prctl.2: Document operations for ambient capabilities

author Andy Lutomirski <luto@kernel.org>

Fri, 4 Dec 2015 07:30:51 +0000 (08:30 +0100)

committer Michael Kerrisk <mtk.manpages@gmail.com>

Fri, 4 Dec 2015 09:25:02 +0000 (10:25 +0100)
author Andy Lutomirski <luto@kernel.org>
Fri, 4 Dec 2015 07:30:51 +0000 (08:30 +0100)
committer Michael Kerrisk <mtk.manpages@gmail.com>
Fri, 4 Dec 2015 09:25:02 +0000 (10:25 +0100)
diff --git a/man2/prctl.2 b/man2/prctl.2

index e743a63059698f931470cd163e147463414b1de4..bf8680f3b62dd5081738646175715ec17cd81fa3 100644 (file)
--- a/man2/prctl.2
+++ b/man2/prctl.2
@@ -954,6 +954,19 @@ had been called.
  For further information on Intel MPX, see the kernel source file
  .IR Documentation/x86/intel_mpx.txt .
  .\"
+.TP
+.BR PR_CAP_AMBIENT " (since Linux 4.2)"
+Reads or changes the ambient capability set.  If arg2 is PR_CAP_AMBIENT_RAISE,
+then the capability specified in arg3 is added to the ambient set.  This will
+fail, returning EPERM, if the capability is not already both permitted and
+inheritable or if the SECBIT_NO_CAP_AMBIENT_RAISE securebit is set.  If arg2
+is PR_CAP_AMBIENT_LOWER, then the capability specified in arg3 is removed
+from the ambient set.  If arg2 is PR_CAP_AMBIENT_IS_SET, then
+.BR prctl (2)
+will return 1 if the capability in arg3 is in the ambient set and 0 if not.
+If arg2 is PR_CAP_AMBIENT_CLEAR_ALL, then all capabilities will
+be removed from the ambient set.  (Using PR_CAP_AMBIENT_CLEAR_ALL requires
+setting arg3 to zero.)
  .SH RETURN VALUE
  On success,
  .BR PR_GET_DUMPABLE ,
author	Andy Lutomirski <luto@kernel.org>
	Fri, 4 Dec 2015 07:30:51 +0000 (08:30 +0100)
committer	Michael Kerrisk <mtk.manpages@gmail.com>
	Fri, 4 Dec 2015 09:25:02 +0000 (10:25 +0100)