share/man/man9/ucred.9

   1 .\"
   2 .\" Copyright (C) 2001 Chad David <davidc@acns.ab.ca>. All rights reserved.
   3 .\"
   4 .\" Redistribution and use in source and binary forms, with or without
   5 .\" modification, are permitted provided that the following conditions
   6 .\" are met:
   7 .\" 1. Redistributions of source code must retain the above copyright
   8 .\"    notice(s), this list of conditions and the following disclaimer as
   9 .\"    the first lines of this file unmodified other than the possible
  10 .\"    addition of one or more copyright notices.
  11 .\" 2. Redistributions in binary form must reproduce the above copyright
  12 .\"    notice(s), this list of conditions and the following disclaimer in the
  13 .\"    documentation and/or other materials provided with the distribution.
  14 .\"
  15 .\" THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDER(S) ``AS IS'' AND ANY
  16 .\" EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
  17 .\" WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
  18 .\" DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT HOLDER(S) BE LIABLE FOR ANY
  19 .\" DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
  20 .\" (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
  21 .\" SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
  22 .\" CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  23 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  24 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
  25 .\" DAMAGE.
  26 .\"
  27 .\" $FreeBSD$
  28 .\"
  29 .Dd January 23, 2019
  30 .Dt UCRED 9
  31 .Os
  32 .Sh NAME
  33 .Nm ucred ,
  34 .Nm crget ,
  35 .Nm crhold ,
  36 .Nm crfree ,
  37 .Nm crcopy ,
  38 .Nm crdup ,
  39 .Nm cru2x
  40 .Nd "functions related to user credentials"
  41 .Sh SYNOPSIS
  42 .In sys/param.h
  43 .In sys/ucred.h
  44 .Ft "struct ucred *"
  45 .Fn crget void
  46 .Ft "struct ucred *"
  47 .Fn crhold "struct ucred *cr"
  48 .Ft void
  49 .Fn crfree "struct ucred *cr"
  50 .Ft void
  51 .Fn crcopy "struct ucred *dest" "struct ucred *src"
  52 .Ft "struct ucred *"
  53 .Fn crcopysafe "struct proc *p" "struct ucred *cr"
  54 .Ft "struct ucred *"
  55 .Fn crdup "struct ucred *cr"
  56 .Ft void
  57 .Fn crsetgroups "struct ucred *cr" "int ngrp" "gid_t *groups"
  58 .Ft void
  59 .Fn cru2x "struct ucred *cr" "struct xucred *xcr"
  60 .Sh DESCRIPTION
  61 The
  62 .Nm
  63 family of functions is used to manage user credential structures
  64 .Pq Vt "struct ucred"
  65 within the kernel.
  66 .Pp
  67 The
  68 .Fn crget
  69 function allocates memory
  70 for a new structure, sets its reference count to 1, and
  71 initializes its lock.
  72 .Pp
  73 The
  74 .Fn crhold
  75 function increases the reference count on the credential.
  76 .Pp
  77 The
  78 .Fn crfree
  79 function decreases the reference count on the credential.
  80 If the count drops to 0, the storage for the structure is freed.
  81 .Pp
  82 The
  83 .Fn crcopy
  84 function copies the contents of the source (template)
  85 credential into the destination template.
  86 The
  87 .Vt uidinfo
  88 structure within the destination is referenced
  89 by calling
  90 .Xr uihold 9 .
  91 .Pp
  92 The
  93 .Fn crcopysafe
  94 function copies the current credential associated with the process
  95 .Fa p
  96 into the newly allocated credential
  97 .Fa cr .
  98 The process lock on
  99 .Fa p
 100 must be held and will be dropped and reacquired as needed to allocate
 101 group storage space in
 102 .Fa cr .
 103 .Pp
 104 The
 105 .Fn crdup
 106 function allocates memory for a new structure and copies the
 107 contents of
 108 .Fa cr
 109 into it.
 110 The actual copying is performed by
 111 .Fn crcopy .
 112 .Pp
 113 The
 114 .Fn crsetgroups
 115 function sets the
 116 .Va cr_groups
 117 and
 118 .Va cr_ngroups
 119 variables and allocates space as needed.
 120 It also truncates the group list to the current maximum number of
 121 groups.
 122 No other mechanism should be used to modify the
 123 .Va cr_groups
 124 array except for updating the primary group via assignment to
 125 .Va cr_groups[0] .
 126 .Pp
 127 The
 128 .Fn cru2x
 129 function converts a
 130 .Vt ucred
 131 structure to an
 132 .Vt xucred
 133 structure.
 134 That is,
 135 it copies data from
 136 .Fa cr
 137 to
 138 .Fa xcr ;
 139 it ignores fields in the former that are not present in the latter
 140 (e.g.,
 141 .Va cr_uidinfo ) ,
 142 and appropriately sets fields in the latter that are not present in
 143 the former
 144 (e.g.,
 145 .Va cr_version ) .
 146 .Sh RETURN VALUES
 147 .Fn crget ,
 148 .Fn crhold ,
 149 .Fn crdup ,
 150 and
 151 .Fn crcopysafe
 152 all return a pointer to a
 153 .Vt ucred
 154 structure.
 155 .Sh USAGE NOTES
 156 As of
 157 .Fx 5.0 ,
 158 the
 159 .Vt ucred
 160 structure contains extensible fields.
 161 This means that the correct protocol must always be followed to create
 162 a fresh and writable credential structure: new credentials must always
 163 be derived from existing credentials using
 164 .Fn crget ,
 165 .Fn crcopy ,
 166 and
 167 .Fn crcopysafe .
 168 .Pp
 169 In the common case, credentials required for access control decisions are
 170 used in a read-only manner.
 171 In these circumstances, the thread credential
 172 .Va td_ucred
 173 should be used, as it requires no locking to access safely, and remains stable
 174 for the duration of the call even in the face of a multi-threaded
 175 application changing the process credentials from another thread.
 176 .Pp
 177 During a process credential update, the process lock must be held across
 178 check and update, to prevent race conditions.
 179 The process credential,
 180 .Va td->td_proc->p_ucred ,
 181 must be used both for check and update.
 182 If a process credential is updated during a system call and checks against
 183 the thread credential are to be made later during the same system call,
 184 the thread credential must also be refreshed from the process credential
 185 so as to prevent use of a stale value.
 186 To avoid this scenario, it is recommended that system calls updating the
 187 process credential be designed to avoid other authorization functions.
 188 .Pp
 189 If temporarily elevated privileges are required for a thread, the thread
 190 credential can by replaced for the duration of an activity, or for
 191 the remainder of the system call.
 192 However, as a thread credential is often shared, appropriate care should be
 193 taken to make sure modifications are made to a writable credential
 194 through the use of
 195 .Fn crget
 196 and
 197 .Fn crcopy .
 198 .Pp
 199 Caution should be exercised when checking authorization for a thread or
 200 process perform an operation on another thread or process.
 201 As a result of temporary elevation, the target thread credential should
 202 .Em never
 203 be used as the target credential in an access control decision: the process
 204 credential associated with the thread,
 205 .Va td->td_proc->p_ucred ,
 206 should be used instead.
 207 For example,
 208 .Xr p_candebug 9
 209 accepts a target process, not a target thread, for access control purposes.
 210 .Sh SEE ALSO
 211 .Xr uihold 9
 212 .Sh AUTHORS
 213 This manual page was written by
 214 .An Chad David Aq Mt davidc@acns.ab.ca .