91750205a5dee241ec687a24756a85c24c29032c
[muen/linux.git] / security / smack / smack_lsm.c
1 /*
2  *  Simplified MAC Kernel (smack) security module
3  *
4  *  This file contains the smack hook function implementations.
5  *
6  *  Authors:
7  *      Casey Schaufler <casey@schaufler-ca.com>
8  *      Jarkko Sakkinen <jarkko.sakkinen@intel.com>
9  *
10  *  Copyright (C) 2007 Casey Schaufler <casey@schaufler-ca.com>
11  *  Copyright (C) 2009 Hewlett-Packard Development Company, L.P.
12  *                Paul Moore <paul@paul-moore.com>
13  *  Copyright (C) 2010 Nokia Corporation
14  *  Copyright (C) 2011 Intel Corporation.
15  *
16  *      This program is free software; you can redistribute it and/or modify
17  *      it under the terms of the GNU General Public License version 2,
18  *      as published by the Free Software Foundation.
19  */
20
21 #include <linux/xattr.h>
22 #include <linux/pagemap.h>
23 #include <linux/mount.h>
24 #include <linux/stat.h>
25 #include <linux/kd.h>
26 #include <asm/ioctls.h>
27 #include <linux/ip.h>
28 #include <linux/tcp.h>
29 #include <linux/udp.h>
30 #include <linux/dccp.h>
31 #include <linux/icmpv6.h>
32 #include <linux/slab.h>
33 #include <linux/mutex.h>
34 #include <linux/pipe_fs_i.h>
35 #include <net/cipso_ipv4.h>
36 #include <net/ip.h>
37 #include <net/ipv6.h>
38 #include <linux/audit.h>
39 #include <linux/magic.h>
40 #include <linux/dcache.h>
41 #include <linux/personality.h>
42 #include <linux/msg.h>
43 #include <linux/shm.h>
44 #include <linux/binfmts.h>
45 #include <linux/parser.h>
46 #include "smack.h"
47
48 #define TRANS_TRUE      "TRUE"
49 #define TRANS_TRUE_SIZE 4
50
51 #define SMK_CONNECTING  0
52 #define SMK_RECEIVING   1
53 #define SMK_SENDING     2
54
55 #ifdef SMACK_IPV6_PORT_LABELING
56 DEFINE_MUTEX(smack_ipv6_lock);
57 static LIST_HEAD(smk_ipv6_port_list);
58 #endif
59 static struct kmem_cache *smack_inode_cache;
60 int smack_enabled;
61
62 static const match_table_t smk_mount_tokens = {
63         {Opt_fsdefault, SMK_FSDEFAULT "%s"},
64         {Opt_fsfloor, SMK_FSFLOOR "%s"},
65         {Opt_fshat, SMK_FSHAT "%s"},
66         {Opt_fsroot, SMK_FSROOT "%s"},
67         {Opt_fstransmute, SMK_FSTRANS "%s"},
68         {Opt_error, NULL},
69 };
70
71 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
72 static char *smk_bu_mess[] = {
73         "Bringup Error",        /* Unused */
74         "Bringup",              /* SMACK_BRINGUP_ALLOW */
75         "Unconfined Subject",   /* SMACK_UNCONFINED_SUBJECT */
76         "Unconfined Object",    /* SMACK_UNCONFINED_OBJECT */
77 };
78
79 static void smk_bu_mode(int mode, char *s)
80 {
81         int i = 0;
82
83         if (mode & MAY_READ)
84                 s[i++] = 'r';
85         if (mode & MAY_WRITE)
86                 s[i++] = 'w';
87         if (mode & MAY_EXEC)
88                 s[i++] = 'x';
89         if (mode & MAY_APPEND)
90                 s[i++] = 'a';
91         if (mode & MAY_TRANSMUTE)
92                 s[i++] = 't';
93         if (mode & MAY_LOCK)
94                 s[i++] = 'l';
95         if (i == 0)
96                 s[i++] = '-';
97         s[i] = '\0';
98 }
99 #endif
100
101 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
102 static int smk_bu_note(char *note, struct smack_known *sskp,
103                        struct smack_known *oskp, int mode, int rc)
104 {
105         char acc[SMK_NUM_ACCESS_TYPE + 1];
106
107         if (rc <= 0)
108                 return rc;
109         if (rc > SMACK_UNCONFINED_OBJECT)
110                 rc = 0;
111
112         smk_bu_mode(mode, acc);
113         pr_info("Smack %s: (%s %s %s) %s\n", smk_bu_mess[rc],
114                 sskp->smk_known, oskp->smk_known, acc, note);
115         return 0;
116 }
117 #else
118 #define smk_bu_note(note, sskp, oskp, mode, RC) (RC)
119 #endif
120
121 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
122 static int smk_bu_current(char *note, struct smack_known *oskp,
123                           int mode, int rc)
124 {
125         struct task_smack *tsp = current_security();
126         char acc[SMK_NUM_ACCESS_TYPE + 1];
127
128         if (rc <= 0)
129                 return rc;
130         if (rc > SMACK_UNCONFINED_OBJECT)
131                 rc = 0;
132
133         smk_bu_mode(mode, acc);
134         pr_info("Smack %s: (%s %s %s) %s %s\n", smk_bu_mess[rc],
135                 tsp->smk_task->smk_known, oskp->smk_known,
136                 acc, current->comm, note);
137         return 0;
138 }
139 #else
140 #define smk_bu_current(note, oskp, mode, RC) (RC)
141 #endif
142
143 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
144 static int smk_bu_task(struct task_struct *otp, int mode, int rc)
145 {
146         struct task_smack *tsp = current_security();
147         struct smack_known *smk_task = smk_of_task_struct(otp);
148         char acc[SMK_NUM_ACCESS_TYPE + 1];
149
150         if (rc <= 0)
151                 return rc;
152         if (rc > SMACK_UNCONFINED_OBJECT)
153                 rc = 0;
154
155         smk_bu_mode(mode, acc);
156         pr_info("Smack %s: (%s %s %s) %s to %s\n", smk_bu_mess[rc],
157                 tsp->smk_task->smk_known, smk_task->smk_known, acc,
158                 current->comm, otp->comm);
159         return 0;
160 }
161 #else
162 #define smk_bu_task(otp, mode, RC) (RC)
163 #endif
164
165 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
166 static int smk_bu_inode(struct inode *inode, int mode, int rc)
167 {
168         struct task_smack *tsp = current_security();
169         struct inode_smack *isp = inode->i_security;
170         char acc[SMK_NUM_ACCESS_TYPE + 1];
171
172         if (isp->smk_flags & SMK_INODE_IMPURE)
173                 pr_info("Smack Unconfined Corruption: inode=(%s %ld) %s\n",
174                         inode->i_sb->s_id, inode->i_ino, current->comm);
175
176         if (rc <= 0)
177                 return rc;
178         if (rc > SMACK_UNCONFINED_OBJECT)
179                 rc = 0;
180         if (rc == SMACK_UNCONFINED_SUBJECT &&
181             (mode & (MAY_WRITE | MAY_APPEND)))
182                 isp->smk_flags |= SMK_INODE_IMPURE;
183
184         smk_bu_mode(mode, acc);
185
186         pr_info("Smack %s: (%s %s %s) inode=(%s %ld) %s\n", smk_bu_mess[rc],
187                 tsp->smk_task->smk_known, isp->smk_inode->smk_known, acc,
188                 inode->i_sb->s_id, inode->i_ino, current->comm);
189         return 0;
190 }
191 #else
192 #define smk_bu_inode(inode, mode, RC) (RC)
193 #endif
194
195 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
196 static int smk_bu_file(struct file *file, int mode, int rc)
197 {
198         struct task_smack *tsp = current_security();
199         struct smack_known *sskp = tsp->smk_task;
200         struct inode *inode = file_inode(file);
201         struct inode_smack *isp = inode->i_security;
202         char acc[SMK_NUM_ACCESS_TYPE + 1];
203
204         if (isp->smk_flags & SMK_INODE_IMPURE)
205                 pr_info("Smack Unconfined Corruption: inode=(%s %ld) %s\n",
206                         inode->i_sb->s_id, inode->i_ino, current->comm);
207
208         if (rc <= 0)
209                 return rc;
210         if (rc > SMACK_UNCONFINED_OBJECT)
211                 rc = 0;
212
213         smk_bu_mode(mode, acc);
214         pr_info("Smack %s: (%s %s %s) file=(%s %ld %pD) %s\n", smk_bu_mess[rc],
215                 sskp->smk_known, smk_of_inode(inode)->smk_known, acc,
216                 inode->i_sb->s_id, inode->i_ino, file,
217                 current->comm);
218         return 0;
219 }
220 #else
221 #define smk_bu_file(file, mode, RC) (RC)
222 #endif
223
224 #ifdef CONFIG_SECURITY_SMACK_BRINGUP
225 static int smk_bu_credfile(const struct cred *cred, struct file *file,
226                                 int mode, int rc)
227 {
228         struct task_smack *tsp = cred->security;
229         struct smack_known *sskp = tsp->smk_task;
230         struct inode *inode = file_inode(file);
231         struct inode_smack *isp = inode->i_security;
232         char acc[SMK_NUM_ACCESS_TYPE + 1];
233
234         if (isp->smk_flags & SMK_INODE_IMPURE)
235                 pr_info("Smack Unconfined Corruption: inode=(%s %ld) %s\n",
236                         inode->i_sb->s_id, inode->i_ino, current->comm);
237
238         if (rc <= 0)
239                 return rc;
240         if (rc > SMACK_UNCONFINED_OBJECT)
241                 rc = 0;
242
243         smk_bu_mode(mode, acc);
244         pr_info("Smack %s: (%s %s %s) file=(%s %ld %pD) %s\n", smk_bu_mess[rc],
245                 sskp->smk_known, smk_of_inode(inode)->smk_known, acc,
246                 inode->i_sb->s_id, inode->i_ino, file,
247                 current->comm);
248         return 0;
249 }
250 #else
251 #define smk_bu_credfile(cred, file, mode, RC) (RC)
252 #endif
253
254 /**
255  * smk_fetch - Fetch the smack label from a file.
256  * @name: type of the label (attribute)
257  * @ip: a pointer to the inode
258  * @dp: a pointer to the dentry
259  *
260  * Returns a pointer to the master list entry for the Smack label,
261  * NULL if there was no label to fetch, or an error code.
