Add .gitignore

Change-Id: I45d3a57cea80ba0a6d6f949568a306db76f8d367
Signed-off-by: Hyotaek Shim <hyotaek.shim@samsung.com>
(cherry picked from commit 5c2c1b1f159f8b922604bfef1bcaf2a16f7910e1)

Fix nsjail.service to remove duplicated options

Change-Id: I8c468e8e13fb8de25f585c58370987667529ba86
Signed-off-by: Hyotaek Shim <hyotaek.shim@samsung.com>
(cherry picked from commit d779e77c6064a214020f092cc42974472d89eae4)

Fix Multiple Targets and Parallel builds issue

In parallel build (with -j option), xxx.c and xxx.h is scheduled independently.
Thus, bison and flex will be called twice.

Sometimes, it causes build error.
To create multiple targets in one invocation, pattern rules with multiple targets are used.

Disable remount memory cgroup and no malort creation if no memory cgroup

If memory cgroup does not existed,
 - we will not try to create memory cgroup or remount memory cgroup.
 - malort will not setup memory cgroup

Remove /bin, /usr/bin mount from test configuration

For minimal expose of executable binary

Adjust test configuration of nsjail test

[Temporary] Add lua related directory

This is a patch for malort project.
This patch will be moved to other git with refactoring.

Fix test nsjail configuration

The number of nsjail's default nofile is 32.
In some target platform, it is too low.
Thus, this patch set enough large number to nofile.

Fix to apply mthumb option to only arm

Add mthumb option to Linker flag

For supporting mthumb (+lto) in compiler 9.2, -mthumb should be also applied to "link flags"

Add TV permission signature to service file

Add cgroup_remount program for target using old-resourced

Old Tizen resourced used "resourced" cgroup folder for controlling memory instead of "memory"
To apply nsjail(+malort) for such target, memory folder should be created.

For the compatibility, cgroup_mount is provided.

cf) provide mount prgoram because some targets cannot use mount program freely.

Fix "-Werror=shadow" Error of open source nsjail

The arg env of systemExe function shadows global env variable.
 - Local Function : int systemExe(const std::vector<std::string>& args, char** env);
 - Global : static __thread jmp_buf env;

-Werror=shadow options catches the issue.
Thus, the arg env of systemExe is changed to exec_env to avoid the compiler issue.

cf) This patch is not yet contributed to nsjail open source.

Exit test program in case of malloc fail

x86 build fixes

Recent x86 build problem of kafel was solved.
 - https://github.com/google/nsjail/commit/87af69bea4a2ec3cc8ba0866bed55cb00b1b565c

Instead of disabling x86 build, apply the patch.

Add definition for building Kafel in ARM and AARCH64

Tizen support linux kernel header include files in the linux-glibc-devel package.
Unfortunately, it supports old definition.

Thus, to build Kafel correctly, following definition should be defined.
(Original Kafel does not include such definition)

This patche includes the modification in kafel/src/common.h

Add nsjail upstream url

Please keep the latest upstream source code in the upstream-git by using the url in "#X-Vcs-Url"

You can update the upstream manually. Following commands can be used to keep the latest upstream source code.
 $ git remote add upstream https://github.com/google/nsjail.git
 $ git fetch --all
 $ git checkout upstream-git
 $ git rebase upstream/master
 $ git push origin upstream-git:upstream-git

Clean up Kafel source code

Cleanup object files and bison/flex generated files

Disable Net NS feature for Tizen

Tizen does not support libnl3 net namespace officially because libnl3 version is 3.2.22.

At this moment, malort project does not require network virtualization.
Thus, at this moment, it is ok to disable Tizen.

In the future, when libnl3 is upgraded to over 3.2.24, net namespace feature will be enabled.

Disable MACVLAN feature for Tizen

Tizen does not support libnl3 macvlan officially because libnl3 version is 3.2.22.
In addition, MACVLAN feature was not tested in Tizen.

At this moment, malort project does not require network virtualization.
Thus, at this moment, it is ok to disable Tizen.

In the future, when MACVLAN supports in Tizen, MACVLAN feature will be enabled.

Change test configuration - log path and cpu conf

- malort project will use "/var/log/malort" instead of "/tmp"
- malort project does not create child cgroup node of each "NSJAIL" process.

