usr/src/man/man1/ppriv.1

   1 '\" te
   2 .\" Copyright (c) 2008, Sun Microsystems, Inc. All Rights Reserved
   3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
   4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
   5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
   6 .TH PPRIV 1 "Feb 24, 2008"
   7 .SH NAME
   8 ppriv \- inspect or modify process privilege sets and attributes
   9 .SH SYNOPSIS
  10 .LP
  11 .nf
  12 \fB/usr/bin/ppriv\fR \fB-e\fR [\fB-D\fR | \fB-N\fR] [\fB-M\fR] [\fB-s\fR \fIspec\fR] \fIcommand\fR [\fIarg\fR]...
  13 .fi
  14
  15 .LP
  16 .nf
  17 \fB/usr/bin/ppriv\fR [\fB-v\fR] [\fB-S\fR] [\fB-D\fR | \fB-N\fR] [\fB-s\fR \fIspec\fR]
  18      [\fIpid\fR | \fIcore\fR]...
  19 .fi
  20
  21 .LP
  22 .nf
  23 \fB/usr/bin/ppriv\fR \fB-l\fR [\fB-v\fR] [\fIprivilege-specification\fR]...
  24 .fi
  25
  26 .SH DESCRIPTION
  27 .sp
  28 .LP
  29 The first invocation of the \fBppriv\fR command runs the \fIcommand\fR
  30 specified with the privilege sets and flags modified according to the arguments
  31 on the command line.
  32 .sp
  33 .LP
  34 The second invocation examines or changes the privilege state of running
  35 process and core files.
  36 .sp
  37 .LP
  38 The third invocation lists the privileges defined and information about
  39 specified privileges or privileges set specifications.
  40 .SH OPTIONS
  41 .sp
  42 .LP
  43 The following options are supported:
  44 .sp
  45 .ne 2
  46 .na
  47 \fB\fB-D\fR\fR
  48 .ad
  49 .RS 11n
  50 Turns on privilege debugging for the processes or command supplied.
  51 .RE
  52
  53 .sp
  54 .ne 2
  55 .na
  56 \fB\fB-e\fR\fR
  57 .ad
  58 .RS 11n
  59 Interprets the remainder of the arguments as a command line and runs the
  60 command line with specified privilege attributes and sets.
  61 .RE
  62
  63 .sp
  64 .ne 2
  65 .na
  66 \fB\fB-l\fR\fR
  67 .ad
  68 .RS 11n
  69 Lists all currently defined privileges on stdout.
  70 .RE
  71
  72 .sp
  73 .ne 2
  74 .na
  75 \fB\fB-M\fR\fR
  76 .ad
  77 .RS 11n
  78 When a system is configured with Trusted Extensions, this option turns on the
  79 \fBNET_MAC_AWARE\fR and \fBNET_MAC_AWARE_INHERIT\fR process attributes.
  80 .sp
  81 A process with these attributes and the \fBnet_mac_aware\fR privilege can
  82 communicate with lower-level remote peers.
  83 .RE
  84
  85 .sp
  86 .ne 2
  87 .na
  88 \fB\fB-N\fR\fR
  89 .ad
  90 .RS 11n
  91 Turns off privilege debugging for the processes or command supplied.
  92 .RE
  93
  94 .sp
  95 .ne 2
  96 .na
  97 \fB\fB-s\fR \fIspec\fR\fR
  98 .ad
  99 .RS 11n
 100 Modifies a process's privilege sets according to \fIspec\fR, a specification
 101 with the format \fB[AEILP][+-=]\fR\fIprivsetspec\fR, containing no spaces,
 102 where:
 103 .sp
 104 .ne 2
 105 .na
 106 \fB\fBAEILP\fR\fR
 107 .ad
 108 .RS 15n
 109 Indicates one or more letters indicating which privilege sets to change. These
 110 are case insensitive, for example, either \fBa\fR or \fBA\fR indicates all
 111 privilege sets.