262  */
263 static struct smack_known *smk_fetch(const char *name, struct inode *ip,
264                                         struct dentry *dp)
265 {
266         int rc;
267         char *buffer;
268         struct smack_known *skp = NULL;
269
270         if (!(ip->i_opflags & IOP_XATTR))
271                 return ERR_PTR(-EOPNOTSUPP);
272
273         buffer = kzalloc(SMK_LONGLABEL, GFP_KERNEL);
274         if (buffer == NULL)
275                 return ERR_PTR(-ENOMEM);
276
277         rc = __vfs_getxattr(dp, ip, name, buffer, SMK_LONGLABEL);
278         if (rc < 0)
279                 skp = ERR_PTR(rc);
280         else if (rc == 0)
281                 skp = NULL;
282         else
283                 skp = smk_import_entry(buffer, rc);
284
285         kfree(buffer);
286
287         return skp;
288 }
289
290 /**
291  * new_inode_smack - allocate an inode security blob
292  * @skp: a pointer to the Smack label entry to use in the blob
293  *
294  * Returns the new blob or NULL if there's no memory available
295  */
296 static struct inode_smack *new_inode_smack(struct smack_known *skp)
297 {
298         struct inode_smack *isp;
299
300         isp = kmem_cache_zalloc(smack_inode_cache, GFP_NOFS);
301         if (isp == NULL)
302                 return NULL;
303
304         isp->smk_inode = skp;
305         isp->smk_flags = 0;
306         mutex_init(&isp->smk_lock);
307
308         return isp;
309 }
310
311 /**
312  * new_task_smack - allocate a task security blob
313  * @task: a pointer to the Smack label for the running task
314  * @forked: a pointer to the Smack label for the forked task
315  * @gfp: type of the memory for the allocation
316  *
317  * Returns the new blob or NULL if there's no memory available
318  */
319 static struct task_smack *new_task_smack(struct smack_known *task,
320                                         struct smack_known *forked, gfp_t gfp)
321 {
322         struct task_smack *tsp;
323
324         tsp = kzalloc(sizeof(struct task_smack), gfp);
325         if (tsp == NULL)
326                 return NULL;
327
328         tsp->smk_task = task;
329         tsp->smk_forked = forked;
330         INIT_LIST_HEAD(&tsp->smk_rules);
331         INIT_LIST_HEAD(&tsp->smk_relabel);
332         mutex_init(&tsp->smk_rules_lock);
333
334         return tsp;
335 }
336
337 /**
338  * smk_copy_rules - copy a rule set
339  * @nhead: new rules header pointer
340  * @ohead: old rules header pointer
341  * @gfp: type of the memory for the allocation
342  *
343  * Returns 0 on success, -ENOMEM on error
344  */
345 static int smk_copy_rules(struct list_head *nhead, struct list_head *ohead,
346                                 gfp_t gfp)
347 {
348         struct smack_rule *nrp;
349         struct smack_rule *orp;
350         int rc = 0;
351
352         list_for_each_entry_rcu(orp, ohead, list) {
353                 nrp = kzalloc(sizeof(struct smack_rule), gfp);
354                 if (nrp == NULL) {
355                         rc = -ENOMEM;
356                         break;
357                 }
358                 *nrp = *orp;
359                 list_add_rcu(&nrp->list, nhead);
360         }
361         return rc;
362 }
363
364 /**
365  * smk_copy_relabel - copy smk_relabel labels list
366  * @nhead: new rules header pointer
367  * @ohead: old rules header pointer
368  * @gfp: type of the memory for the allocation
369  *
370  * Returns 0 on success, -ENOMEM on error
371  */
372 static int smk_copy_relabel(struct list_head *nhead, struct list_head *ohead,
373                                 gfp_t gfp)
374 {
375         struct smack_known_list_elem *nklep;
376         struct smack_known_list_elem *oklep;
377
378         list_for_each_entry(oklep, ohead, list) {
379                 nklep = kzalloc(sizeof(struct smack_known_list_elem), gfp);
380                 if (nklep == NULL) {
381                         smk_destroy_label_list(nhead);
382                         return -ENOMEM;
383                 }
384                 nklep->smk_label = oklep->smk_label;
385                 list_add(&nklep->list, nhead);
386         }
387
388         return 0;
389 }
390
391 /**
392  * smk_ptrace_mode - helper function for converting PTRACE_MODE_* into MAY_*
393  * @mode - input mode in form of PTRACE_MODE_*
394  *
395  * Returns a converted MAY_* mode usable by smack rules
396  */
397 static inline unsigned int smk_ptrace_mode(unsigned int mode)
398 {
399         if (mode & PTRACE_MODE_ATTACH)
400                 return MAY_READWRITE;
401         if (mode & PTRACE_MODE_READ)
402                 return MAY_READ;
403
404         return 0;
405 }
406
407 /**
408  * smk_ptrace_rule_check - helper for ptrace access
409  * @tracer: tracer process
410  * @tracee_known: label entry of the process that's about to be traced
411  * @mode: ptrace attachment mode (PTRACE_MODE_*)
412  * @func: name of the function that called us, used for audit
413  *
414  * Returns 0 on access granted, -error on error
415  */
416 static int smk_ptrace_rule_check(struct task_struct *tracer,
417                                  struct smack_known *tracee_known,
418                                  unsigned int mode, const char *func)
419 {
420         int rc;
421         struct smk_audit_info ad, *saip = NULL;
422         struct task_smack *tsp;
423         struct smack_known *tracer_known;
424
425         if ((mode & PTRACE_MODE_NOAUDIT) == 0) {
426                 smk_ad_init(&ad, func, LSM_AUDIT_DATA_TASK);
427                 smk_ad_setfield_u_tsk(&ad, tracer);
428                 saip = &ad;
429         }
430
431         rcu_read_lock();
432         tsp = __task_cred(tracer)->security;
433         tracer_known = smk_of_task(tsp);
434
435         if ((mode & PTRACE_MODE_ATTACH) &&
436             (smack_ptrace_rule == SMACK_PTRACE_EXACT ||
437              smack_ptrace_rule == SMACK_PTRACE_DRACONIAN)) {
438                 if (tracer_known->smk_known == tracee_known->smk_known)
439                         rc = 0;
440                 else if (smack_ptrace_rule == SMACK_PTRACE_DRACONIAN)
441                         rc = -EACCES;
442                 else if (capable(CAP_SYS_PTRACE))
443                         rc = 0;
444                 else
445                         rc = -EACCES;
446
447                 if (saip)
448                         smack_log(tracer_known->smk_known,
449                                   tracee_known->smk_known,
450                                   0, rc, saip);
451
452                 rcu_read_unlock();
453                 return rc;
454         }
455
456         /* In case of rule==SMACK_PTRACE_DEFAULT or mode==PTRACE_MODE_READ */
457         rc = smk_tskacc(tsp, tracee_known, smk_ptrace_mode(mode), saip);
458
459         rcu_read_unlock();
460         return rc;
461 }
462
463 /*
464  * LSM hooks.
465  * We he, that is fun!
466  */
467
468 /**
469  * smack_ptrace_access_check - Smack approval on PTRACE_ATTACH
470  * @ctp: child task pointer
471  * @mode: ptrace attachment mode (PTRACE_MODE_*)
472  *
473  * Returns 0 if access is OK, an error code otherwise
474  *
475  * Do the capability checks.
476  */
477 static int smack_ptrace_access_check(struct task_struct *ctp, unsigned int mode)
478 {
479         struct smack_known *skp;
480
481         skp = smk_of_task_struct(ctp);
482
483         return smk_ptrace_rule_check(current, skp, mode, __func__);
484 }
485
486 /**
487  * smack_ptrace_traceme - Smack approval on PTRACE_TRACEME
488  * @ptp: parent task pointer
489  *
490  * Returns 0 if access is OK, an error code otherwise
491  *
492  * Do the capability checks, and require PTRACE_MODE_ATTACH.
493  */
494 static int smack_ptrace_traceme(struct task_struct *ptp)
495 {
496         int rc;
497         struct smack_known *skp;
498
499         skp = smk_of_task(current_security());
500
501         rc = smk_ptrace_rule_check(ptp, skp, PTRACE_MODE_ATTACH, __func__);
502         return rc;
503 }
504
505 /**
506  * smack_syslog - Smack approval on syslog
507  * @type: message type
508  *
509  * Returns 0 on success, error code otherwise.
510  */
511 static int smack_syslog(int typefrom_file)
512 {
513         int rc = 0;
514         struct smack_known *skp = smk_of_current();
515
516         if (smack_privileged(CAP_MAC_OVERRIDE))
517                 return 0;
518
519         if (smack_syslog_label != NULL && smack_syslog_label != skp)
520                 rc = -EACCES;
521
522         return rc;
523 }
524
525
526 /*
527  * Superblock Hooks.
528  */
529
530 /**
531  * smack_sb_alloc_security - allocate a superblock blob
532  * @sb: the superblock getting the blob
533  *
534  * Returns 0 on success or -ENOMEM on error.
535  */
536 static int smack_sb_alloc_security(struct super_block *sb)
537 {
538         struct superblock_smack *sbsp;
539
540         sbsp = kzalloc(sizeof(struct superblock_smack), GFP_KERNEL);
541
542         if (sbsp == NULL)
543                 return -ENOMEM;
544
545         sbsp->smk_root = &smack_known_floor;
546         sbsp->smk_default = &smack_known_floor;
547         sbsp->smk_floor = &smack_known_floor;
548         sbsp->smk_hat = &smack_known_hat;
549         /*
550          * SMK_SB_INITIALIZED will be zero from kzalloc.
551          */
552         sb->s_security = sbsp;
553
554         return 0;
555 }
556
557 /**
558  * smack_sb_free_security - free a superblock blob
559  * @sb: the superblock getting the blob
560  *
561  */
562 static void smack_sb_free_security(struct super_block *sb)
563 {
564         kfree(sb->s_security);
565         sb->s_security = NULL;
566 }
567
568 /**
569  * smack_sb_copy_data - copy mount options data for processing
570  * @orig: where to start
571  * @smackopts: mount options string
572  *
573  * Returns 0 on success or -ENOMEM on error.
