenv(...)`
directly on the value of `tty_names`. As it no longer has the
`container_ttys=` prefix, this call doesn't have the intended effect.

This behaviour is also confirmed via `ltrace` when doing `lxc-start`:

[pid 53587] liblxc.so.1->setenv("container_ttys", "pts/1 pts/2 pts/3 pts/4", 1) = 0
[pid 53587] liblxc.so.1->clearenv(0, 1, 0, 0)                                   = 0
[pid 53587] liblxc.so.1->putenv("container=lxc")                                = 0
[pid 53587] liblxc.so.1->putenv("pts/1 pts/2 pts/3 pts/4")                      = 0

Given that `do_start()` clears the environment anyway, there is no
reason for another `setenv()` call in `lxc_create_ttys()`, and a fix
is required for `putenv()` in `do_start()`.

Change the `putenv()` call to `setenv()` in `do_start()` to account
for the change of format in `conf->ttys.tty_names`. Remove extraneous
`setenv()` from `lxc_create_ttys()`.

Fixes #4198

Fixes: eae44ce19931 ("conf: fix append_ttyname()")
Signed-off-by: Roman Azarenko <roman.azarenko+gh@genexis.eu>

Merge pull request #4543 from hallyn/2025-04-11/typo

selinux: fix typo (AppArmor)

selinux: fix typo (AppArmor)

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #4540 from simondeziel/meson-bools

meson_options.txt: don't use str when defining bool default values

meson_options.txt: remove space before `:` for consistency

Essentially doing: `s/ : /: /g`

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

meson_options.txt: don't use str when defining bool default values

Avoids this deprecation notice from `meson` 1.3.2:

```
:: NOTICE: Future-deprecated features used:
::  * 1.1.0: {'"boolean option" keyword argument "value" of type str'}
```

Other options already use this syntax so backward compat should remain unchanged.

Signed-off-by: Simon Deziel <simon.deziel@canonical.com>

Merge pull request #4537 from stgraber/main

Remove bionic/android support

bionic: Remove custom getline, openpty and prlimit

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

bionic: Remove bionic detection and support

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

README: Remove mention of old LXC version

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4536 from stgraber/main

start: Re-introduce first SET_DUMPABLE call

start: Re-introduce first SET_DUMPABLE call

Without it, we're running into issues with complex hooks like nvidia.

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4535 from mihalicyn/core_sched_fail_fix

lxc/start: do prctl(PR_SET_DUMPABLE) after last uid/gid switch

lxc/start: do prctl(PR_SET_DUMPABLE) after last uid/gid switch

We need to do prctl(PR_SET_DUMPABLE) later, after last lxc_switch_uid_gid()
call. Because otherwise, our earlier call won't be effective as commit_creds()
in the kernel [1] will set_dumpable(task->mm, suid_dumpable) if UID/GID or capabilities
were affected by lxc_switch_uid_gid() call.

This only affects LXC API ->start(struct lxc_container *c, int useinit, char *const argv[])
call when useinit == 1 because in this case we don't perform additinal exec() and
task's dumpable bit remains set to 2 (default value taken from /proc/sys/fs/suid_dumpable).

If useinit == 0, then we do exec() (see start_ops->start callback) and then dumblable
flag will be reset in begin_new_exec() to SUID_DUMP_USER=1 [2]. Then everything will be fine.

Reproducer (problem with lxc-attach).

1. Create unprivileged container

$ ./normalbuild/src/lxc/tools/lxc-create -n testcaps -t download

with busybox template and config:

lxc.idmap = u 0 100000 65536
lxc.idmap = g 0 100000 65536
lxc.init.uid = 1234
lxc.init.gid = 4321
lxc.init.cwd = /
lxc.sched.core = 1

2. Run a container with useinit = 1

$ ./lxcbuild/src/lxc/tools/lxc-execute -n testcaps -l TRACE -o /home/ubuntu/debug.log -- /bin/sleep 100

