Pileus Git - ~andy/linux/blob - security/selinux/include/avc.h

   1 /*
   2  * Access vector cache interface for object managers.
   3  *
   4  * Author : Stephen Smalley, <sds@epoch.ncsc.mil>
   5  */
   6 #ifndef _SELINUX_AVC_H_
   7 #define _SELINUX_AVC_H_
   8
   9 #include <linux/stddef.h>
  10 #include <linux/errno.h>
  11 #include <linux/kernel.h>
  12 #include <linux/kdev_t.h>
  13 #include <linux/spinlock.h>
  14 #include <linux/init.h>
  15 #include <linux/audit.h>
  16 #include <linux/lsm_audit.h>
  17 #include <linux/in6.h>
  18 #include "flask.h"
  19 #include "av_permissions.h"
  20 #include "security.h"
  21
  22 #ifdef CONFIG_SECURITY_SELINUX_DEVELOP
  23 extern int selinux_enforcing;
  24 #else
  25 #define selinux_enforcing 1
  26 #endif
  27
  28 /*
  29  * An entry in the AVC.
  30  */
  31 struct avc_entry;
  32
  33 struct task_struct;
  34 struct inode;
  35 struct sock;
  36 struct sk_buff;
  37
  38 /*
  39  * AVC statistics
  40  */
  41 struct avc_cache_stats {
  42         unsigned int lookups;
  43         unsigned int misses;
  44         unsigned int allocations;
  45         unsigned int reclaims;
  46         unsigned int frees;
  47 };
  48
  49 /*
  50  * We only need this data after we have decided to send an audit message.
  51  */
  52 struct selinux_late_audit_data {
  53         u32 ssid;
  54         u32 tsid;
  55         u16 tclass;
  56         u32 requested;
  57         u32 audited;
  58         u32 denied;
  59         int result;
  60 };
  61
  62 /*
  63  * We collect this at the beginning or during an selinux security operation
  64  */
  65 struct selinux_audit_data {
  66         /*
  67          * auditdeny is a bit tricky and unintuitive.  See the
  68          * comments in avc.c for it's meaning and usage.
  69          */
  70         u32 auditdeny;
  71         struct selinux_late_audit_data *slad;
  72 };
  73
  74 /*
  75  * AVC operations
  76  */
  77
  78 void __init avc_init(void);
  79
  80 static inline u32 avc_audit_required(u32 requested,
  81                               struct av_decision *avd,
  82                               int result,
  83                               u32 auditdeny,
  84                               u32 *deniedp)
  85 {
  86         u32 denied, audited;
  87         denied = requested & ~avd->allowed;
  88         if (unlikely(denied)) {
  89                 audited = denied & avd->auditdeny;
  90                 /*
  91                  * auditdeny is TRICKY!  Setting a bit in
  92                  * this field means that ANY denials should NOT be audited if
  93                  * the policy contains an explicit dontaudit rule for that
  94                  * permission.  Take notice that this is unrelated to the
  95                  * actual permissions that were denied.  As an example lets
  96                  * assume:
  97                  *
  98                  * denied == READ
  99                  * avd.auditdeny & ACCESS == 0 (not set means explicit rule)
 100                  * auditdeny & ACCESS == 1
 101                  *
 102                  * We will NOT audit the denial even though the denied
 103                  * permission was READ and the auditdeny checks were for
 104                  * ACCESS
 105                  */
 106                 if (auditdeny && !(auditdeny & avd->auditdeny))
 107                         audited = 0;
 108         } else if (result)
 109                 audited = denied = requested;
 110         else
 111                 audited = requested & avd->auditallow;
 112         *deniedp = denied;
 113         return audited;
 114 }
 115
 116 int slow_avc_audit(u32 ssid, u32 tsid, u16 tclass,
 117                    u32 requested, u32 audited, u32 denied,
 118                    struct common_audit_data *a,
 119                    unsigned flags);
 120
 121 /**
 122  * avc_audit - Audit the granting or denial of permissions.
 123  * @ssid: source security identifier
 124  * @tsid: target security identifier
 125  * @tclass: target security class
 126  * @requested: requested permissions
 127  * @avd: access vector decisions
 128  * @result: result from avc_has_perm_noaudit
 129  * @a:  auxiliary audit data
 130  * @flags: VFS walk flags
 131  *
 132  * Audit the granting or denial of permissions in accordance
 133  * with the policy.  This function is typically called by
 134  * avc_has_perm() after a permission check, but can also be
 135  * called directly by callers who use avc_has_perm_noaudit()
 136  * in order to separate the permission check from the auditing.
 137  * For example, this separation is useful when the permission check must
 138  * be performed under a lock, to allow the lock to be released
 139  * before calling the auditing code.
 140  */
 141 static inline int avc_audit(u32 ssid, u32 tsid,
 142                             u16 tclass, u32 requested,
 143                             struct av_decision *avd,
 144                             int result,
 145                             struct common_audit_data *a, unsigned flags)
 146 {
 147         u32 audited, denied;
 148         audited = avc_audit_required(requested, avd, result,
 149                                      a ? a->selinux_audit_data->auditdeny : 0,
 150                                      &denied);
 151         if (likely(!audited))
 152                 return 0;
 153         return slow_avc_audit(ssid, tsid, tclass,
 154                               requested, audited, denied,
 155                               a, flags);
 156 }
 157
 158 #define AVC_STRICT 1 /* Ignore permissive mode. */
 159 int avc_has_perm_noaudit(u32 ssid, u32 tsid,
 160                          u16 tclass, u32 requested,
 161                          unsigned flags,
 162                          struct av_decision *avd);
 163
 164 int avc_has_perm_flags(u32 ssid, u32 tsid,
 165                        u16 tclass, u32 requested,
 166                        struct common_audit_data *auditdata,
 167                        unsigned);
 168
 169 static inline int avc_has_perm(u32 ssid, u32 tsid,
 170                                u16 tclass, u32 requested,
 171                                struct common_audit_data *auditdata)
 172 {
 173         return avc_has_perm_flags(ssid, tsid, tclass, requested, auditdata, 0);
 174 }
 175
 176 u32 avc_policy_seqno(void);
 177
 178 #define AVC_CALLBACK_GRANT              1
 179 #define AVC_CALLBACK_TRY_REVOKE         2
 180 #define AVC_CALLBACK_REVOKE             4
 181 #define AVC_CALLBACK_RESET              8
 182 #define AVC_CALLBACK_AUDITALLOW_ENABLE  16
 183 #define AVC_CALLBACK_AUDITALLOW_DISABLE 32
 184 #define AVC_CALLBACK_AUDITDENY_ENABLE   64
 185 #define AVC_CALLBACK_AUDITDENY_DISABLE  128
 186
 187 int avc_add_callback(int (*callback)(u32 event, u32 ssid, u32 tsid,
 188                                      u16 tclass, u32 perms,
 189                                      u32 *out_retained),
 190                      u32 events, u32 ssid, u32 tsid,
 191                      u16 tclass, u32 perms);
 192
 193 /* Exported to selinuxfs */
 194 int avc_get_hash_stats(char *page);
 195 extern unsigned int avc_cache_threshold;
 196
 197 /* Attempt to free avc node cache */
 198 void avc_disable(void);
 199
 200 #ifdef CONFIG_SECURITY_SELINUX_AVC_STATS
 201 DECLARE_PER_CPU(struct avc_cache_stats, avc_cache_stats);
 202 #endif
 203
 204 #endif /* _SELINUX_AVC_H_ */
 205