574  *
575  * Copy the Smack specific mount options out of the mount
576  * options list.
577  */
578 static int smack_sb_copy_data(char *orig, char *smackopts)
579 {
580         char *cp, *commap, *otheropts, *dp;
581
582         otheropts = (char *)get_zeroed_page(GFP_KERNEL);
583         if (otheropts == NULL)
584                 return -ENOMEM;
585
586         for (cp = orig, commap = orig; commap != NULL; cp = commap + 1) {
587                 if (strstr(cp, SMK_FSDEFAULT) == cp)
588                         dp = smackopts;
589                 else if (strstr(cp, SMK_FSFLOOR) == cp)
590                         dp = smackopts;
591                 else if (strstr(cp, SMK_FSHAT) == cp)
592                         dp = smackopts;
593                 else if (strstr(cp, SMK_FSROOT) == cp)
594                         dp = smackopts;
595                 else if (strstr(cp, SMK_FSTRANS) == cp)
596                         dp = smackopts;
597                 else
598                         dp = otheropts;
599
600                 commap = strchr(cp, ',');
601                 if (commap != NULL)
602                         *commap = '\0';
603
604                 if (*dp != '\0')
605                         strcat(dp, ",");
606                 strcat(dp, cp);
607         }
608
609         strcpy(orig, otheropts);
610         free_page((unsigned long)otheropts);
611
612         return 0;
613 }
614
615 /**
616  * smack_parse_opts_str - parse Smack specific mount options
617  * @options: mount options string
618  * @opts: where to store converted mount opts
619  *
620  * Returns 0 on success or -ENOMEM on error.
621  *
622  * converts Smack specific mount options to generic security option format
623  */
624 static int smack_parse_opts_str(char *options,
625                 struct security_mnt_opts *opts)
626 {
627         char *p;
628         char *fsdefault = NULL;
629         char *fsfloor = NULL;
630         char *fshat = NULL;
631         char *fsroot = NULL;
632         char *fstransmute = NULL;
633         int rc = -ENOMEM;
634         int num_mnt_opts = 0;
635         int token;
636
637         opts->num_mnt_opts = 0;
638
639         if (!options)
640                 return 0;
641
642         while ((p = strsep(&options, ",")) != NULL) {
643                 substring_t args[MAX_OPT_ARGS];
644
645                 if (!*p)
646                         continue;
647
648                 token = match_token(p, smk_mount_tokens, args);
649
650                 switch (token) {
651                 case Opt_fsdefault:
652                         if (fsdefault)
653                                 goto out_opt_err;
654                         fsdefault = match_strdup(&args[0]);
655                         if (!fsdefault)
656                                 goto out_err;
657                         break;
658                 case Opt_fsfloor:
659                         if (fsfloor)
660                                 goto out_opt_err;
661                         fsfloor = match_strdup(&args[0]);
662                         if (!fsfloor)
663                                 goto out_err;
664                         break;
665                 case Opt_fshat:
666                         if (fshat)
667                                 goto out_opt_err;
668                         fshat = match_strdup(&args[0]);
669                         if (!fshat)
670                                 goto out_err;
671                         break;
672                 case Opt_fsroot:
673                         if (fsroot)
674                                 goto out_opt_err;
675                         fsroot = match_strdup(&args[0]);
676                         if (!fsroot)
677                                 goto out_err;
678                         break;
679                 case Opt_fstransmute:
680                         if (fstransmute)
681                                 goto out_opt_err;
682                         fstransmute = match_strdup(&args[0]);
683                         if (!fstransmute)
684                                 goto out_err;
685                         break;
686                 default:
687                         rc = -EINVAL;
688                         pr_warn("Smack:  unknown mount option\n");
689                         goto out_err;
690                 }
691         }
692
693         opts->mnt_opts = kcalloc(NUM_SMK_MNT_OPTS, sizeof(char *), GFP_KERNEL);
694         if (!opts->mnt_opts)
695                 goto out_err;
696
697         opts->mnt_opts_flags = kcalloc(NUM_SMK_MNT_OPTS, sizeof(int),
698                         GFP_KERNEL);
699         if (!opts->mnt_opts_flags)
700                 goto out_err;
701
702         if (fsdefault) {
703                 opts->mnt_opts[num_mnt_opts] = fsdefault;
704                 opts->mnt_opts_flags[num_mnt_opts++] = FSDEFAULT_MNT;
705         }
706         if (fsfloor) {
707                 opts->mnt_opts[num_mnt_opts] = fsfloor;
708                 opts->mnt_opts_flags[num_mnt_opts++] = FSFLOOR_MNT;
709         }
710         if (fshat) {
711                 opts->mnt_opts[num_mnt_opts] = fshat;
712                 opts->mnt_opts_flags[num_mnt_opts++] = FSHAT_MNT;
713         }
714         if (fsroot) {
715                 opts->mnt_opts[num_mnt_opts] = fsroot;
716                 opts->mnt_opts_flags[num_mnt_opts++] = FSROOT_MNT;
717         }
718         if (fstransmute) {
719                 opts->mnt_opts[num_mnt_opts] = fstransmute;
720                 opts->mnt_opts_flags[num_mnt_opts++] = FSTRANS_MNT;
721         }
722
723         opts->num_mnt_opts = num_mnt_opts;
724         return 0;
725
726 out_opt_err:
727         rc = -EINVAL;
728         pr_warn("Smack: duplicate mount options\n");
729
730 out_err:
731         kfree(fsdefault);
732         kfree(fsfloor);
733         kfree(fshat);
734         kfree(fsroot);
735         kfree(fstransmute);
736         return rc;
737 }
738
739 /**
740  * smack_set_mnt_opts - set Smack specific mount options
741  * @sb: the file system superblock
742  * @opts: Smack mount options
743  * @kern_flags: mount option from kernel space or user space
744  * @set_kern_flags: where to store converted mount opts
745  *
746  * Returns 0 on success, an error code on failure
747  *
748  * Allow filesystems with binary mount data to explicitly set Smack mount
749  * labels.
750  */
751 static int smack_set_mnt_opts(struct super_block *sb,
752                 struct security_mnt_opts *opts,
753                 unsigned long kern_flags,
754                 unsigned long *set_kern_flags)
755 {
756         struct dentry *root = sb->s_root;
757         struct inode *inode = d_backing_inode(root);
758         struct superblock_smack *sp = sb->s_security;
759         struct inode_smack *isp;
760         struct smack_known *skp;
761         int i;
762         int num_opts = opts->num_mnt_opts;
763         int transmute = 0;
764
765         if (sp->smk_flags & SMK_SB_INITIALIZED)
766                 return 0;
767
768         if (!smack_privileged(CAP_MAC_ADMIN)) {
769                 /*
770                  * Unprivileged mounts don't get to specify Smack values.
771                  */
772                 if (num_opts)
773                         return -EPERM;
774                 /*
775                  * Unprivileged mounts get root and default from the caller.
776                  */
777                 skp = smk_of_current();
778                 sp->smk_root = skp;
779                 sp->smk_default = skp;
780                 /*
781                  * For a handful of fs types with no user-controlled
782                  * backing store it's okay to trust security labels
783                  * in the filesystem. The rest are untrusted.
784                  */
785                 if (sb->s_user_ns != &init_user_ns &&
786                     sb->s_magic != SYSFS_MAGIC && sb->s_magic != TMPFS_MAGIC &&
787                     sb->s_magic != RAMFS_MAGIC) {
788                         transmute = 1;
789                         sp->smk_flags |= SMK_SB_UNTRUSTED;
790                 }
791         }
792
793         sp->smk_flags |= SMK_SB_INITIALIZED;
794
795         for (i = 0; i < num_opts; i++) {
796                 switch (opts->mnt_opts_flags[i]) {
797                 case FSDEFAULT_MNT:
798                         skp = smk_import_entry(opts->mnt_opts[i], 0);
799                         if (IS_ERR(skp))
800                                 return PTR_ERR(skp);
801                         sp->smk_default = skp;
802                         break;
803                 case FSFLOOR_MNT:
804                         skp = smk_import_entry(opts->mnt_opts[i], 0);
805                         if (IS_ERR(skp))
806                                 return PTR_ERR(skp);
807                         sp->smk_floor = skp;
808                         break;
809                 case FSHAT_MNT:
810                         skp = smk_import_entry(opts->mnt_opts[i], 0);
811                         if (IS_ERR(skp))
812                                 return PTR_ERR(skp);
813                         sp->smk_hat = skp;
814                         break;
815                 case FSROOT_MNT:
816                         skp = smk_import_entry(opts->mnt_opts[i], 0);
817                         if (IS_ERR(skp))
818                                 return PTR_ERR(skp);
819                         sp->smk_root = skp;
820                         break;
821                 case FSTRANS_MNT:
822                         skp = smk_import_entry(opts->mnt_opts[i], 0);
823                         if (IS_ERR(skp))
824                                 return PTR_ERR(skp);
825                         sp->smk_root = skp;
826                         transmute = 1;
827                         break;
828                 default:
829                         break;
830                 }
831         }
832
833         /*
834          * Initialize the root inode.