1. Try to attach

$ strace -f -e prctl ./normalbuild/src/lxc/tools/lxc-attach -n testcaps

prctl(PR_CAPBSET_READ, CAP_MAC_OVERRIDE) = 1
prctl(PR_CAPBSET_READ, 0x30 /* CAP_??? */) = -1 EINVAL (Invalid argument)
prctl(PR_CAPBSET_READ, CAP_CHECKPOINT_RESTORE) = 1
prctl(PR_CAPBSET_READ, 0x2c /* CAP_??? */) = -1 EINVAL (Invalid argument)
prctl(PR_CAPBSET_READ, 0x2a /* CAP_??? */) = -1 EINVAL (Invalid argument)
prctl(PR_CAPBSET_READ, 0x29 /* CAP_??? */) = -1 EINVAL (Invalid argument)
prctl(PR_SCHED_CORE, PR_SCHED_CORE_GET, 4124, 0 /* PIDTYPE_PID */, [0xd00f7fff]) = 0
strace: Process 4165 attached
strace: Process 4166 attached
[pid  4166] +++ exited with 0 +++
[pid  4164] --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=4166, si_uid=100000, si_status=0, si_utime=0, si_stime=0} ---
strace: Process 4167 attached
[pid  4167] prctl(PR_SCHED_CORE, PR_SCHED_CORE_SHARE_FROM, 1, 0 /* PIDTYPE_PID */, NULL) = -1 EPERM (Operation not permitted)           <<<<< OOPS
[pid  4165] +++ exited with 0 +++
[pid  4164] --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=4165, si_uid=0, si_status=0, si_utime=0, si_stime=0} ---
lxc-attach: testcaps: ../src/lxc/attach.c: do_attach: 1160 Operation not permitted - Failed to join core scheduling domain of 4124
lxc-attach: testcaps: ../src/lxc/attach.c: do_attach: 1382 Failed to attach to container

prctl(PR_SCHED_CORE, PR_SCHED_CORE_SHARE_FROM...) fails with EPERM, because:
- container's init task->mm: (get_dumpable(mm) != SUID_DUMP_USER)
AND
- mm->user_ns == init_user_ns (as there was no exec() and mm_struct->user_ns was set in the initial
user namespace when we run lxc-execute)
( for more details see [3] )

[1] https://github.com/torvalds/linux/blob/acc4d5ff0b61eb1715c498b6536c38c1feb7f3c1/kernel/cred.c#L412
[2] https://github.com/torvalds/linux/blob/a2cc6ff5ec8f91bc463fd3b0c26b61166a07eb11/fs/exec.c#L1331
[3] https://github.com/torvalds/linux/blob/acc4d5ff0b61eb1715c498b6536c38c1feb7f3c1/kernel/ptrace.c#L344

Reported-by: Stéphane Graber <stgraber@stgraber.org>
Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4533 from mihalicyn/bunch_of_fixes_apr2025

A bunch of small fixes

lxc/caps: fix open /proc/sys/kernel/cap_last_cap

Since 7418b27f1 ("tree-wide: use __u32 for capabilities") open
/proc/sys/kernel/cap_last_cap never worked, it was failing with
EXDEV and we were using a fallback codepath to get a last cap.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

lxc/conf: handle rootfs open_at error in lxc_mount_rootfs

If LXC build is misconfigured, for instance, --prefix=/
and /lib is a symlink to /usr/lib then open_at always fails
to open rootfs. Let's add error print to make it easier to
figure out this.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

tools/lxc_attach: fix ENFORCE_MEMFD_REXEC checks

We unconditionally define ENFORCE_MEMFD_REXEC in meson.build
to a corresponding boolean value, so we need to use #if
instead of #ifdef in the code.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4532 from stgraber/main

github: Add packaging workflow

github: Add packaging workflow

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4530 from stgraber/main

Switch to new MAC address prefix

global: Switch to new MAC prefix

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

global: Switch MAC generation to Zabbly prefix

Zabbly obtained the 10:66:6a MAC address prefix for use by
the Linux Containers project.

