<div dir="ltr"><div dir="ltr"><div dir="ltr">Right when I feel I started to better understand Possession and Keyrings, I had this:<div><div>> keyctl describe 14242397</div><div> 14242397: alsw-v------------------  1002   100 user: keyInUsr</div></div><div><div>> keyctl print 14242397</div><div>mySecret-1</div></div><div><br></div><div>How can I read a key when no one has read rights?  Is there some caching going on? Some refresh only occurring on certain conditions ??</div><div>Or am I missing something?</div><div><br></div><div>Regards</div><div>Bruno</div><div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Dec 10, 2018 at 12:55 PM Mantas Mikulėnas <<a href="mailto:grawity@gmail.com">grawity@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Fri, Dec 7, 2018 at 9:47 PM Dinesh Prasanth Moluguwan Krishnamoorthy <<a href="mailto:dmoluguw@redhat.com" target="_blank">dmoluguw@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Oh damn! Yes. It worked!<br>
<br>
So, my next question would be "how to avoid it?"<br>
<br>
To expand a bit more:<br>
<br>
I want to make these passwords inaccessible outside the systemd service<br>
even by that USER. (or does it sound something contradictory?)<br>
<br>
Regards,<br>
Dinesh<br></blockquote><div><br></div><div>It does sound contradictory; it rarely makes sense to isolate the user from themselves.</div><div><br></div><div>It might be *possible* to set the key's permissions such that only the "possessor" has full permissions, but the "uid/gid/other" have none. (e.g. <font face="monospace, monospace">keyctl setperm <id> 0x3f000000</font>).</div><div> </div></div>-- <br><div dir="ltr" class="gmail-m_-1125387037320676574gmail_signature"><div dir="ltr">Mantas Mikulėnas</div></div></div>
_______________________________________________<br>
systemd-devel mailing list<br>
<a href="mailto:systemd-devel@lists.freedesktop.org" target="_blank">systemd-devel@lists.freedesktop.org</a><br>
<a href="https://lists.freedesktop.org/mailman/listinfo/systemd-devel" rel="noreferrer" target="_blank">https://lists.freedesktop.org/mailman/listinfo/systemd-devel</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Bruno VERNAY<br></div>