835          */
836         isp = inode->i_security;
837         if (isp == NULL) {
838                 isp = new_inode_smack(sp->smk_root);
839                 if (isp == NULL)
840                         return -ENOMEM;
841                 inode->i_security = isp;
842         } else
843                 isp->smk_inode = sp->smk_root;
844
845         if (transmute)
846                 isp->smk_flags |= SMK_INODE_TRANSMUTE;
847
848         return 0;
849 }
850
851 /**
852  * smack_sb_kern_mount - Smack specific mount processing
853  * @sb: the file system superblock
854  * @flags: the mount flags
855  * @data: the smack mount options
856  *
857  * Returns 0 on success, an error code on failure
858  */
859 static int smack_sb_kern_mount(struct super_block *sb, int flags, void *data)
860 {
861         int rc = 0;
862         char *options = data;
863         struct security_mnt_opts opts;
864
865         security_init_mnt_opts(&opts);
866
867         if (!options)
868                 goto out;
869
870         rc = smack_parse_opts_str(options, &opts);
871         if (rc)
872                 goto out_err;
873
874 out:
875         rc = smack_set_mnt_opts(sb, &opts, 0, NULL);
876
877 out_err:
878         security_free_mnt_opts(&opts);
879         return rc;
880 }
881
882 /**
883  * smack_sb_statfs - Smack check on statfs
884  * @dentry: identifies the file system in question
885  *
886  * Returns 0 if current can read the floor of the filesystem,
887  * and error code otherwise
888  */
889 static int smack_sb_statfs(struct dentry *dentry)
890 {
891         struct superblock_smack *sbp = dentry->d_sb->s_security;
892         int rc;
893         struct smk_audit_info ad;
894
895         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
896         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
897
898         rc = smk_curacc(sbp->smk_floor, MAY_READ, &ad);
899         rc = smk_bu_current("statfs", sbp->smk_floor, MAY_READ, rc);
900         return rc;
901 }
902
903 /*
904  * BPRM hooks
905  */
906
907 /**
908  * smack_bprm_set_creds - set creds for exec
909  * @bprm: the exec information
910  *
911  * Returns 0 if it gets a blob, -EPERM if exec forbidden and -ENOMEM otherwise
912  */
913 static int smack_bprm_set_creds(struct linux_binprm *bprm)
914 {
915         struct inode *inode = file_inode(bprm->file);
916         struct task_smack *bsp = bprm->cred->security;
917         struct inode_smack *isp;
918         struct superblock_smack *sbsp;
919         int rc;
920
921         if (bprm->called_set_creds)
922                 return 0;
923
924         isp = inode->i_security;
925         if (isp->smk_task == NULL || isp->smk_task == bsp->smk_task)
926                 return 0;
927
928         sbsp = inode->i_sb->s_security;
929         if ((sbsp->smk_flags & SMK_SB_UNTRUSTED) &&
930             isp->smk_task != sbsp->smk_root)
931                 return 0;
932
933         if (bprm->unsafe & LSM_UNSAFE_PTRACE) {
934                 struct task_struct *tracer;
935                 rc = 0;
936
937                 rcu_read_lock();
938                 tracer = ptrace_parent(current);
939                 if (likely(tracer != NULL))
940                         rc = smk_ptrace_rule_check(tracer,
941                                                    isp->smk_task,
942                                                    PTRACE_MODE_ATTACH,
943                                                    __func__);
944                 rcu_read_unlock();
945
946                 if (rc != 0)
947                         return rc;
948         } else if (bprm->unsafe)
949                 return -EPERM;
950
951         bsp->smk_task = isp->smk_task;
952         bprm->per_clear |= PER_CLEAR_ON_SETID;
953
954         /* Decide if this is a secure exec. */
955         if (bsp->smk_task != bsp->smk_forked)
956                 bprm->secureexec = 1;
957
958         return 0;
959 }
960
961 /*
962  * Inode hooks
963  */
964
965 /**
966  * smack_inode_alloc_security - allocate an inode blob
967  * @inode: the inode in need of a blob
968  *
969  * Returns 0 if it gets a blob, -ENOMEM otherwise
970  */
971 static int smack_inode_alloc_security(struct inode *inode)
972 {
973         struct smack_known *skp = smk_of_current();
974
975         inode->i_security = new_inode_smack(skp);
976         if (inode->i_security == NULL)
977                 return -ENOMEM;
978         return 0;
979 }
980
981 /**
982  * smack_inode_free_rcu - Free inode_smack blob from cache
983  * @head: the rcu_head for getting inode_smack pointer
984  *
985  *  Call back function called from call_rcu() to free
986  *  the i_security blob pointer in inode
987  */
988 static void smack_inode_free_rcu(struct rcu_head *head)
989 {
990         struct inode_smack *issp;
991
992         issp = container_of(head, struct inode_smack, smk_rcu);
993         kmem_cache_free(smack_inode_cache, issp);
994 }
995
996 /**
997  * smack_inode_free_security - free an inode blob using call_rcu()
998  * @inode: the inode with a blob
999  *
1000  * Clears the blob pointer in inode using RCU
1001  */
1002 static void smack_inode_free_security(struct inode *inode)
1003 {
1004         struct inode_smack *issp = inode->i_security;
1005
1006         /*
1007          * The inode may still be referenced in a path walk and
1008          * a call to smack_inode_permission() can be made
1009          * after smack_inode_free_security() is called.
1010          * To avoid race condition free the i_security via RCU
1011          * and leave the current inode->i_security pointer intact.
1012          * The inode will be freed after the RCU grace period too.
1013          */
1014         call_rcu(&issp->smk_rcu, smack_inode_free_rcu);
1015 }
1016
1017 /**
1018  * smack_inode_init_security - copy out the smack from an inode
1019  * @inode: the newly created inode
1020  * @dir: containing directory object
1021  * @qstr: unused
1022  * @name: where to put the attribute name
1023  * @value: where to put the attribute value
1024  * @len: where to put the length of the attribute
1025  *
1026  * Returns 0 if it all works out, -ENOMEM if there's no memory
1027  */
1028 static int smack_inode_init_security(struct inode *inode, struct inode *dir,
1029                                      const struct qstr *qstr, const char **name,
1030                                      void **value, size_t *len)
1031 {
1032         struct inode_smack *issp = inode->i_security;
1033         struct smack_known *skp = smk_of_current();
1034         struct smack_known *isp = smk_of_inode(inode);
1035         struct smack_known *dsp = smk_of_inode(dir);
1036         int may;
1037
1038         if (name)
1039                 *name = XATTR_SMACK_SUFFIX;
1040
1041         if (value && len) {
1042                 rcu_read_lock();
1043                 may = smk_access_entry(skp->smk_known, dsp->smk_known,
1044                                        &skp->smk_rules);
1045                 rcu_read_unlock();
1046
1047                 /*
1048                  * If the access rule allows transmutation and
1049                  * the directory requests transmutation then
1050                  * by all means transmute.
1051                  * Mark the inode as changed.
1052                  */
1053                 if (may > 0 && ((may & MAY_TRANSMUTE) != 0) &&
1054                     smk_inode_transmutable(dir)) {
1055                         isp = dsp;
1056                         issp->smk_flags |= SMK_INODE_CHANGED;
1057                 }
1058
1059                 *value = kstrdup(isp->smk_known, GFP_NOFS);
1060                 if (*value == NULL)
1061                         return -ENOMEM;
1062
1063                 *len = strlen(isp->smk_known);
1064         }
1065
1066         return 0;
1067 }
1068
1069 /**
1070  * smack_inode_link - Smack check on link
1071  * @old_dentry: the existing object
1072  * @dir: unused
1073  * @new_dentry: the new object
1074  *
1075  * Returns 0 if access is permitted, an error code otherwise
1076  */
1077 static int smack_inode_link(struct dentry *old_dentry, struct inode *dir,
1078                             struct dentry *new_dentry)
1079 {
1080         struct smack_known *isp;
1081         struct smk_audit_info ad;
1082         int rc;
1083
1084         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1085         smk_ad_setfield_u_fs_path_dentry(&ad, old_dentry);
1086
1087         isp = smk_of_inode(d_backing_inode(old_dentry));
1088         rc = smk_curacc(isp, MAY_WRITE, &ad);
1089         rc = smk_bu_inode(d_backing_inode(old_dentry), MAY_WRITE, rc);
1090
1091         if (rc == 0 && d_is_positive(new_dentry)) {
1092                 isp = smk_of_inode(d_backing_inode(new_dentry));
1093                 smk_ad_setfield_u_fs_path_dentry(&ad, new_dentry);
1094                 rc = smk_curacc(isp, MAY_WRITE, &ad);
1095                 rc = smk_bu_inode(d_backing_inode(new_dentry), MAY_WRITE, rc);
1096         }
1097
1098         return rc;
1099 }
1100
1101 /**
1102  * smack_inode_unlink - Smack check on inode deletion
1103  * @dir: containing directory object
1104  * @dentry: file to unlink
1105  *
1106  * Returns 0 if current can write the containing directory
1107  * and the object, error code otherwise
1108  */
1109 static int smack_inode_unlink(struct inode *dir, struct dentry *dentry)
1110 {
1111         struct inode *ip = d_backing_inode(dentry);
1112         struct smk_audit_info ad;
1113         int rc;
1114
1115         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1116         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
1117
1118         /*
1119          * You need write access to the thing you're unlinking
1120          */
1121         rc = smk_curacc(smk_of_inode(ip), MAY_WRITE, &ad);
1122         rc = smk_bu_inode(ip, MAY_WRITE, rc);
1123         if (rc == 0) {
1124                 /*
1125                  * You also need write access to the containing directory
1126                  */
1127                 smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_INODE);
1128                 smk_ad_setfield_u_fs_inode(&ad, dir);
1129                 rc = smk_curacc(smk_of_inode(dir), MAY_WRITE, &ad);
1130                 rc = smk_bu_inode(dir, MAY_WRITE, rc);
1131         }
1132         return rc;
1133 }
1134
1135 /**
1136  * smack_inode_rmdir - Smack check on directory deletion
1137  * @dir: containing directory object
1138  * @dentry: directory to unlink
1139  *
1140  * Returns 0 if current can write the containing directory
1141  * and the directory, error code otherwise
1142  */
1143 static int smack_inode_rmdir(struct inode *dir, struct dentry *dentry)
1144 {
1145         struct smk_audit_info ad;
1146         int rc;
1147
1148         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1149         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
1150
1151         /*
1152          * You need write access to the thing you're removing
1153          */
1154         rc = smk_curacc(smk_of_inode(d_backing_inode(dentry)), MAY_WRITE, &ad);
1155         rc = smk_bu_inode(d_backing_inode(dentry), MAY_WRITE, rc);
1156         if (rc == 0) {
1157                 /*
1158                  * You also need write access to the containing directory
1159                  */
1160                 smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_INODE);
1161                 smk_ad_setfield_u_fs_inode(&ad, dir);
1162                 rc = smk_curacc(smk_of_inode(dir), MAY_WRITE, &ad);
1163                 rc = smk_bu_inode(dir, MAY_WRITE, rc);
1164         }
1165
1166         return rc;
1167 }
1168
1169 /**
1170  * smack_inode_rename - Smack check on rename
1171  * @old_inode: unused
1172  * @old_dentry: the old object
1173  * @new_inode: unused
1174  * @new_dentry: the new object
1175  *
1176  * Read and write access is required on both the old and
1177  * new directories.