Add /dev and /tmp for Testing

 - some program may access to /dev/random by using random function
   For that, add /dev bind mount until finding better way

 - Tizen application cannot write some volatile data to /opt/var
   For that, provide /tmp mount until finding better way

Change cgroup node from NSJAIL to malort

As default, NSJAIL uses "NSJAIL" folder to create nsjail controller cgroup.
However, ST-hub uses the folder as "malort" which is internal project name.

At this moment, to reduce not-hurried code clean-up tasks, change nsjail root folder as "malort"

Add nsjail test Tizen application

This is an application to execute nsjail for testing nsjail in Tizen application Environment.

Use build script "build_test_runner.sh" to build. You need to install Tizen CLI to build.
You can execute the app like following.
 - $> aul_test launch test_runner execute /usr/bin/nsjail_test/jail_mem_syscall_test

Add nsjail service for Tizen distribution

Tizen will use nsjail as application container by using USER Namespeace.

If creating new user namespace, the new user can get admin(root) privilege in the namespace,
and can use several kernel resource by creating other namespaces.

However, the new user namesapce cannot access unprivilged resource in original namespace.
For that, Tizen nsjail service creates some resources (directories for cgroup, and bind mount tmp directories) for the new user namespace.

cf) Each Tizen App has each smack label.
    Unfortunatly, nsjail does not consider such issue for bind mount.
    For that, at this moment, we create new user's uid based folder name for each application.
    In the future, the folder name should be created on basis of Tizen package name.

Add runner-sandbox.cfg for Tizen nsjail test

Nsjail uses a specific configuration file for jailing.
For testing nsjail in Tizen, sthub script engine runner sandbox.cfg is added.
You can test it like following.

nsjail -v --config /usr/share/runner-sandbox.cfg -- /usr/bin/nsjail_test/jail_mem_syscall_test

Add Simple test program for Tizen nsjail

 - memory limit test
 - syscall(getuid) violation test

The more test programs should be created

Adjust cgroup cpu for Tizen

Latest public Tizen does not support cfs_period_us or cfs_quota_us because CONFIG_FAIR_GROUP_SCHED, CONFIG_CFS_BANDWIDTH are not enabled.
Thus, instead of strict cpu limitation using cfs_quota, use cpu_shares.
The cpu_shares of each NSJAIL process will be assigned according to ratio (cfs_quota/cfs_period)

This is temporary patch and is not well validated.
Tizen will consider to enable the kernel option for cfs_quota_us.

Creating nsjail RPM specification and build patch based on upstream-git branch

Upstream git was created with "nsjail 2021-07-07 version"
For Tizen RPM, additional patches were created based on the open source version

1) Linking to upstream-git branch - .gbs.conf
   : You can check the Tizen open source updating guide at https://wiki.tizen.org/Updating_packages

2) Creating kafel.tar.gz
   : Unfortunately, Tizen does not provide git tool at build time. (git-core package is required)
   : Thus, instead of using git submodule command, create kafel.tar.gz from the git submodule.
   : For your information, following patch is added for the kafel for fixing build error (TODO)

+// Fix for Linux <3.12
+#ifndef EM_ARM
+#define EM_ARM 40
+#endif
+

3) NSJail requires 3.2.24 over libnl3 vesion.
   Unfortunately, current Tizen libnl3 version 3.2.22. (TODO)

cmdline: clone_newcgroup -> true by default; clone_newtime should be false

make indent

Merge pull request #172 from eli-zr/_macvlan_mode

MACVLAN modes support

MACVLAN modes support

Enable support for clone3() and for CLONE_NEWTIME

Merge pull request #170 from infiniteregrets/fix-macro

Fixed macro in subproc.cc

Fixed macro in subproc.cc

Initial support for CLONE_NEWTIME

Update kafel to include bugfixes

configs/ - add comments to config files using #

Merge pull request #164 from ziqin/master

Fix a typo in command line description

Bump kafel

Yet another bugfix Kafel version bump

update kafel again to include a bugfix.