 112 .RE
 113
 114 .sp
 115 .ne 2
 116 .na
 117 \fB\fB+-=\fR\fR
 118 .ad
 119 .RS 15n
 120 Indicates a modifier to respectively add (\fB+\fR), remove (\fB-\fR), or assign
 121 (\fB=\fR) the listed privileges to the specified set(s) in \fIprivsetspec\fR.
 122 .RE
 123
 124 .sp
 125 .ne 2
 126 .na
 127 \fB\fIprivsetspec\fR\fR
 128 .ad
 129 .RS 15n
 130 Indicates a comma-separated privilege set specification
 131 (\fBpriv1\fR,\fBpriv2\fR, and so on), as described in
 132 \fBpriv_str_to_set\fR(3C).
 133 .RE
 134
 135 Modifying the same set with multiple \fB-s\fR options is possible as long as
 136 there is either precisely one assignment to an individual set or any number of
 137 additions and removals. That is, assignment and addition or removal for one set
 138 are mutually exclusive.
 139 .RE
 140
 141 .sp
 142 .ne 2
 143 .na
 144 \fB\fB-S\fR\fR
 145 .ad
 146 .RS 11n
 147 Short. Reports the shortest possible output strings for sets. The default is
 148 portable output. See \fBpriv_str_to_set\fR(3C).
 149 .RE
 150
 151 .sp
 152 .ne 2
 153 .na
 154 \fB\fB-v\fR\fR
 155 .ad
 156 .RS 11n
 157 Verbose. Reports privilege sets using privilege names.
 158 .RE
 159
 160 .SH USAGE
 161 .sp
 162 .LP
 163 The \fBppriv\fR utility examines processes and core files and prints or changes
 164 their privilege sets.
 165 .sp
 166 .LP
 167 \fBppriv\fR can run commands with privilege debugging on or off or with fewer
 168 privileges than the invoking process.
 169 .sp
 170 .LP
 171 When executing a sub process, the only sets that can be modified are \fBL\fR
 172 and \fBI\fR. Privileges can only be removed from \fBL\fR and \fBI\fR as
 173 \fBppriv\fR starts with \fBP=E=I\fR.
 174 .sp
 175 .LP
 176 \fBppriv\fR can also be used to remove privileges from processes or to convey
 177 privileges to other processes. In order to control a process, the effective set
 178 of the \fBppriv\fR utility must be a super set of the controlled process's
 179 \fBE\fR, \fBI\fR, and \fBP\fR. The utility's limit set must be a super set of
 180 the target's limit set. If the target's process uids do not match, the
 181 \fB{PRIV_PROC_OWNER}\fR privilege must be asserted in the utility's effective
 182 set. If the controlled processes have any uid with the value \fB0\fR, more
 183 restrictions might exist. See \fBprivileges\fR(5).
 184 .SH EXAMPLES
 185 .LP
 186 \fBExample 1 \fRObtaining the Process Privileges of the Current Shell
 187 .sp
 188 .LP
 189 The following example obtains the process privileges of the current shell:
 190
 191 .sp
 192 .in +2
 193 .nf
 194 example$ \fBppriv $$\fR
 195 387:   -sh
 196 flags = <none>
 197          E: basic
 198          I: basic
 199          P: basic
 200          L: all
 201 .fi
 202 .in -2
 203 .sp
 204
 205 .LP
 206 \fBExample 2 \fRRemoving a Privilege From Your Shell's Inheritable and
 207 Effective Set
 208 .sp
 209 .LP
 210 The following example removes a privilege from your shell's inheritable and
 211 effective set.