1178  *
1179  * Returns 0 if access is permitted, an error code otherwise
1180  */
1181 static int smack_inode_rename(struct inode *old_inode,
1182                               struct dentry *old_dentry,
1183                               struct inode *new_inode,
1184                               struct dentry *new_dentry)
1185 {
1186         int rc;
1187         struct smack_known *isp;
1188         struct smk_audit_info ad;
1189
1190         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1191         smk_ad_setfield_u_fs_path_dentry(&ad, old_dentry);
1192
1193         isp = smk_of_inode(d_backing_inode(old_dentry));
1194         rc = smk_curacc(isp, MAY_READWRITE, &ad);
1195         rc = smk_bu_inode(d_backing_inode(old_dentry), MAY_READWRITE, rc);
1196
1197         if (rc == 0 && d_is_positive(new_dentry)) {
1198                 isp = smk_of_inode(d_backing_inode(new_dentry));
1199                 smk_ad_setfield_u_fs_path_dentry(&ad, new_dentry);
1200                 rc = smk_curacc(isp, MAY_READWRITE, &ad);
1201                 rc = smk_bu_inode(d_backing_inode(new_dentry), MAY_READWRITE, rc);
1202         }
1203         return rc;
1204 }
1205
1206 /**
1207  * smack_inode_permission - Smack version of permission()
1208  * @inode: the inode in question
1209  * @mask: the access requested
1210  *
1211  * This is the important Smack hook.
1212  *
1213  * Returns 0 if access is permitted, -EACCES otherwise
1214  */
1215 static int smack_inode_permission(struct inode *inode, int mask)
1216 {
1217         struct superblock_smack *sbsp = inode->i_sb->s_security;
1218         struct smk_audit_info ad;
1219         int no_block = mask & MAY_NOT_BLOCK;
1220         int rc;
1221
1222         mask &= (MAY_READ|MAY_WRITE|MAY_EXEC|MAY_APPEND);
1223         /*
1224          * No permission to check. Existence test. Yup, it's there.
1225          */
1226         if (mask == 0)
1227                 return 0;
1228
1229         if (sbsp->smk_flags & SMK_SB_UNTRUSTED) {
1230                 if (smk_of_inode(inode) != sbsp->smk_root)
1231                         return -EACCES;
1232         }
1233
1234         /* May be droppable after audit */
1235         if (no_block)
1236                 return -ECHILD;
1237         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_INODE);
1238         smk_ad_setfield_u_fs_inode(&ad, inode);
1239         rc = smk_curacc(smk_of_inode(inode), mask, &ad);
1240         rc = smk_bu_inode(inode, mask, rc);
1241         return rc;
1242 }
1243
1244 /**
1245  * smack_inode_setattr - Smack check for setting attributes
1246  * @dentry: the object
1247  * @iattr: for the force flag
1248  *
1249  * Returns 0 if access is permitted, an error code otherwise
1250  */
1251 static int smack_inode_setattr(struct dentry *dentry, struct iattr *iattr)
1252 {
1253         struct smk_audit_info ad;
1254         int rc;
1255
1256         /*
1257          * Need to allow for clearing the setuid bit.
1258          */
1259         if (iattr->ia_valid & ATTR_FORCE)
1260                 return 0;
1261         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1262         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
1263
1264         rc = smk_curacc(smk_of_inode(d_backing_inode(dentry)), MAY_WRITE, &ad);
1265         rc = smk_bu_inode(d_backing_inode(dentry), MAY_WRITE, rc);
1266         return rc;
1267 }
1268
1269 /**
1270  * smack_inode_getattr - Smack check for getting attributes
1271  * @mnt: vfsmount of the object
1272  * @dentry: the object
1273  *
1274  * Returns 0 if access is permitted, an error code otherwise
1275  */
1276 static int smack_inode_getattr(const struct path *path)
1277 {
1278         struct smk_audit_info ad;
1279         struct inode *inode = d_backing_inode(path->dentry);
1280         int rc;
1281
1282         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1283         smk_ad_setfield_u_fs_path(&ad, *path);
1284         rc = smk_curacc(smk_of_inode(inode), MAY_READ, &ad);
1285         rc = smk_bu_inode(inode, MAY_READ, rc);
1286         return rc;
1287 }
1288
1289 /**
1290  * smack_inode_setxattr - Smack check for setting xattrs
1291  * @dentry: the object
1292  * @name: name of the attribute
1293  * @value: value of the attribute
1294  * @size: size of the value
1295  * @flags: unused
1296  *
1297  * This protects the Smack attribute explicitly.
1298  *
1299  * Returns 0 if access is permitted, an error code otherwise
1300  */
1301 static int smack_inode_setxattr(struct dentry *dentry, const char *name,
1302                                 const void *value, size_t size, int flags)
1303 {
1304         struct smk_audit_info ad;
1305         struct smack_known *skp;
1306         int check_priv = 0;
1307         int check_import = 0;
1308         int check_star = 0;
1309         int rc = 0;
1310
1311         /*
1312          * Check label validity here so import won't fail in post_setxattr
1313          */
1314         if (strcmp(name, XATTR_NAME_SMACK) == 0 ||
1315             strcmp(name, XATTR_NAME_SMACKIPIN) == 0 ||
1316             strcmp(name, XATTR_NAME_SMACKIPOUT) == 0) {
1317                 check_priv = 1;
1318                 check_import = 1;
1319         } else if (strcmp(name, XATTR_NAME_SMACKEXEC) == 0 ||
1320                    strcmp(name, XATTR_NAME_SMACKMMAP) == 0) {
1321                 check_priv = 1;
1322                 check_import = 1;
1323                 check_star = 1;
1324         } else if (strcmp(name, XATTR_NAME_SMACKTRANSMUTE) == 0) {
1325                 check_priv = 1;
1326                 if (size != TRANS_TRUE_SIZE ||
1327                     strncmp(value, TRANS_TRUE, TRANS_TRUE_SIZE) != 0)
1328                         rc = -EINVAL;
1329         } else
1330                 rc = cap_inode_setxattr(dentry, name, value, size, flags);
1331
1332         if (check_priv && !smack_privileged(CAP_MAC_ADMIN))
1333                 rc = -EPERM;
1334
1335         if (rc == 0 && check_import) {
1336                 skp = size ? smk_import_entry(value, size) : NULL;
1337                 if (IS_ERR(skp))
1338                         rc = PTR_ERR(skp);
1339                 else if (skp == NULL || (check_star &&
1340                     (skp == &smack_known_star || skp == &smack_known_web)))
1341                         rc = -EINVAL;
1342         }
1343
1344         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1345         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
1346
1347         if (rc == 0) {
1348                 rc = smk_curacc(smk_of_inode(d_backing_inode(dentry)), MAY_WRITE, &ad);
1349                 rc = smk_bu_inode(d_backing_inode(dentry), MAY_WRITE, rc);
1350         }
1351
1352         return rc;
1353 }
1354
1355 /**
1356  * smack_inode_post_setxattr - Apply the Smack update approved above
1357  * @dentry: object
1358  * @name: attribute name
1359  * @value: attribute value
1360  * @size: attribute size
1361  * @flags: unused
1362  *
1363  * Set the pointer in the inode blob to the entry found
1364  * in the master label list.
1365  */
1366 static void smack_inode_post_setxattr(struct dentry *dentry, const char *name,
1367                                       const void *value, size_t size, int flags)
1368 {
1369         struct smack_known *skp;
1370         struct inode_smack *isp = d_backing_inode(dentry)->i_security;
1371
1372         if (strcmp(name, XATTR_NAME_SMACKTRANSMUTE) == 0) {
1373                 isp->smk_flags |= SMK_INODE_TRANSMUTE;
1374                 return;
1375         }
1376
1377         if (strcmp(name, XATTR_NAME_SMACK) == 0) {
1378                 skp = smk_import_entry(value, size);
1379                 if (!IS_ERR(skp))
1380                         isp->smk_inode = skp;
1381         } else if (strcmp(name, XATTR_NAME_SMACKEXEC) == 0) {
1382                 skp = smk_import_entry(value, size);
1383                 if (!IS_ERR(skp))
1384                         isp->smk_task = skp;
1385         } else if (strcmp(name, XATTR_NAME_SMACKMMAP) == 0) {
1386                 skp = smk_import_entry(value, size);
1387                 if (!IS_ERR(skp))
1388                         isp->smk_mmap = skp;
1389         }
1390
1391         return;
1392 }
1393
1394 /**
1395  * smack_inode_getxattr - Smack check on getxattr
1396  * @dentry: the object
1397  * @name: unused
1398  *
1399  * Returns 0 if access is permitted, an error code otherwise
1400  */
1401 static int smack_inode_getxattr(struct dentry *dentry, const char *name)
1402 {
1403         struct smk_audit_info ad;
1404         int rc;
1405
1406         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1407         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
1408
1409         rc = smk_curacc(smk_of_inode(d_backing_inode(dentry)), MAY_READ, &ad);
1410         rc = smk_bu_inode(d_backing_inode(dentry), MAY_READ, rc);
1411         return rc;
1412 }
1413
1414 /**
1415  * smack_inode_removexattr - Smack check on removexattr
1416  * @dentry: the object
1417  * @name: name of the attribute
1418  *
1419  * Removing the Smack attribute requires CAP_MAC_ADMIN
1420  *
1421  * Returns 0 if access is permitted, an error code otherwise
1422  */
1423 static int smack_inode_removexattr(struct dentry *dentry, const char *name)
1424 {
1425         struct inode_smack *isp;
1426         struct smk_audit_info ad;
1427         int rc = 0;
1428
1429         if (strcmp(name, XATTR_NAME_SMACK) == 0 ||
1430             strcmp(name, XATTR_NAME_SMACKIPIN) == 0 ||
1431             strcmp(name, XATTR_NAME_SMACKIPOUT) == 0 ||
1432             strcmp(name, XATTR_NAME_SMACKEXEC) == 0 ||
1433             strcmp(name, XATTR_NAME_SMACKTRANSMUTE) == 0 ||
1434             strcmp(name, XATTR_NAME_SMACKMMAP) == 0) {
1435                 if (!smack_privileged(CAP_MAC_ADMIN))
1436                         rc = -EPERM;
1437         } else
1438                 rc = cap_inode_removexattr(dentry, name);
1439
1440         if (rc != 0)
1441                 return rc;
1442
1443         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_DENTRY);
1444         smk_ad_setfield_u_fs_path_dentry(&ad, dentry);
1445
1446         rc = smk_curacc(smk_of_inode(d_backing_inode(dentry)), MAY_WRITE, &ad);
1447         rc = smk_bu_inode(d_backing_inode(dentry), MAY_WRITE, rc);
1448         if (rc != 0)
1449                 return rc;
1450
1451         isp = d_backing_inode(dentry)->i_security;
1452         /*
1453          * Don't do anything special for these.
