Add nsjail test Tizen application

This is an application to execute nsjail for testing nsjail in Tizen application Environment.

Use build script "build_test_runner.sh" to build. You need to install Tizen CLI to build.
You can execute the app like following.
 - $> aul_test launch test_runner execute /usr/bin/nsjail_test/jail_mem_syscall_test

Add nsjail service for Tizen distribution

Tizen will use nsjail as application container by using USER Namespeace.

If creating new user namespace, the new user can get admin(root) privilege in the namespace,
and can use several kernel resource by creating other namespaces.

However, the new user namesapce cannot access unprivilged resource in original namespace.
For that, Tizen nsjail service creates some resources (directories for cgroup, and bind mount tmp directories) for the new user namespace.

cf) Each Tizen App has each smack label.
    Unfortunatly, nsjail does not consider such issue for bind mount.
    For that, at this moment, we create new user's uid based folder name for each application.
    In the future, the folder name should be created on basis of Tizen package name.

Add runner-sandbox.cfg for Tizen nsjail test

Nsjail uses a specific configuration file for jailing.
For testing nsjail in Tizen, sthub script engine runner sandbox.cfg is added.
You can test it like following.

nsjail -v --config /usr/share/runner-sandbox.cfg -- /usr/bin/nsjail_test/jail_mem_syscall_test

Add Simple test program for Tizen nsjail

 - memory limit test
 - syscall(getuid) violation test

The more test programs should be created

Adjust cgroup cpu for Tizen

Latest public Tizen does not support cfs_period_us or cfs_quota_us because CONFIG_FAIR_GROUP_SCHED, CONFIG_CFS_BANDWIDTH are not enabled.
Thus, instead of strict cpu limitation using cfs_quota, use cpu_shares.
The cpu_shares of each NSJAIL process will be assigned according to ratio (cfs_quota/cfs_period)

This is temporary patch and is not well validated.
Tizen will consider to enable the kernel option for cfs_quota_us.

Creating nsjail RPM specification and build patch based on upstream-git branch

Upstream git was created with "nsjail 2021-07-07 version"
For Tizen RPM, additional patches were created based on the open source version

1) Linking to upstream-git branch - .gbs.conf
   : You can check the Tizen open source updating guide at https://wiki.tizen.org/Updating_packages

2) Creating kafel.tar.gz
   : Unfortunately, Tizen does not provide git tool at build time. (git-core package is required)
   : Thus, instead of using git submodule command, create kafel.tar.gz from the git submodule.
   : For your information, following patch is added for the kafel for fixing build error (TODO)

+// Fix for Linux <3.12
+#ifndef EM_ARM
+#define EM_ARM 40
+#endif
+

3) NSJail requires 3.2.24 over libnl3 vesion.
   Unfortunately, current Tizen libnl3 version 3.2.22. (TODO)

cmdline: clone_newcgroup -> true by default; clone_newtime should be false

make indent

Merge pull request #172 from eli-zr/_macvlan_mode

MACVLAN modes support

MACVLAN modes support

Enable support for clone3() and for CLONE_NEWTIME

Merge pull request #170 from infiniteregrets/fix-macro

Fixed macro in subproc.cc

Fixed macro in subproc.cc

Initial support for CLONE_NEWTIME

Update kafel to include bugfixes

configs/ - add comments to config files using #

Merge pull request #164 from ziqin/master

Fix a typo in command line description

Bump kafel

Yet another bugfix Kafel version bump

update kafel again to include a bugfix.

Update kafel

Fix default value of cgroup_cpu_mount in README

Fix typo in command line description

Merge pull request #160 from ginkoid/master

net: add support for max_conns

net: add support for max_conns

subproc: refer users to dmesg in case si_syscall==31 (SIGSYS)

Fix build

Add new capabilities, ignore unsupported caps for bounding set

nsjail: don't add connections to the proxy map if launching a new process failed

subproc: kill a process once in the -Ml mode once the TCP connection has ended

Merge pull request #150 from joemiller/patch-1

remove build dependency on which

make indent

remove build dependency on which

Merge pull request #148 from boryspoplawski/master

Fix compilation errors on old gcc (5.4.0)

Makefile: compile kafel with -fPIE (maybe fixes #149)

Fix compilation errors on old gcc (5.4.0)

config.proto: make indent

config.proto: renumerate config fields

Merge pull request #147 from disconnect3d/patch-2

Fixes #146: cgroups_mem_max unit in config.proto

Fixes #146: cgroups_mem_max unit in config.proto

This commit fixes the incorrect cgroups_mem_max unit described in a config.proto comment.

