lib/libc/sys/setuid.2

   1 .\" Copyright (c) 1983, 1991, 1993
   2 .\"     The Regents of the University of California.  All rights reserved.
   3 .\"
   4 .\" Redistribution and use in source and binary forms, with or without
   5 .\" modification, are permitted provided that the following conditions
   6 .\" are met:
   7 .\" 1. Redistributions of source code must retain the above copyright
   8 .\"    notice, this list of conditions and the following disclaimer.
   9 .\" 2. Redistributions in binary form must reproduce the above copyright
  10 .\"    notice, this list of conditions and the following disclaimer in the
  11 .\"    documentation and/or other materials provided with the distribution.
  12 .\" 3. All advertising materials mentioning features or use of this software
  13 .\"    must display the following acknowledgement:
  14 .\"     This product includes software developed by the University of
  15 .\"     California, Berkeley and its contributors.
  16 .\" 4. Neither the name of the University nor the names of its contributors
  17 .\"    may be used to endorse or promote products derived from this software
  18 .\"    without specific prior written permission.
  19 .\"
  20 .\" THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND
  21 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE
  24 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30 .\" SUCH DAMAGE.
  31 .\"
  32 .\"     @(#)setuid.2    8.1 (Berkeley) 6/4/93
  33 .\" $FreeBSD$
  34 .\"
  35 .Dd June 4, 1993
  36 .Dt SETUID 2
  37 .Os
  38 .Sh NAME
  39 .Nm setuid ,
  40 .Nm seteuid ,
  41 .Nm setgid ,
  42 .Nm setegid
  43 .Nd set user and group ID
  44 .Sh LIBRARY
  45 .Lb libc
  46 .Sh SYNOPSIS
  47 .In sys/types.h
  48 .In unistd.h
  49 .Ft int
  50 .Fn setuid "uid_t uid"
  51 .Ft int
  52 .Fn seteuid "uid_t euid"
  53 .Ft int
  54 .Fn setgid "gid_t gid"
  55 .Ft int
  56 .Fn setegid "gid_t egid"
  57 .Sh DESCRIPTION
  58 The
  59 .Fn setuid
  60 system call
  61 sets the real and effective
  62 user IDs and the saved set-user-ID of the current process
  63 to the specified value.
  64 .\" Comment out next block for !_POSIX_SAVED_IDS
  65 .\" The real user ID and the saved set-user-ID are changed only if the
  66 .\" effective user ID is that of the super user.
  67 .\" I.e.
  68 .\" .Fn setuid
  69 .\" system call is equal to
  70 .\" .Fn seteuid
  71 .\" system call if the effective user ID is not that of the super user.
  72 .\" End of block
  73 The
  74 .Fn setuid
  75 system call is permitted if the specified ID is equal to the real user ID
  76 .\" Comment out next line for !_POSIX_SAVED_IDS
  77 .\" or the saved set-user-ID
  78 .\" Next line is for Appendix B.4.2.2 case.
  79 or the effective user ID
  80 of the process, or if the effective user ID is that of the super user.
  81 .Pp
  82 The
  83 .Fn setgid
  84 system call
  85 sets the real and effective
  86 group IDs and the saved set-group-ID of the current process
  87 to the specified value.
  88 .\" Comment out next block for !_POSIX_SAVED_IDS
  89 .\" The real group ID and the saved set-group-ID are changed only if the
  90 .\" effective user ID is that of the super user.
  91 .\" I.e.
  92 .\" .Fn setgid
  93 .\" system call is equal to
  94 .\" .Fn setegid
  95 .\" system call if the effective user ID is not that of the super user.
  96 .\" End of block
  97 The
  98 .Fn setgid
  99 system call is permitted if the specified ID is equal to the real group ID
 100 .\" Comment out next line for !_POSIX_SAVED_IDS
 101 .\" or the saved set-group-ID
 102 .\" Next line is for Appendix B.4.2.2 case.
 103 or the effective group ID
 104 of the process, or if the effective user ID is that of the super user.
 105 .Pp
 106 The
 107 .Fn seteuid
 108 system call
 109 .Pq Fn setegid
 110 sets the effective user ID (group ID) of the
 111 current process.
 112 The effective user ID may be set to the value
 113 of the real user ID or the saved set-user-ID (see
 114 .Xr intro 2
 115 and
 116 .Xr execve 2 ) ;
 117 in this way, the effective user ID of a set-user-ID executable
 118 may be toggled by switching to the real user ID, then re-enabled
 119 by reverting to the set-user-ID value.
 120 Similarly, the effective group ID may be set to the value
 121 of the real group ID or the saved set-group-ID.
 122 .Sh RETURN VALUES
 123 .Rv -std
 124 .Sh ERRORS
 125 The system calls will fail if:
 126 .Bl -tag -width Er
 127 .It Bq Er EPERM
 128 The user is not the super user and the ID
 129 specified is not the real, effective ID, or saved ID.
 130 .El
 131 .Sh SECURITY CONSIDERATIONS
 132 Read and write permissions to files are determined upon a call to
 133 .Xr open 2 .
 134 Once a file descriptor is open, dropping privilege does not affect
 135 the process's read/write permissions, even if the user ID specified
 136 has no read or write permissions to the file.
 137 These files normally remain open in any new process executed,
 138 resulting in a user being able to read or modify
 139 potentially sensitive data.
 140 .Pp
 141 To prevent these files from remaining open after an
 142 .Xr exec 3
 143 call, be sure to set the close-on-exec flag is set:
 144 .Bd -literal
 145 void
 146 pseudocode(void)
 147 {
 148         int fd;
 149         /* ... */
 150
 151         fd = open("/path/to/sensitive/data", O_RDWR);
 152         if (fd == -1)
 153                 err(1, "open");
 154
 155         /*
 156          * Set close-on-exec flag; see fcntl(2) for more information.
 157          */
 158         if (fcntl(fd, F_SETFD, FD_CLOEXEC) == -1)
 159                 err(1, "fcntl(F_SETFD)");
 160         /* ... */
 161         execve(path, argv, environ);
 162 }
 163 .Ed
 164 .Sh SEE ALSO
 165 .Xr getgid 2 ,
 166 .Xr getuid 2 ,
 167 .Xr issetugid 2 ,
 168 .Xr setregid 2 ,
 169 .Xr setreuid 2
 170 .Sh STANDARDS
 171 The
 172 .Fn setuid
 173 and
 174 .Fn setgid
 175 system calls are compliant with the
 176 .St -p1003.1-90
 177 specification with
 178 .Li _POSIX_SAVED_IDS
 179 .\" Uncomment next line for !_POSIX_SAVED_IDS
 180 not
 181 defined with the permitted extensions from Appendix B.4.2.2.
 182 The
 183 .Fn seteuid
 184 and
 185 .Fn setegid
 186 system calls are extensions based on the
 187 .Tn POSIX
 188 concept of
 189 .Li _POSIX_SAVED_IDS ,
 190 and have been proposed for a future revision of the standard.
 191 .Sh HISTORY
 192 The
 193 .Fn setuid
 194 and
 195 .Fn setgid
 196 functions appeared in
 197 .At v7 .