<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<div name="messageBodySection">You can use a docker container with a custom apparmor profile.</div>
<div name="messageSignatureSection"><br /></div>
<div name="messageReplySection"><br />
On Dec 15, 2015, 02:40 -0800, intrigeri <intrigeri@boum.org>, wrote:<br />
<blockquote type="cite">Hi,<br />
<br />
Peter Palfrader wrote (15 Dec 2015 08:24:25 GMT) :<br />
<blockquote type="cite">https://bugs.torproject.org/17754 reports that tor no longer works in<br />
LXC containers.<br /></blockquote>
<br />
<blockquote type="cite">I have set up an ubuntu wily VM, and a wily LXC container in it, and I<br />
can confirm that with the AppArmorProfile= line in the service file, tor<br />
will not launch.<br /></blockquote>
<br />
Given the logs I see on the ticket, it looks like systemd was not<br />
allowed by the container to apply our AppArmor policy.<br />
Linux namespaces support more and more stuff these days, but they<br />
didn't go as far as supporting stacking AppArmor policies yet:<br />
<br />
https://bugs.launchpad.net/apparmor/+bug/1379535<br />
<br />
... not even mentioning limitations that AppArmor has with stacked<br />
filesystems such as aufs and overlayfs, which are commonly used<br />
for containers.<br />
<br />
<blockquote type="cite">Do you have any ideas how to properly fix this? Or what the best<br />
workaround would be to document?<br /></blockquote>
<br />
Sadly, I don't know what we can do better at the moment than disabling<br />
AppArmor when running in such environments, like:<br />
https://trac.torproject.org/projects/tor/ticket/17754#comment:6<br />
<br />
Cheers,<br />
--<br />
intrigeri<br />
_______________________________________________<br />
tor-dev mailing list<br />
tor-dev@lists.torproject.org<br />
https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev<br /></blockquote>
</div>
</body>
</html>