Hi,
On Wed, Jun 28, 2023 at 10:02:37PM +0200, Christian Perle wrote:
nach ein paar Bier und etwas Rumpro"bier"en hat sich folgendes rausgestellt:
Obwohl der Splunk-Prozess die korrekte Capability in den entsprechenden Sets hat, gibt es den Fehler, weil er *vor* dem eigentlich open() auf die Datei ein access() respektive faccessat() darauf loslaesst.
nice work... ich vermute da war neben Bier auch strace involviert :-)
Die Capability CAP_DAC_READ_SEARCH erlaubt zwar open()/openat() auf eine sonst nicht lesbare Datei, aber die access()-Familie liefert einen Fehler. Ob das jetzt inkonsistentes Verhalten des Kernels ist, sei mal dahingestellt.
Ich finde dieses access()/open() Pattern im userspace ist generell kaputt. Das ist ja eh immer anfällig für race conditions.
Grüsse Andreas