Make it possible to build w/o kafel and nl3

contain: capabilities

Duplicate logging fd, so it can be used from child process

mount: log

Invalid count 2 -> 1

newuidmap: partial revert

newuidmap: missing pid

common: good types for uids

Uid/Gid fix

Allow to specify multiple uid/gid maps

More debug logging in user.c

Init user-ns setresuid/setresgid before initializing other NSes

cmdline: typo

keep_caps: make effective caps eq to permitted

Support for ambient capabilities

seccomp syscall printing: various formats of /proc/<pid>/syscall

Readme: TOC

Merge branch 'master' of ssh://github.com/google/nsjail

Readme: example for kafel/seccomp-bpf

Remove bpf-helper as it's not needed since kafel/

cmdline: usage

cmdline: usage

cmdline: use of --chroot

subproc: logging

net: log msg

Makefile: Make it possible to disable kafel and libnl3 from envvar

setjmp/longjmp: don't use stack-based jmp_buf, use TLS one

Print time with INFO

Make it compile w/o libnl3

Use subprocClone instead of syscall(__NR_clone)

Comment type + make indent

Less use of USE_KAFEL

Missing USE_KAFEL defines

log: don't print function name with INFO logs

subproc: comments

Typo: subproccloneFunc -> subprocCloneFunc

Make use of subprocClone, plus remove use of syscall(__NR_getpid)

Allow to use kafel_string

Slight rework of kafel use

Use common subprocSystem for executing commands

Make indent

Merge pull request #10 from sroettger/pivot_root_only

Option to skip chroot (for nested user namespaces)

Don't mount over / if pivot_root_only is enabled

The intention behind pivot_root_only is to support nested user
namespaces. However, if we bind mount over /, which happens by default,
the kernel will deny CLONE_NEWUSER.

remove /old_root on --pivot_root_only

New option pivot_root_only to support nested namespaces

If pivot_root_only is setthe chroot in the job setup will be skipped.

Merge pull request #9 from sroettger/newuidmap

Support more complex uid and gid mappings

Support more complex uid and gid mappings

Introduces the new options uid_mapping and gid_mapping that specify
arbitrary custom mappings. If these options are used, nsjail will
use newuidmap/newgidmap to write the map files.

Merge pull request #8 from sroettger/no_no_new_privs

new flag to skip no_new_privs: --disable_no_new_privs

Merge pull request #7 from sroettger/proc_fd_2_fix

Don't try to open /proc/self/fd/2 as we might not have permission

new flag to skip no_new_privs: --disable_no_new_privs

seccomp_policy cmdline

Merge pull request #6 from happyCoder92/master

Kafel support

Kafel support

Don't try to open /proc/self/fd/2 as we might not have permission

The terminal behind fd 2 might be owned by root and can't be opened by the user.
This happens e.g. if you ssh to a server as root and su to the user.

Use O_CLOEXEC when possible to avoid leaking FDs

Make MODE_STANDALONE_ONCE the default mode

The dir must start with '/'

Recursive dir creation

Dont mount /proc as RO

Default chroot is empty now

Use old NULL mount semantics

Names in mount:

Different way of mounting things

Remove -fblocks from Makefile

Remove defer{} calls

Remove -lBlocksRuntime

Conflicting rlim types

Make it a bit more standards friendly

Conflicting enum types

Don't restart accept

Report failure of setting fcntl(FD_CLOEXEC) as error

Merge pull request #5 from sandersdan/cgroup_doc_fixes

Minor cgroup documentation fixes

Minor cgroup documentation fixes.

README

README

Init cgroups with -Me

cmdline help

Enable OOM-killer for cgroups

Use cgroups_mem_max to enable memory limits

Use fname in cgroups

Disable oom_killer

Remove cgroup before reporting process being finished

Init cgroups from parent

Create sub-cgroups instead of using the parent one

More use examples

Unmount cgroup FS after use

More debug for cgroups

More memory cgroup controls

Rudimentary cgroup support

Support for CLONE_NEWCGROUP

Use NULL as src for mounting proc and tmpfs

/proc is ro by defauly

Better logging for closing(fd)

cmdline typos

Implement --pass_fd

Make it compile with clang

Logs LOG/PLOG

LOG->PLOG

Order of includes

Move PID ns to a separate module