We do not perform any calculations on this value and we don't specify the values unit (k/M/G) when writing to memory cgroup controller files, so the value is specified in bytes.

make indent

config: remove deprecated config options

Merge pull request #145 from cblichmann/master

Fix a few typos.

Fix a few typos.

These were found by external tooling while preparing the Debian package.

* Uknown -> Unknown
* Writting -> Writing
* commited -> committed
* processess -> processes

Signed-off-by: Christian Blichmann <mail@blichmann.eu>

Merge pull request #144 from arcz/config-deps-paths

Build-time config of newuidmap and newgidmap paths

Stringify CLI-passed paths

Build-time config of newuidmap and newgidmap paths

nsjail: don't change cwd during daemon()

Fix format specifier for size_t

Merge pull request #136 from c7f-m0d3/master

fix non-functional max_conns_per_ip

fix non-functional max_conns_per_ip

Starting with nsjail::listenMode update to pipe socket traffic [commit 273ce6bc846b7325c7f0915067c54bf8cf6f5654], a pipe file descriptor is passed as connsock parameter when calling net::limitConns and also as sock parameter when calling addProc in subproc::runChild.
This breaks net::limitConns because pid.remote_addr and also local variable addr are left uninitialized despite net::connToText calls when counting number of existing network connections from the same peer.

The subsequent correction to fetch remote address [commit 2cf562160d308f9b5cca767a2459332f2041b41c] made the bug even more interesting, since the loop in net::limitConns now compares unsanitized content of stack with network addresses of already connected clients.

Merge pull request #133 from sirdarckcat/master

Create dockerpush.yml

Create dockerpush.yml

make indent

fix POLLNVAL in pipeTraffic

fix infinite loop in pipeTraffic

subproc: debug log when hotting SIHQUIT (Ctrl+\) #2 - better check

subproc: debug log when hotting SIHQUIT (Ctrl+\)

subproc: verify that a pid in a pid map doesn't exist before inserting

nsjail/pid/subproc: a). keep childrens' PIDs in a map indexed by pid b). correctly fetch remote IPv6 address text

Merge pull request #130 from happyCoder92/proxy

pipe socket traffic in and out of sandboxee

Merge pull request #128 from disconnect3d/patch-2

Update Dockerfile to use ubuntu:18.04 image

pipe socket traffic in and out of sandboxee

Makefile: fix kafel submodule init for parallel build

subproc: recognize CLONE_PIDFD

Merge pull request #129 from disconnect3d/patch-3

Fix default rlimit_stack value

Fix default rlimit_stack value

The default `rlimit_stack` value was set to 1048576. However, this value is in MiB and so is later multiplied by 1024*1024 in https://github.com/google/nsjail/blob/b3d544d155f5d1543dce1bd3e5327ef41583815a/config.cc#L161-L162 and it ends up as a limit of 1 TB for the stack size.

This PR changes it to 8 MB which is a more sane default or, at least I took it from my virtual machine's ulimits:
```
$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 31175
max locked memory       (kbytes, -l) 16384
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 31175
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited
```

Update Dockerfile to use ubuntu:18.04 image

allow setgroups when using exclusively newgid

configs/: indent

configs/znc: remove a problematic quote

nsjail: don't restore console if nsjail runs in background

config: simplify log/logfd setting

configs: new config for znc - remove log_fd

configs: new config for znc

configs/xchat: daemonize by default

Merge branch 'master' of ssh://github.com/google/nsjail

user: better formatting directives for printf'like functions

Merge pull request #123 from LMMilewski/master

Fix typo in config.proto: s/lofs/logs/

Fix typo in config.proto: s/lofs/logs/

Merge branch 'master' of github.com:google/nsjail

subproc: fix invalid conversions from util::syscall to syscall

mnt: shorter description of mount points

standardize on envar vs envvar

log: close previous log descriptor a bit later:

mnt: use setcwd unconditionally with and w/o clone_newns

mnt: use setcwd unconditionally with and w/o clone_newns

log: a bit clearer calls to dup()

Fix missing chdir in non-CLONE_NEWNS path

log: simplify logging code

config.proto: move disable_rl higher

Merge pull request #120 from jaylees14/disable-rlimits

Add flag to disable rlimits

Merge branch 'master' of github.com:google/nsjail

net/cmdline: better checks for TCP port values

Add flag to disable rlimits

cgroup-code: remove some spaces to make code more consistent

make indent depend

Merge pull request #119 from jaylees14/cgroup-v2

[cgroup-v2] support cgroup v2 for mem, cpu and pids

[cgroup-v2] support cgroup v2 for mem, cpu and pids

configs/imagemagick-convert: add madvise