1454          *      XATTR_NAME_SMACKIPIN
1455          *      XATTR_NAME_SMACKIPOUT
1456          */
1457         if (strcmp(name, XATTR_NAME_SMACK) == 0) {
1458                 struct super_block *sbp = dentry->d_sb;
1459                 struct superblock_smack *sbsp = sbp->s_security;
1460
1461                 isp->smk_inode = sbsp->smk_default;
1462         } else if (strcmp(name, XATTR_NAME_SMACKEXEC) == 0)
1463                 isp->smk_task = NULL;
1464         else if (strcmp(name, XATTR_NAME_SMACKMMAP) == 0)
1465                 isp->smk_mmap = NULL;
1466         else if (strcmp(name, XATTR_NAME_SMACKTRANSMUTE) == 0)
1467                 isp->smk_flags &= ~SMK_INODE_TRANSMUTE;
1468
1469         return 0;
1470 }
1471
1472 /**
1473  * smack_inode_getsecurity - get smack xattrs
1474  * @inode: the object
1475  * @name: attribute name
1476  * @buffer: where to put the result
1477  * @alloc: duplicate memory
1478  *
1479  * Returns the size of the attribute or an error code
1480  */
1481 static int smack_inode_getsecurity(struct inode *inode,
1482                                    const char *name, void **buffer,
1483                                    bool alloc)
1484 {
1485         struct socket_smack *ssp;
1486         struct socket *sock;
1487         struct super_block *sbp;
1488         struct inode *ip = (struct inode *)inode;
1489         struct smack_known *isp;
1490
1491         if (strcmp(name, XATTR_SMACK_SUFFIX) == 0)
1492                 isp = smk_of_inode(inode);
1493         else {
1494                 /*
1495                  * The rest of the Smack xattrs are only on sockets.
1496                  */
1497                 sbp = ip->i_sb;
1498                 if (sbp->s_magic != SOCKFS_MAGIC)
1499                         return -EOPNOTSUPP;
1500
1501                 sock = SOCKET_I(ip);
1502                 if (sock == NULL || sock->sk == NULL)
1503                         return -EOPNOTSUPP;
1504
1505                 ssp = sock->sk->sk_security;
1506
1507                 if (strcmp(name, XATTR_SMACK_IPIN) == 0)
1508                         isp = ssp->smk_in;
1509                 else if (strcmp(name, XATTR_SMACK_IPOUT) == 0)
1510                         isp = ssp->smk_out;
1511                 else
1512                         return -EOPNOTSUPP;
1513         }
1514
1515         if (alloc) {
1516                 *buffer = kstrdup(isp->smk_known, GFP_KERNEL);
1517                 if (*buffer == NULL)
1518                         return -ENOMEM;
1519         }
1520
1521         return strlen(isp->smk_known);
1522 }
1523
1524
1525 /**
1526  * smack_inode_listsecurity - list the Smack attributes
1527  * @inode: the object
1528  * @buffer: where they go
1529  * @buffer_size: size of buffer
1530  */
1531 static int smack_inode_listsecurity(struct inode *inode, char *buffer,
1532                                     size_t buffer_size)
1533 {
1534         int len = sizeof(XATTR_NAME_SMACK);
1535
1536         if (buffer != NULL && len <= buffer_size)
1537                 memcpy(buffer, XATTR_NAME_SMACK, len);
1538
1539         return len;
1540 }
1541
1542 /**
1543  * smack_inode_getsecid - Extract inode's security id
1544  * @inode: inode to extract the info from
1545  * @secid: where result will be saved
1546  */
1547 static void smack_inode_getsecid(struct inode *inode, u32 *secid)
1548 {
1549         struct smack_known *skp = smk_of_inode(inode);
1550
1551         *secid = skp->smk_secid;
1552 }
1553
1554 /*
1555  * File Hooks
1556  */
1557
1558 /*
1559  * There is no smack_file_permission hook
1560  *
1561  * Should access checks be done on each read or write?
1562  * UNICOS and SELinux say yes.
1563  * Trusted Solaris, Trusted Irix, and just about everyone else says no.
1564  *
1565  * I'll say no for now. Smack does not do the frequent
1566  * label changing that SELinux does.
1567  */
1568
1569 /**
1570  * smack_file_alloc_security - assign a file security blob
1571  * @file: the object
1572  *
1573  * The security blob for a file is a pointer to the master
1574  * label list, so no allocation is done.
1575  *
1576  * f_security is the owner security information. It
1577  * isn't used on file access checks, it's for send_sigio.
1578  *
1579  * Returns 0
1580  */
1581 static int smack_file_alloc_security(struct file *file)
1582 {
1583         struct smack_known *skp = smk_of_current();
1584
1585         file->f_security = skp;
1586         return 0;
1587 }
1588
1589 /**
1590  * smack_file_free_security - clear a file security blob
1591  * @file: the object
1592  *
1593  * The security blob for a file is a pointer to the master
1594  * label list, so no memory is freed.
1595  */
1596 static void smack_file_free_security(struct file *file)
1597 {
1598         file->f_security = NULL;
1599 }
1600
1601 /**
1602  * smack_file_ioctl - Smack check on ioctls
1603  * @file: the object
1604  * @cmd: what to do
1605  * @arg: unused
1606  *
1607  * Relies heavily on the correct use of the ioctl command conventions.
1608  *
1609  * Returns 0 if allowed, error code otherwise
1610  */
1611 static int smack_file_ioctl(struct file *file, unsigned int cmd,
1612                             unsigned long arg)
1613 {
1614         int rc = 0;
1615         struct smk_audit_info ad;
1616         struct inode *inode = file_inode(file);
1617
1618         if (unlikely(IS_PRIVATE(inode)))
1619                 return 0;
1620
1621         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1622         smk_ad_setfield_u_fs_path(&ad, file->f_path);
1623
1624         if (_IOC_DIR(cmd) & _IOC_WRITE) {
1625                 rc = smk_curacc(smk_of_inode(inode), MAY_WRITE, &ad);
1626                 rc = smk_bu_file(file, MAY_WRITE, rc);
1627         }
1628
1629         if (rc == 0 && (_IOC_DIR(cmd) & _IOC_READ)) {
1630                 rc = smk_curacc(smk_of_inode(inode), MAY_READ, &ad);
1631                 rc = smk_bu_file(file, MAY_READ, rc);
1632         }
1633
1634         return rc;
1635 }
1636
1637 /**
1638  * smack_file_lock - Smack check on file locking
1639  * @file: the object
1640  * @cmd: unused
1641  *
1642  * Returns 0 if current has lock access, error code otherwise
1643  */
1644 static int smack_file_lock(struct file *file, unsigned int cmd)
1645 {
1646         struct smk_audit_info ad;
1647         int rc;
1648         struct inode *inode = file_inode(file);
1649
1650         if (unlikely(IS_PRIVATE(inode)))
1651                 return 0;
1652
1653         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1654         smk_ad_setfield_u_fs_path(&ad, file->f_path);
1655         rc = smk_curacc(smk_of_inode(inode), MAY_LOCK, &ad);
1656         rc = smk_bu_file(file, MAY_LOCK, rc);
1657         return rc;
1658 }
1659
1660 /**
1661  * smack_file_fcntl - Smack check on fcntl
1662  * @file: the object
1663  * @cmd: what action to check
1664  * @arg: unused
1665  *
1666  * Generally these operations are harmless.
1667  * File locking operations present an obvious mechanism
1668  * for passing information, so they require write access.
1669  *
1670  * Returns 0 if current has access, error code otherwise
1671  */
1672 static int smack_file_fcntl(struct file *file, unsigned int cmd,
1673                             unsigned long arg)
1674 {
1675         struct smk_audit_info ad;
1676         int rc = 0;
1677         struct inode *inode = file_inode(file);
1678
1679         if (unlikely(IS_PRIVATE(inode)))
1680                 return 0;
1681
1682         switch (cmd) {
1683         case F_GETLK:
1684                 break;
1685         case F_SETLK:
1686         case F_SETLKW:
1687                 smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1688                 smk_ad_setfield_u_fs_path(&ad, file->f_path);
1689                 rc = smk_curacc(smk_of_inode(inode), MAY_LOCK, &ad);
1690                 rc = smk_bu_file(file, MAY_LOCK, rc);
1691                 break;
1692         case F_SETOWN:
1693         case F_SETSIG:
1694                 smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1695                 smk_ad_setfield_u_fs_path(&ad, file->f_path);
1696                 rc = smk_curacc(smk_of_inode(inode), MAY_WRITE, &ad);
1697                 rc = smk_bu_file(file, MAY_WRITE, rc);
1698                 break;
1699         default:
1700                 break;
1701         }
1702
1703         return rc;
1704 }
1705
1706 /**
1707  * smack_mmap_file :
1708  * Check permissions for a mmap operation.  The @file may be NULL, e.g.
1709  * if mapping anonymous memory.
1710  * @file contains the file structure for file to map (may be NULL).
1711  * @reqprot contains the protection requested by the application.
1712  * @prot contains the protection that will be applied by the kernel.
1713  * @flags contains the operational flags.
1714  * Return 0 if permission is granted.
1715  */
1716 static int smack_mmap_file(struct file *file,
1717                            unsigned long reqprot, unsigned long prot,
1718                            unsigned long flags)
1719 {
1720         struct smack_known *skp;
1721         struct smack_known *mkp;
1722         struct smack_rule *srp;
1723         struct task_smack *tsp;
1724         struct smack_known *okp;
1725         struct inode_smack *isp;
1726         struct superblock_smack *sbsp;
1727         int may;
1728         int mmay;
1729         int tmay;
1730         int rc;
1731
1732         if (file == NULL)
1733                 return 0;
1734
1735         if (unlikely(IS_PRIVATE(file_inode(file))))
1736                 return 0;
1737
1738         isp = file_inode(file)->i_security;
1739         if (isp->smk_mmap == NULL)
1740                 return 0;
1741         sbsp = file_inode(file)->i_sb->s_security;
1742         if (sbsp->smk_flags & SMK_SB_UNTRUSTED &&
1743             isp->smk_mmap != sbsp->smk_root)
1744                 return -EACCES;
1745         mkp = isp->smk_mmap;
1746
1747         tsp = current_security();
1748         skp = smk_of_current();
1749         rc = 0;
1750
1751         rcu_read_lock();
1752         /*
1753          * For each Smack rule associated with the subject
1754          * label verify that the SMACK64MMAP also has access
1755          * to that rule's object label.
