Re: systemd CAP_DAC_READ_SEARCH

2023-06-28 Diskussionsfäden Andreas Fett 
Hi,

On Wed, Jun 28, 2023 at 10:02:37PM +0200, Christian Perle wrote:
> nach ein paar Bier und etwas Rumpro"bier"en hat sich folgendes
> rausgestellt:
> 
> Obwohl der Splunk-Prozess die korrekte Capability in den entsprechenden
> Sets hat, gibt es den Fehler, weil er *vor* dem eigentlich open()
> auf die Datei ein access() respektive faccessat() darauf loslaesst.
nice work... ich vermute da war neben Bier auch strace involviert :-)

> Die Capability CAP_DAC_READ_SEARCH erlaubt zwar open()/openat()
> auf eine sonst nicht lesbare Datei, aber die access()-Familie liefert
> einen Fehler. Ob das jetzt inkonsistentes Verhalten des Kernels
> ist, sei mal dahingestellt.
Ich finde dieses access()/open() Pattern im userspace ist generell
kaputt. Das ist ja eh immer anfällig für race conditions.

Grüsse
Andreas


signature.asc
Description: PGP signature

Re: systemd CAP_DAC_READ_SEARCH

2023-06-28 Diskussionsfäden Christian Perle 
Hallo Liste,

nach ein paar Bier und etwas Rumpro"bier"en hat sich folgendes
rausgestellt:

Obwohl der Splunk-Prozess die korrekte Capability in den entsprechenden
Sets hat, gibt es den Fehler, weil er *vor* dem eigentlich open()
auf die Datei ein access() respektive faccessat() darauf loslaesst.

Die Capability CAP_DAC_READ_SEARCH erlaubt zwar open()/openat()
auf eine sonst nicht lesbare Datei, aber die access()-Familie liefert
einen Fehler. Ob das jetzt inkonsistentes Verhalten des Kernels
ist, sei mal dahingestellt.

Simples Testprogramm, schlaegt trotz CAP_DAC_READ_SEARCH fehl:

-
#define _POSIX_C_SOURCE 200809L

#include 
#include 

int main()
{
int ret;

ret = access("/var/log/kern.log", R_OK);

if (-1 == ret) {
perror("access");
return 1;
}

return 0;
}
-

Gruss,
  Christian
-- 
Christian Perlechris AT linuxinfotag.de
010111  http://chris.silmor.de/
101010  LinuxGuitarKitesBicyclesBeerPizzaRaytracing

Re: morgen (28.6.) Kinder ...

2023-06-28 Diskussionsfäden Rico Koerner 

Am 27.06.23 um 20:01 schrieb Bernhard Schiffner:

wird's  (oder sollte) es was geben.
Ich wäre (hoffentlich rechtzeitig) dabei.

Wie seht ihrs?





bin dabei

Rico


OpenPGP_signature
Description: OpenPGP digital signature

Re: morgen (28.6.) Kinder ...

2023-06-28 Diskussionsfäden Jakob Mendel 

Hallo Bernhard,

Am 27.06.23 um 20:01 schrieb Bernhard Schiffner:

wird's  (oder sollte) es was geben.
Ich wäre (hoffentlich rechtzeitig) dabei.

Wie seht ihrs?


Optimistisch.

Jakob