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4527 from Managor/config

sysconfig/lxc: remove false comment

sysconfig/lxc: remove false comment

Signed-off-by: Managor <42655600+Managor@users.noreply.github.com>

Merge pull request #4521 from mathiasaerts/feature/option-disable-ipv6

Added LXC_IPV6_ENABLE option for lxc-net to enable or disable IPv6

Added LXC_IPV6_ENABLE option for lxc-net to enable or disable IPv6

Signed-off-by: Mathias Aerts <mathias.aerts@delta.blue>

Merge pull request #4524 from stgraber/main

github: Switch to native arm64 runners

Merge pull request #4523 from irnes/fix/bcast

config-bcast: fix incorrect broadcast address calculation

github: Switch to native arm64 runners

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

config-bcast: fix incorrect broadcast address calculation

Signed-off-by: Irnes Mujkanovic <irnes.mujkanovic@gmail.com>

Merge pull request #4517 from mihalicyn/lxc_attach_regression_fix

lxc/attach: Revert "- LXC attach should exit on SIGCHLD"

lxc/attach: Revert "- LXC attach should exit on SIGCHLD"

This reverts commit f02158439677d0c1d4b2ed2ed1ba9bc43923a05d.

Let's revert this change as it introduces 2 regressions:
1. it's not correct to do exit(2) from a signal handler in this case,
as we skip a proper cleaning procedures like restoring PTY configuration
state (see lxc_terminal_delete()) which leads to a problem with a PTY after lxc-attach exits.

[ hint: just try to use lxc-attach on a main branch with this change and you will
see it. After lxc-attach exits you won't be able to type anything in your
current terminal session as it's messed up. ]

2. this introduces race-condition in the code which leads to a
regression on LXD/(and I believe Incus too) which can be seen as
random "Failed to retrieve PID of executing child process" errors
on "lxc exec"/"incus exec" commands. It's extremely hard to reproduce,
but my guess is that we are getting a race condition here, because
by the time when we set a new signal handler for SIGCHLD, transient process
is still alive and when it exists it generates SIGCHLD which may lead to
exit().

3. This changes a behavior of lxc-attach which was there for *years*
and it's quite scary to be honest. I'm not against having this change, but
in a different form, for example we can add a new command line parameter for
lxc-attach command which will enable this behavior.

My first attempt was to fix that change to prevent race, but then
I've noticed that we also have a more serious problem described in (1),
this requires more work to do.

Signed-off-by: Alexander Mikhalitsyn <aleksandr.mikhalitsyn@canonical.com>

Merge pull request #4512 from sdanailo-42/chore/add-useful-logging

conf: useful logging for capabilities

Merge pull request #4511 from sdanailo-42/fix/dbus-hard-coded-address

dbus: replace hardcoded dbus address with environment variable

conf: warn when capabilities are disabled or libcap is not found

The reason for this warning, is that the project will compile and when it does
not work, it's not clear from the logs what the reason might be.

Signed-off-by: Sotir Danailov <sndanailov@gmail.com>

dbus: replace hardcoded dbus address with environment variable

Signed-off-by: Sotir Danailov <sndanailov@gmail.com>

conf: log name of invalid capability in error

Signed-off-by: Sotir Danailov <sndanailov@gmail.com>

Merge pull request #4510 from asainkujovic/undefisnotzero

confile-vlanid: undefined is not a zero value

confile-vlanid: undefined is not a zero value

Signed-off-by: Asain Kujovic <asainnp@gmail.com>

Merge pull request #4509 from asainkujovic/lxc-attach-exit

- LXC attach should exit on SIGCHLD

- LXC attach should exit on SIGCHLD

Signed-off-by: Asain Kujovic <asainnp@gmail.com>

Merge pull request #4506 from stgraber/main

Github Actions improvements

github: Improve progress reporting

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

github: Cleanup OSS-fuzz

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

github: Rework test workflow

Introduce a main "tests" workflow which runs the LXC testsuite on both
x86_64 and aarch64, on a variety of compilers and OS as well as handling
the santizer runs.