1756          */
1757         list_for_each_entry_rcu(srp, &skp->smk_rules, list) {
1758                 okp = srp->smk_object;
1759                 /*
1760                  * Matching labels always allows access.
1761                  */
1762                 if (mkp->smk_known == okp->smk_known)
1763                         continue;
1764                 /*
1765                  * If there is a matching local rule take
1766                  * that into account as well.
1767                  */
1768                 may = smk_access_entry(srp->smk_subject->smk_known,
1769                                        okp->smk_known,
1770                                        &tsp->smk_rules);
1771                 if (may == -ENOENT)
1772                         may = srp->smk_access;
1773                 else
1774                         may &= srp->smk_access;
1775                 /*
1776                  * If may is zero the SMACK64MMAP subject can't
1777                  * possibly have less access.
1778                  */
1779                 if (may == 0)
1780                         continue;
1781
1782                 /*
1783                  * Fetch the global list entry.
1784                  * If there isn't one a SMACK64MMAP subject
1785                  * can't have as much access as current.
1786                  */
1787                 mmay = smk_access_entry(mkp->smk_known, okp->smk_known,
1788                                         &mkp->smk_rules);
1789                 if (mmay == -ENOENT) {
1790                         rc = -EACCES;
1791                         break;
1792                 }
1793                 /*
1794                  * If there is a local entry it modifies the
1795                  * potential access, too.
1796                  */
1797                 tmay = smk_access_entry(mkp->smk_known, okp->smk_known,
1798                                         &tsp->smk_rules);
1799                 if (tmay != -ENOENT)
1800                         mmay &= tmay;
1801
1802                 /*
1803                  * If there is any access available to current that is
1804                  * not available to a SMACK64MMAP subject
1805                  * deny access.
1806                  */
1807                 if ((may | mmay) != mmay) {
1808                         rc = -EACCES;
1809                         break;
1810                 }
1811         }
1812
1813         rcu_read_unlock();
1814
1815         return rc;
1816 }
1817
1818 /**
1819  * smack_file_set_fowner - set the file security blob value
1820  * @file: object in question
1821  *
1822  */
1823 static void smack_file_set_fowner(struct file *file)
1824 {
1825         file->f_security = smk_of_current();
1826 }
1827
1828 /**
1829  * smack_file_send_sigiotask - Smack on sigio
1830  * @tsk: The target task
1831  * @fown: the object the signal come from
1832  * @signum: unused
1833  *
1834  * Allow a privileged task to get signals even if it shouldn't
1835  *
1836  * Returns 0 if a subject with the object's smack could
1837  * write to the task, an error code otherwise.
1838  */
1839 static int smack_file_send_sigiotask(struct task_struct *tsk,
1840                                      struct fown_struct *fown, int signum)
1841 {
1842         struct smack_known *skp;
1843         struct smack_known *tkp = smk_of_task(tsk->cred->security);
1844         struct file *file;
1845         int rc;
1846         struct smk_audit_info ad;
1847
1848         /*
1849          * struct fown_struct is never outside the context of a struct file
1850          */
1851         file = container_of(fown, struct file, f_owner);
1852
1853         /* we don't log here as rc can be overriden */
1854         skp = file->f_security;
1855         rc = smk_access(skp, tkp, MAY_DELIVER, NULL);
1856         rc = smk_bu_note("sigiotask", skp, tkp, MAY_DELIVER, rc);
1857         if (rc != 0 && has_capability(tsk, CAP_MAC_OVERRIDE))
1858                 rc = 0;
1859
1860         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_TASK);
1861         smk_ad_setfield_u_tsk(&ad, tsk);
1862         smack_log(skp->smk_known, tkp->smk_known, MAY_DELIVER, rc, &ad);
1863         return rc;
1864 }
1865
1866 /**
1867  * smack_file_receive - Smack file receive check
1868  * @file: the object
1869  *
1870  * Returns 0 if current has access, error code otherwise
1871  */
1872 static int smack_file_receive(struct file *file)
1873 {
1874         int rc;
1875         int may = 0;
1876         struct smk_audit_info ad;
1877         struct inode *inode = file_inode(file);
1878         struct socket *sock;
1879         struct task_smack *tsp;
1880         struct socket_smack *ssp;
1881
1882         if (unlikely(IS_PRIVATE(inode)))
1883                 return 0;
1884
1885         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1886         smk_ad_setfield_u_fs_path(&ad, file->f_path);
1887
1888         if (inode->i_sb->s_magic == SOCKFS_MAGIC) {
1889                 sock = SOCKET_I(inode);
1890                 ssp = sock->sk->sk_security;
1891                 tsp = current_security();
1892                 /*
1893                  * If the receiving process can't write to the
1894                  * passed socket or if the passed socket can't
1895                  * write to the receiving process don't accept
1896                  * the passed socket.
1897                  */
1898                 rc = smk_access(tsp->smk_task, ssp->smk_out, MAY_WRITE, &ad);
1899                 rc = smk_bu_file(file, may, rc);
1900                 if (rc < 0)
1901                         return rc;
1902                 rc = smk_access(ssp->smk_in, tsp->smk_task, MAY_WRITE, &ad);
1903                 rc = smk_bu_file(file, may, rc);
1904                 return rc;
1905         }
1906         /*
1907          * This code relies on bitmasks.
1908          */
1909         if (file->f_mode & FMODE_READ)
1910                 may = MAY_READ;
1911         if (file->f_mode & FMODE_WRITE)
1912                 may |= MAY_WRITE;
1913
1914         rc = smk_curacc(smk_of_inode(inode), may, &ad);
1915         rc = smk_bu_file(file, may, rc);
1916         return rc;
1917 }
1918
1919 /**
1920  * smack_file_open - Smack dentry open processing
1921  * @file: the object
1922  * @cred: task credential
1923  *
1924  * Set the security blob in the file structure.
1925  * Allow the open only if the task has read access. There are
1926  * many read operations (e.g. fstat) that you can do with an
1927  * fd even if you have the file open write-only.
1928  *
1929  * Returns 0
1930  */
1931 static int smack_file_open(struct file *file, const struct cred *cred)
1932 {
1933         struct task_smack *tsp = cred->security;
1934         struct inode *inode = file_inode(file);
1935         struct smk_audit_info ad;
1936         int rc;
1937
1938         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_PATH);
1939         smk_ad_setfield_u_fs_path(&ad, file->f_path);
1940         rc = smk_tskacc(tsp, smk_of_inode(inode), MAY_READ, &ad);
1941         rc = smk_bu_credfile(cred, file, MAY_READ, rc);
1942
1943         return rc;
1944 }
1945
1946 /*
1947  * Task hooks
1948  */
1949
1950 /**
1951  * smack_cred_alloc_blank - "allocate" blank task-level security credentials
1952  * @new: the new credentials
1953  * @gfp: the atomicity of any memory allocations
1954  *
1955  * Prepare a blank set of credentials for modification.  This must allocate all
1956  * the memory the LSM module might require such that cred_transfer() can
1957  * complete without error.
1958  */
1959 static int smack_cred_alloc_blank(struct cred *cred, gfp_t gfp)
1960 {
1961         struct task_smack *tsp;
1962
1963         tsp = new_task_smack(NULL, NULL, gfp);
1964         if (tsp == NULL)
1965                 return -ENOMEM;
1966
1967         cred->security = tsp;
1968
1969         return 0;
1970 }
1971
1972
1973 /**
1974  * smack_cred_free - "free" task-level security credentials
1975  * @cred: the credentials in question
1976  *
1977  */
1978 static void smack_cred_free(struct cred *cred)
1979 {
1980         struct task_smack *tsp = cred->security;
1981         struct smack_rule *rp;
1982         struct list_head *l;
1983         struct list_head *n;
1984
1985         if (tsp == NULL)
1986                 return;
1987         cred->security = NULL;
1988
1989         smk_destroy_label_list(&tsp->smk_relabel);
1990
1991         list_for_each_safe(l, n, &tsp->smk_rules) {
1992                 rp = list_entry(l, struct smack_rule, list);
1993                 list_del(&rp->list);
1994                 kfree(rp);
1995         }
1996         kfree(tsp);
1997 }
1998
1999 /**
2000  * smack_cred_prepare - prepare new set of credentials for modification
2001  * @new: the new credentials
2002  * @old: the original credentials
2003  * @gfp: the atomicity of any memory allocations
2004  *
2005  * Prepare a new set of credentials for modification.
2006  */
2007 static int smack_cred_prepare(struct cred *new, const struct cred *old,
2008                               gfp_t gfp)
2009 {
2010         struct task_smack *old_tsp = old->security;
2011         struct task_smack *new_tsp;
2012         int rc;
2013
2014         new_tsp = new_task_smack(old_tsp->smk_task, old_tsp->smk_task, gfp);
2015         if (new_tsp == NULL)
2016                 return -ENOMEM;
2017
2018         new->security = new_tsp;
2019
2020         rc = smk_copy_rules(&new_tsp->smk_rules, &old_tsp->smk_rules, gfp);
2021         if (rc != 0)
2022                 return rc;
2023
2024         rc = smk_copy_relabel(&new_tsp->smk_relabel, &old_tsp->smk_relabel,
2025                                 gfp);
2026         if (rc != 0)
2027                 return rc;
2028
2029         return 0;
2030 }
2031
2032 /**
2033  * smack_cred_transfer - Transfer the old credentials to the new credentials
2034  * @new: the new credentials
2035  * @old: the original credentials
2036  *
2037  * Fill in a set of blank credentials from another set of credentials.
