lib/libc/sys/chroot.2

   1 .\" Copyright (c) 1983, 1991, 1993
   2 .\"     The Regents of the University of California.  All rights reserved.
   3 .\"
   4 .\" Redistribution and use in source and binary forms, with or without
   5 .\" modification, are permitted provided that the following conditions
   6 .\" are met:
   7 .\" 1. Redistributions of source code must retain the above copyright
   8 .\"    notice, this list of conditions and the following disclaimer.
   9 .\" 2. Redistributions in binary form must reproduce the above copyright
  10 .\"    notice, this list of conditions and the following disclaimer in the
  11 .\"    documentation and/or other materials provided with the distribution.
  12 .\" 3. Neither the name of the University nor the names of its contributors
  13 .\"    may be used to endorse or promote products derived from this software
  14 .\"    without specific prior written permission.
  15 .\"
  16 .\" THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND
  17 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  18 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  19 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE
  20 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  21 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  22 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  23 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  24 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  25 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  26 .\" SUCH DAMAGE.
  27 .\"
  28 .\"     @(#)chroot.2    8.1 (Berkeley) 6/4/93
  29 .\" $FreeBSD$
  30 .\"
  31 .Dd March 30, 2020
  32 .Dt CHROOT 2
  33 .Os
  34 .Sh NAME
  35 .Nm chroot
  36 .Nd change root directory
  37 .Sh LIBRARY
  38 .Lb libc
  39 .Sh SYNOPSIS
  40 .In unistd.h
  41 .Ft int
  42 .Fn chroot "const char *dirname"
  43 .Sh DESCRIPTION
  44 The
  45 .Fa dirname
  46 argument
  47 is the address of the pathname of a directory, terminated by an ASCII NUL.
  48 The
  49 .Fn chroot
  50 system call causes
  51 .Fa dirname
  52 to become the root directory,
  53 that is, the starting point for path searches of pathnames
  54 beginning with
  55 .Ql / .
  56 .Pp
  57 In order for a directory to become the root directory
  58 a process must have execute (search) access for that directory.
  59 .Pp
  60 It should be noted that
  61 .Fn chroot
  62 has no effect on the process's current directory.
  63 .Pp
  64 This call is restricted to the super-user.
  65 .Pp
  66 Depending on the setting of the
  67 .Ql kern.chroot_allow_open_directories
  68 sysctl variable, open filedescriptors which reference directories
  69 will make the
  70 .Fn chroot
  71 fail as follows:
  72 .Pp
  73 If
  74 .Ql kern.chroot_allow_open_directories
  75 is set to zero,
  76 .Fn chroot
  77 will always fail with
  78 .Er EPERM
  79 if there are any directories open.
  80 .Pp
  81 If
  82 .Ql kern.chroot_allow_open_directories
  83 is set to one (the default),
  84 .Fn chroot
  85 will fail with
  86 .Er EPERM
  87 if there are any directories open and the
  88 process is already subject to the
  89 .Fn chroot
  90 system call.
  91 .Pp
  92 Any other value for
  93 .Ql kern.chroot_allow_open_directories
  94 will bypass the check for open directories
  95 .Sh RETURN VALUES
  96 .Rv -std
  97 .Sh ERRORS
  98 The
  99 .Fn chroot
 100 system call
 101 will fail and the root directory will be unchanged if:
 102 .Bl -tag -width Er
 103 .It Bq Er ENOTDIR
 104 A component of the path name is not a directory.
 105 .It Bq Er EPERM
 106 The effective user ID is not the super-user, or one or more
 107 filedescriptors are open directories.
 108 .It Bq Er ENAMETOOLONG
 109 A component of a pathname exceeded 255 characters,
 110 or an entire path name exceeded 1023 characters.
 111 .It Bq Er ENOENT
 112 The named directory does not exist.
 113 .It Bq Er EACCES
 114 Search permission is denied for any component of the path name.
 115 .It Bq Er ELOOP
 116 Too many symbolic links were encountered in translating the pathname.
 117 .It Bq Er EFAULT
 118 The
 119 .Fa dirname
 120 argument
 121 points outside the process's allocated address space.
 122 .It Bq Er EIO
 123 An I/O error occurred while reading from or writing to the file system.
 124 .It Bq Er EINTEGRITY
 125 Corrupted data was detected while reading from the file system.
 126 .El
 127 .Sh SEE ALSO
 128 .Xr chdir 2 ,
 129 .Xr jail 2
 130 .Sh HISTORY
 131 The
 132 .Fn chroot
 133 system call appeared in
 134 .Bx 4.2 .
 135 It was marked as
 136 .Dq legacy
 137 in
 138 .St -susv2 ,
 139 and was removed in subsequent standards.
 140 .Sh BUGS
 141 If the process is able to change its working directory to the target
 142 directory, but another access control check fails (such as a check for
 143 open directories, or a MAC check), it is possible that this system
 144 call may return an error, with the working directory of the process
 145 left changed.
 146 .Sh SECURITY CONSIDERATIONS
 147 The system have many hardcoded paths to files where it may load after
 148 the process starts.
 149 It is generally recommended to drop privileges immediately after a
 150 successful
 151 .Nm
 152 call,
 153 and restrict write access to a limited subtree of the
 154 .Nm
 155 root,
 156 for instance,
 157 setup the sandbox so that the sandboxed user will have no write
 158 access to any well-known system directories.