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

github: Introduce shared testsuite logic

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

github: Introduce shared build logic

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

github: Update coverity workflow

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4491 from gjaekel/patch-2

fix return code of recursive all of cgroup_tree_prune

Merge pull request #4503 from stgraber/main

init.lxc: Tweak signal handling

lxc.init: Allow SIGHUP from outside the container

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

lxc.init: Ignore user signals coming from inside the contianer

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

lxc.init: Switch to sigaction

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4497 from ElJeffe/enter_net_before_user_ns

network config of unprivileged containers is not shown

lxccontainer: fix enter_net_ns helper to work when netns is inherited

If a network namespace is shared by setting lxc.namespace.share.net and
the container is unprivileged, then the network namespace should be
entered before entering the user namespace. However, if an unprivileged
user started a container, then the network namespace should be entered
after entering the user namespace. To solve this, we try to enter the
network namespace before entering the user namespace. If it did not
succeed, it will be tried again inside the uder namespace.

Signed-off-by: Jef Steelant <jef.steelant_ext@softathome.com>

Merge pull request #4495 from stgraber/main

lxc-net: Replace random IPv6 subnet

lxc-net: Replace random IPv6 subnet

This is meant to be a completely random ULA subnet.

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Merge pull request #4493 from tttuuu888/work-issue-4492

meson: fix minor typo

meson: fix minor typo

Fixes: https://github.com/lxc/lxc/issues/4492
Signed-off-by: Seungki Kim <tttuuu888@gmail.com>

fix return code of recursive all of cgroup_tree_prune

Signed-off-by: Guido Jäkel <g.jaekel@dnb.de>

Merge pull request #4488 from sgalgano/fix-4476

Avoid null pointer dereference when using shared rootfs

Avoid null pointer dereference when using shared rootfs.
rootfs->storage not set by lxc_storage_prepare when using a shared
rootfs.

Fixes: https://github.com/lxc/lxc/issues/4476
Signed-off-by: Steven Galgano <sgalgano@adjacentlink.com>

Merge pull request #4487 from hallyn/kurt-cb/lxc

create_run_template: don't use txtuid and txtguid out of scope

create_run_template: don't use txtuid and txtguid out of scope

It's ok that we don't free the malloc()d space since we're
immediately exec()ing.

Originally-by: Kurt Godwin <kgodwin@itron.com>
Reported-by: Kurt Godwin <kgodwin@itron.com>
Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #4482 from hallyn/2024-09-16/static

meson.build: add -ffat-lto-objects

Merge pull request #4483 from ariel-miculas/support_puzzlefs

Add suppport for PuzzleFS images in the oci template

Add suppport for PuzzleFS images in the oci template

PuzzleFS images (media type 'application/vnd.puzzlefs.image.rootfs.v1')
can be mounted in a similar way to squashfs images, we just have to
detect the type and reuse the existing code for providing a mount
helper. PuzzleFS is a next-generation container filesystem [1] with
several benefits, such as  reduced duplication, reproducible image
builds, direct mounting support and memory safety guarantees.

Since PuzzleFS currently doesn't provide an image config, also add
support for empty image configs, they are supported by the OCI spec [2].

The MOUNT_HELPER is now passed a `--persist <upperdir>` flag, so it
knows that it needs to create an overlay. This is needed because LXC
expects a writable rootfs and both atomfs and puzzlefs are read-only
filesystems.

Example:
```
$ sudo env PATH=$PATH build/src/lxc/tools/lxc-create --name mycontainer -t \
oci -- --url oci:/$HOME/.local/share/puzzlefs/pfs_ubuntu:eg --no-cache

$ sudo build/src/lxc/tools/lxc-start --name mycontainer --foreground /bin/bash
```

--no-cache is needed for puzzlefs until [3] is solved

[1] https://github.com/project-machine/puzzlefs
[2] https://github.com/opencontainers/image-spec/blob/main/manifest.md#image-manifest
[3] https://github.com/project-machine/puzzlefs/issues/131

Signed-off-by: Ariel Miculas-Trif <amiculas@cisco.com>