Update kafel

Fix default value of cgroup_cpu_mount in README

Fix typo in command line description

Merge pull request #160 from ginkoid/master

net: add support for max_conns

net: add support for max_conns

subproc: refer users to dmesg in case si_syscall==31 (SIGSYS)

Fix build

Add new capabilities, ignore unsupported caps for bounding set

nsjail: don't add connections to the proxy map if launching a new process failed

subproc: kill a process once in the -Ml mode once the TCP connection has ended

Merge pull request #150 from joemiller/patch-1

remove build dependency on which

make indent

remove build dependency on which

Merge pull request #148 from boryspoplawski/master

Fix compilation errors on old gcc (5.4.0)

Makefile: compile kafel with -fPIE (maybe fixes #149)

Fix compilation errors on old gcc (5.4.0)

config.proto: make indent

config.proto: renumerate config fields

Merge pull request #147 from disconnect3d/patch-2

Fixes #146: cgroups_mem_max unit in config.proto

Fixes #146: cgroups_mem_max unit in config.proto

This commit fixes the incorrect cgroups_mem_max unit described in a config.proto comment.

We do not perform any calculations on this value and we don't specify the values unit (k/M/G) when writing to memory cgroup controller files, so the value is specified in bytes.

make indent

config: remove deprecated config options

Merge pull request #145 from cblichmann/master

Fix a few typos.

Fix a few typos.

These were found by external tooling while preparing the Debian package.

* Uknown -> Unknown
* Writting -> Writing
* commited -> committed
* processess -> processes

Signed-off-by: Christian Blichmann <mail@blichmann.eu>

Merge pull request #144 from arcz/config-deps-paths

Build-time config of newuidmap and newgidmap paths

Stringify CLI-passed paths

Build-time config of newuidmap and newgidmap paths

nsjail: don't change cwd during daemon()

Fix format specifier for size_t

Merge pull request #136 from c7f-m0d3/master

fix non-functional max_conns_per_ip

fix non-functional max_conns_per_ip

Starting with nsjail::listenMode update to pipe socket traffic [commit 273ce6bc846b7325c7f0915067c54bf8cf6f5654], a pipe file descriptor is passed as connsock parameter when calling net::limitConns and also as sock parameter when calling addProc in subproc::runChild.
This breaks net::limitConns because pid.remote_addr and also local variable addr are left uninitialized despite net::connToText calls when counting number of existing network connections from the same peer.

The subsequent correction to fetch remote address [commit 2cf562160d308f9b5cca767a2459332f2041b41c] made the bug even more interesting, since the loop in net::limitConns now compares unsanitized content of stack with network addresses of already connected clients.

Merge pull request #133 from sirdarckcat/master

Create dockerpush.yml

Create dockerpush.yml

make indent

fix POLLNVAL in pipeTraffic

fix infinite loop in pipeTraffic

subproc: debug log when hotting SIHQUIT (Ctrl+\) #2 - better check

subproc: debug log when hotting SIHQUIT (Ctrl+\)

subproc: verify that a pid in a pid map doesn't exist before inserting

nsjail/pid/subproc: a). keep childrens' PIDs in a map indexed by pid b). correctly fetch remote IPv6 address text

Merge pull request #130 from happyCoder92/proxy

pipe socket traffic in and out of sandboxee

Merge pull request #128 from disconnect3d/patch-2

Update Dockerfile to use ubuntu:18.04 image

pipe socket traffic in and out of sandboxee

Makefile: fix kafel submodule init for parallel build

subproc: recognize CLONE_PIDFD

Merge pull request #129 from disconnect3d/patch-3

Fix default rlimit_stack value

Fix default rlimit_stack value

The default `rlimit_stack` value was set to 1048576. However, this value is in MiB and so is later multiplied by 1024*1024 in https://github.com/google/nsjail/blob/b3d544d155f5d1543dce1bd3e5327ef41583815a/config.cc#L161-L162 and it ends up as a limit of 1 TB for the stack size.

This PR changes it to 8 MB which is a more sane default or, at least I took it from my virtual machine's ulimits:
```
$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 31175
max locked memory       (kbytes, -l) 16384
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 31175
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited
```

Update Dockerfile to use ubuntu:18.04 image

allow setgroups when using exclusively newgid

configs/: indent

configs/znc: remove a problematic quote

nsjail: don't restore console if nsjail runs in background

config: simplify log/logfd setting

configs: new config for znc - remove log_fd

configs: new config for znc

configs/xchat: daemonize by default

Merge branch 'master' of ssh://github.com/google/nsjail