<div dir="ltr">Really appreciate your flexibility Pavel.  For now, I&#39;ve taken out criu check from my script to prevent false alarms.  So it&#39;s not blocking anything.  Will work on the patch first chance I get.<div><br></div><div>Re reverting Tycho&#39;s patch, yes, please go ahead and revert it.</div><div><br></div><div>Thanks,</div><div><br></div><div>--Saied</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 19, 2016 at 10:05 AM, Pavel Emelyanov <span dir="ltr">&lt;<a href="mailto:xemul@virtuozzo.com" target="_blank">xemul@virtuozzo.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/19/2016 07:37 PM, Saied Kazemi wrote:<br>
&gt; The earliest I can work on cr_check() patch would be Tuesday next week which is<br>
&gt; unfortunately after the freeze date of February 22nd.  Do you still want me to do so?<br>
<br>
</span>Well, this would be a bugfix, as criu check doesn&#39;t work correctly at the moment.<br>
<br>
I&#39;m only worried with the fact that something is broken due to this in your experiments,<br>
so if you need to have this fixed, I&#39;m ready to merge the patch into 2.0 even if<br>
it comes after feature freeze.<br>
<br>
BTW, am I right, that Tycho&#39;s patch with --no-seccomp is no longer necessary and<br>
I can roll back one?<br>
<br>
-- Pavel<br>
<br>
&gt; --Saied<br>
<span class="im HOEnZb">&gt;<br>
&gt;<br>
&gt;<br>
&gt; On Thu, Feb 18, 2016 at 2:49 AM, Pavel Emelyanov &lt;<a href="mailto:xemul@virtuozzo.com">xemul@virtuozzo.com</a> &lt;mailto:<a href="mailto:xemul@virtuozzo.com">xemul@virtuozzo.com</a>&gt;&gt; wrote:<br>
&gt;<br>
&gt;     On 02/17/2016 09:15 PM, Saied Kazemi wrote:<br>
</span><div class="HOEnZb"><div class="h5">&gt;     &gt; On Wed, Feb 17, 2016 at 9:36 AM, Pavel Emelyanov &lt;<a href="mailto:xemul@virtuozzo.com">xemul@virtuozzo.com</a> &lt;mailto:<a href="mailto:xemul@virtuozzo.com">xemul@virtuozzo.com</a>&gt; &lt;mailto:<a href="mailto:xemul@virtuozzo.com">xemul@virtuozzo.com</a> &lt;mailto:<a href="mailto:xemul@virtuozzo.com">xemul@virtuozzo.com</a>&gt;&gt;&gt; wrote:<br>
&gt;     &gt;<br>
&gt;     &gt;     On 02/17/2016 08:27 PM, Saied Kazemi wrote:<br>
&gt;     &gt;     &gt; I am running the containers with --security-opt seccomp:unconfined option,<br>
&gt;     &gt;     &gt; so there should be no security risks.<br>
&gt;     &gt;<br>
&gt;     &gt;     Ouch. Why does criu then sees some seccomp configured on it?<br>
&gt;     &gt;<br>
&gt;     &gt;<br>
&gt;     &gt; I think I know what happened.  I had a script that would build and install CRIU and then test Docker<br>
&gt;     &gt; checkpoint and restore.  The script was failing because criu check was failing but somehow I assumed<br>
&gt;     &gt; that it was criu dump that was failing although --security-opt seccomp:unconfined option was used.<br>
&gt;     &gt;  Sorry for the confusion :(<br>
&gt;<br>
&gt;     Ah, I see. I will then roll-back Tycho&#39;s patch not to burden the API with the<br>
&gt;     stuff we don&#39;t really need. OK?<br>
&gt;<br>
&gt;     &gt;     &gt; Now what can we do to make criu check pass when running on kernels that<br>
&gt;     &gt;     &gt; don&#39;t have seccomp?  The section &quot;Checking That It Works&quot; in<br>
&gt;     &gt;     &gt; <a href="http://criu.org/Installation" rel="noreferrer" target="_blank">http://criu.org/Installation</a> says that the users should see &quot;Looks OK&quot;.<br>
&gt;     &gt;     &gt; But currently we can&#39;t get a &quot;Looks OK&quot; message even with --no-seccomp.<br>
&gt;     &gt;     &gt; Pavel had a suggestion on how to redo criu check.<br>
&gt;     &gt;<br>
&gt;     &gt;     Yup. We should distinguish tree types of features -- those, that are strictly<br>
&gt;     &gt;     required to make things work (/proc/pid/map_files, ptrace PEEKSIGINFO ,etc),<br>
&gt;     &gt;     those that are required, but only for &quot;specific cases&quot; (aio remap, tun, etc)<br>
&gt;     &gt;     and those that are experimental (e.g. task-diag from Andrey).<br>
&gt;     &gt;<br>
&gt;     &gt;<br>
&gt;     &gt; The 3-mode scheme sounds reasonable but which modes are absolutely necessary for<br>
&gt;     &gt; CRIU to dump and restore successfully.<br>
&gt;<br>
&gt;     Looking at cr_check() I think that we 100% need everything till check_ptrace_peeksiginfo,<br>
&gt;     as pretty much every task uses what we check with it.<br>
&gt;<br>
&gt;     All the other stuff is optional and criu can succeed w/o them.<br>
&gt;<br>
&gt;     And, by now, we have no experimental features in criu that require non-upstream kernel.<br>
&gt;<br>
&gt;     &gt; We maintained in the past that if users don&#39;t get &quot;Looks OK&quot; from criu check they won&#39;t<br>
&gt;     &gt; be able to dump/restore.  But that&#39;s not the case anymore as criu check fails with<br>
&gt;     &gt; seccomp errors but it successfully dumps and restores.<br>
&gt;<br>
&gt;     Yes, I agree. Would you be able to prepare the patch to fix the cr-check untill<br>
&gt;     criu-2.0 release?<br>
&gt;<br>
&gt;     &gt;     But as far as seccomp is concerned, I&#39;m now in doubt -- if there&#39;s no seccomp<br>
&gt;     &gt;     configured on a task, criu should just dump it even if there&#39;s no support<br>
&gt;     &gt;     from kernel to dump seccomp. But this seems not to be the case for Saied.<br>
&gt;     &gt;<br>
&gt;     &gt;<br>
&gt;     &gt; Per my explanation above, sorry for the false alarm!<br>
&gt;<br>
&gt;     That&#39;s OK :) Given enough eyeballs, all bugs are shallow.<br>
&gt;<br>
&gt;     -- Pavel<br>
&gt;<br>
&gt;<br>
<br>
</div></div></blockquote></div><br></div>