Ошибка всё ещё существует. Думаю, разработчикам apparmor стоит на это взглянуть, но это займёт некоторое время. Мы столкнулись с той же проблемой, и мне помогло отключение lxc в apparmor. Просто создайте символические ссылки на оба файла lxc* из /etc/apparmor в папку disabled, а потом перезапустите демон или перезагрузите весь сервер. Это решит проблемы с правами в lxc. Но учтите — это может стать проблемой с безопасностью, если вы не уверены в действиях ваших клиентов внутри контейнеров. Если хотите быть полностью защищёнными, лучше используйте kvm (у нас это не вышло). С уважением, IP-Projects GmbH — служба поддержки второго уровня.

Краткое обновление: я поговорил с разработчиками AppArmor, и теперь это подтверждено. Сначала они не придавали этому значения, так как баг был заявлен для LXC и выглядел точно как другая проблема, вызванная отсутствием определённых флагов в профиле. Однако это не так, и проблема кажется немного сложнее в решении, но уже есть некоторые идеи. К сожалению, пока не могу сказать, сколько времени потребуется на исправление. По-видимому, проблема в ядре, так что для исправления придётся перезагружать ваши узлы. Тем временем мы продолжаем эксперименты с пользовательскими пространствами имён для непривилегированных контейнеров. При их использовании отключение AppArmor не будет большой проблемой, так как там root-контейнера сопоставлен с непривилегированным обычным пользователем на хосте.