Distribution EOLE

L’option lxc.cap.drop n’est pas surchargée et doit donc être modifiée dans le fichier qui la déclare en premier lieu dans le cas d’une suppression d’un drop (pour l’ajout, on peut répeter la variable lxc.cap.drop plusieurs fois si on veut).
Il est possible de construire un fichier alternatif ou de ne pas utiliser les inclusions pour maîtriser les options.

La suppression de sys_time des capabilities dans le fichier de base est bien répercuté dans le conteneur addc de l’AmonEcole après redémarrage (lxc-stop et lxc-start).

Après quoi il est nécessaire de gérer le problème entre systemd et apparmor (PrivateTmp=true dans la déclaration du service mais le profil empêche l’opération mount)

Dernier soucis : le conteneur addc doit avoir la capability sys_time pour gérer l'heure. Ca se fait dans le la config lxc. Sauf que, /var/lib/lxc/addc/config inclu /usr/share/lxc/config/ubuntu.common.conf qui inclu /usr/share/lxc/config/common.conf qui drop les capablities dont sys_time. Et pas moyen de surcharger ce drop. Je vois 3 solutions :
1. Soit on templatise /usr/share/lxc/config/common.conf mais il faudra updater le template à chaque changement du fichier dans le paquet liblxc-common
2. Soit on supprime l'include dans /var/lib/lxc/addc/config mais il faut être sûr d'avoir bien toutes les modifs
3. Un coup de sed au reconfigure quelque part