 212
 213 .sp
 214 .in +2
 215 .nf
 216 example$ \fBppriv -s EI-proc_session $$\fR
 217 .fi
 218 .in -2
 219 .sp
 220
 221 .sp
 222 .LP
 223 The subprocess can still inspect the parent shell but it can no longer
 224 influence the parent because the parent has more privileges in its Permitted
 225 set than the \fBppriv\fR child process:
 226
 227 .sp
 228 .in +2
 229 .nf
 230 example$ \fBtruss -p $$\fR
 231 truss: permission denied: 387
 232
 233 example$ \fBppriv $$\fR
 234 387:   -sh
 235 flags = <none>
 236          E: basic,!proc_session
 237          I: basic,!proc_session
 238          P: basic
 239          L: all
 240 .fi
 241 .in -2
 242 .sp
 243
 244 .LP
 245 \fBExample 3 \fRRunning a Process with Privilege Debugging
 246 .sp
 247 .LP
 248 The following example runs a process with privilege debugging:
 249
 250 .sp
 251 .in +2
 252 .nf
 253 example$ \fBppriv -e -D cat /etc/shadow\fR
 254 cat[418]: missing privilege "file_dac_read" (euid = 21782),
 255                     needed at ufs_access+0x3c
 256 cat: cannot open /etc/shadow
 257 .fi
 258 .in -2
 259 .sp
 260
 261 .sp
 262 .LP
 263 The privilege debugging error messages are sent to the controlling terminal of
 264 the current process. The \fBneeded at\fR address specification is an artifact
 265 of the kernel implementation and it can be changed at any time after a software
 266 update.
 267
 268 .sp
 269 .LP
 270 The system call number can be mapped to a system call using
 271 \fB/etc/name_to_sysnum\fR.
 272
 273 .LP
 274 \fBExample 4 \fRListing the Privileges Available in the Current Zone
 275 .sp
 276 .LP
 277 The following example lists the privileges available in the current zone (see
 278 \fBzones\fR(5)). When run in the global zone, all defined privileges are
 279 listed.
 280
 281 .sp
 282 .in +2
 283 .nf
 284 example$ \fBppriv -l zone\fR
 285  ... listing of all privileges elided ...
 286 .fi
 287 .in -2
 288 .sp
 289
 290 .LP
 291 \fBExample 5 \fRExamining a Privilege Aware Process
 292 .sp
 293 .LP
 294 The following example examines a privilege aware process:
 295
 296 .sp
 297 .in +2
 298 .nf
 299 example$ \fBppriv -S `pgrep rpcbind`\fR
 300
 301
 302 928:    /usr/sbin/rpcbind
 303 flags = PRIV_AWARE
 304         E: net_privaddr,proc_fork,sys_nfs
 305         I: none
 306         P: net_privaddr,proc_fork,sys_nfs
 307         L: none
 308 .fi
 309 .in -2
 310 .sp
 311
 312 .sp
 313 .LP
 314 See \fBsetpflags\fR(2) for explanations of the flags.
 315
 316 .SH EXIT STATUS
 317 .sp
 318 .LP
 319 The following exit values are returned:
 320 .sp
 321 .ne 2
 322 .na
 323 \fB\fB0\fR\fR
 324 .ad
 325 .RS 12n
 326 Successful operation.
 327 .RE
 328
 329 .sp
 330 .ne 2
 331 .na
 332 \fBnon-zero\fR
 333 .ad
 334 .RS 12n
 335 An error has occurred.
 336 .RE
 337
 338 .SH FILES
 339 .sp
 340 .ne 2
 341 .na
 342 \fB\fB/proc/*\fR\fR
 343 .ad
 344 .RS 23n
 345 Process files
 346 .RE
 347
 348 .sp
 349 .ne 2
 350 .na
 351 \fB\fB/etc/name_to_sysnum\fR\fR
 352 .ad
 353 .RS 23n
 354 system call name to number mapping
 355 .RE
 356
 357 .SH ATTRIBUTES
 358 .sp
 359 .LP
 360 See \fBattributes\fR(5) for descriptions of the following attributes:
 361 .sp
 362
 363 .sp
 364 .TS
 365 box;
 366 c | c
 367 l | l .
 368 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 369 _
 370 Interface Stability     See below.
 371 .TE
 372
 373 .sp
 374 .LP
 375 The invocation is Committed. The output is Uncommitted.
 376 .SH SEE ALSO
 377 .sp
 378 .LP
 379 \fBgcore\fR(1), \fBtruss\fR(1), \fBsetpflags\fR(2), \fBpriv_str_to_set\fR(3C),
 380 \fBproc\fR(4), \fBattributes\fR(5), \fBprivileges\fR(5), \fBzones\fR(5)