2038  */
2039 static void smack_cred_transfer(struct cred *new, const struct cred *old)
2040 {
2041         struct task_smack *old_tsp = old->security;
2042         struct task_smack *new_tsp = new->security;
2043
2044         new_tsp->smk_task = old_tsp->smk_task;
2045         new_tsp->smk_forked = old_tsp->smk_task;
2046         mutex_init(&new_tsp->smk_rules_lock);
2047         INIT_LIST_HEAD(&new_tsp->smk_rules);
2048
2049
2050         /* cbs copy rule list */
2051 }
2052
2053 /**
2054  * smack_cred_getsecid - get the secid corresponding to a creds structure
2055  * @c: the object creds
2056  * @secid: where to put the result
2057  *
2058  * Sets the secid to contain a u32 version of the smack label.
2059  */
2060 static void smack_cred_getsecid(const struct cred *c, u32 *secid)
2061 {
2062         struct smack_known *skp;
2063
2064         rcu_read_lock();
2065         skp = smk_of_task(c->security);
2066         *secid = skp->smk_secid;
2067         rcu_read_unlock();
2068 }
2069
2070 /**
2071  * smack_kernel_act_as - Set the subjective context in a set of credentials
2072  * @new: points to the set of credentials to be modified.
2073  * @secid: specifies the security ID to be set
2074  *
2075  * Set the security data for a kernel service.
2076  */
2077 static int smack_kernel_act_as(struct cred *new, u32 secid)
2078 {
2079         struct task_smack *new_tsp = new->security;
2080
2081         new_tsp->smk_task = smack_from_secid(secid);
2082         return 0;
2083 }
2084
2085 /**
2086  * smack_kernel_create_files_as - Set the file creation label in a set of creds
2087  * @new: points to the set of credentials to be modified
2088  * @inode: points to the inode to use as a reference
2089  *
2090  * Set the file creation context in a set of credentials to the same
2091  * as the objective context of the specified inode
2092  */
2093 static int smack_kernel_create_files_as(struct cred *new,
2094                                         struct inode *inode)
2095 {
2096         struct inode_smack *isp = inode->i_security;
2097         struct task_smack *tsp = new->security;
2098
2099         tsp->smk_forked = isp->smk_inode;
2100         tsp->smk_task = tsp->smk_forked;
2101         return 0;
2102 }
2103
2104 /**
2105  * smk_curacc_on_task - helper to log task related access
2106  * @p: the task object
2107  * @access: the access requested
2108  * @caller: name of the calling function for audit
2109  *
2110  * Return 0 if access is permitted
2111  */
2112 static int smk_curacc_on_task(struct task_struct *p, int access,
2113                                 const char *caller)
2114 {
2115         struct smk_audit_info ad;
2116         struct smack_known *skp = smk_of_task_struct(p);
2117         int rc;
2118
2119         smk_ad_init(&ad, caller, LSM_AUDIT_DATA_TASK);
2120         smk_ad_setfield_u_tsk(&ad, p);
2121         rc = smk_curacc(skp, access, &ad);
2122         rc = smk_bu_task(p, access, rc);
2123         return rc;
2124 }
2125
2126 /**
2127  * smack_task_setpgid - Smack check on setting pgid
2128  * @p: the task object
2129  * @pgid: unused
2130  *
2131  * Return 0 if write access is permitted
2132  */
2133 static int smack_task_setpgid(struct task_struct *p, pid_t pgid)
2134 {
2135         return smk_curacc_on_task(p, MAY_WRITE, __func__);
2136 }
2137
2138 /**
2139  * smack_task_getpgid - Smack access check for getpgid
2140  * @p: the object task
2141  *
2142  * Returns 0 if current can read the object task, error code otherwise
2143  */
2144 static int smack_task_getpgid(struct task_struct *p)
2145 {
2146         return smk_curacc_on_task(p, MAY_READ, __func__);
2147 }
2148
2149 /**
2150  * smack_task_getsid - Smack access check for getsid
2151  * @p: the object task
2152  *
2153  * Returns 0 if current can read the object task, error code otherwise
2154  */
2155 static int smack_task_getsid(struct task_struct *p)
2156 {
2157         return smk_curacc_on_task(p, MAY_READ, __func__);
2158 }
2159
2160 /**
2161  * smack_task_getsecid - get the secid of the task
2162  * @p: the object task
2163  * @secid: where to put the result
2164  *
2165  * Sets the secid to contain a u32 version of the smack label.
2166  */
2167 static void smack_task_getsecid(struct task_struct *p, u32 *secid)
2168 {
2169         struct smack_known *skp = smk_of_task_struct(p);
2170
2171         *secid = skp->smk_secid;
2172 }
2173
2174 /**
2175  * smack_task_setnice - Smack check on setting nice
2176  * @p: the task object
2177  * @nice: unused
2178  *
2179  * Return 0 if write access is permitted
2180  */
2181 static int smack_task_setnice(struct task_struct *p, int nice)
2182 {
2183         return smk_curacc_on_task(p, MAY_WRITE, __func__);
2184 }
2185
2186 /**
2187  * smack_task_setioprio - Smack check on setting ioprio
2188  * @p: the task object
2189  * @ioprio: unused
2190  *
2191  * Return 0 if write access is permitted
2192  */
2193 static int smack_task_setioprio(struct task_struct *p, int ioprio)
2194 {
2195         return smk_curacc_on_task(p, MAY_WRITE, __func__);
2196 }
2197
2198 /**
2199  * smack_task_getioprio - Smack check on reading ioprio
2200  * @p: the task object
2201  *
2202  * Return 0 if read access is permitted
2203  */
2204 static int smack_task_getioprio(struct task_struct *p)
2205 {
2206         return smk_curacc_on_task(p, MAY_READ, __func__);
2207 }
2208
2209 /**
2210  * smack_task_setscheduler - Smack check on setting scheduler
2211  * @p: the task object
2212  * @policy: unused
2213  * @lp: unused
2214  *
2215  * Return 0 if read access is permitted
2216  */
2217 static int smack_task_setscheduler(struct task_struct *p)
2218 {
2219         return smk_curacc_on_task(p, MAY_WRITE, __func__);
2220 }
2221
2222 /**
2223  * smack_task_getscheduler - Smack check on reading scheduler
2224  * @p: the task object
2225  *
2226  * Return 0 if read access is permitted
2227  */
2228 static int smack_task_getscheduler(struct task_struct *p)
2229 {
2230         return smk_curacc_on_task(p, MAY_READ, __func__);
2231 }
2232
2233 /**
2234  * smack_task_movememory - Smack check on moving memory
2235  * @p: the task object
2236  *
2237  * Return 0 if write access is permitted
2238  */
2239 static int smack_task_movememory(struct task_struct *p)
2240 {
2241         return smk_curacc_on_task(p, MAY_WRITE, __func__);
2242 }
2243
2244 /**
2245  * smack_task_kill - Smack check on signal delivery
2246  * @p: the task object
2247  * @info: unused
2248  * @sig: unused
2249  * @cred: identifies the cred to use in lieu of current's
2250  *
2251  * Return 0 if write access is permitted
2252  *
2253  */
2254 static int smack_task_kill(struct task_struct *p, struct siginfo *info,
2255                            int sig, const struct cred *cred)
2256 {
2257         struct smk_audit_info ad;
2258         struct smack_known *skp;
2259         struct smack_known *tkp = smk_of_task_struct(p);
2260         int rc;
2261
2262         if (!sig)
2263                 return 0; /* null signal; existence test */
2264
2265         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_TASK);
2266         smk_ad_setfield_u_tsk(&ad, p);
2267         /*
2268          * Sending a signal requires that the sender
2269          * can write the receiver.
2270          */
2271         if (cred == NULL) {
2272                 rc = smk_curacc(tkp, MAY_DELIVER, &ad);
2273                 rc = smk_bu_task(p, MAY_DELIVER, rc);
2274                 return rc;
2275         }
2276         /*
2277          * If the cred isn't NULL we're dealing with some USB IO
2278          * specific behavior. This is not clean. For one thing
2279          * we can't take privilege into account.
2280          */
2281         skp = smk_of_task(cred->security);
2282         rc = smk_access(skp, tkp, MAY_DELIVER, &ad);
2283         rc = smk_bu_note("USB signal", skp, tkp, MAY_DELIVER, rc);
2284         return rc;
2285 }
2286
2287 /**
2288  * smack_task_to_inode - copy task smack into the inode blob
2289  * @p: task to copy from
2290  * @inode: inode to copy to
2291  *
2292  * Sets the smack pointer in the inode security blob
2293  */
2294 static void smack_task_to_inode(struct task_struct *p, struct inode *inode)
2295 {
2296         struct inode_smack *isp = inode->i_security;
2297         struct smack_known *skp = smk_of_task_struct(p);
2298
2299         isp->smk_inode = skp;
2300 }
2301
2302 /*
2303  * Socket hooks.
2304  */
2305
2306 /**
2307  * smack_sk_alloc_security - Allocate a socket blob
2308  * @sk: the socket
2309  * @family: unused
2310  * @gfp_flags: memory allocation flags
2311  *
2312  * Assign Smack pointers to current
2313  *
2314  * Returns 0 on success, -ENOMEM is there's no memory
2315  */
2316 static int smack_sk_alloc_security(struct sock *sk, int family, gfp_t gfp_flags)
2317 {
2318         struct smack_known *skp = smk_of_current();
2319         struct socket_smack *ssp;
2320
2321         ssp = kzalloc(sizeof(struct socket_smack), gfp_flags);
2322         if (ssp == NULL)
2323                 return -ENOMEM;
2324
2325         /*
2326          * Sockets created by kernel threads receive web label.
2327          */
2328         if (unlikely(current->flags & PF_KTHREAD)) {
2329                 ssp->smk_in = &smack_known_web;
2330                 ssp->smk_out = &smack_known_web;
2331         } else {
2332                 ssp->smk_in = skp;
2333                 ssp->smk_out = skp;
2334         }
2335         ssp->smk_packet = NULL;
2336
2337         sk->sk_security = ssp;
2338
2339         return 0;
2340 }
2341
2342 /**
2343  * smack_sk_free_security - Free a socket blob
2344  * @sk: the socket
2345  *
2346  * Clears the blob pointer
2347  */
2348 static void smack_sk_free_security(struct sock *sk)
2349 {
2350 #ifdef SMACK_IPV6_PORT_LABELING
2351         struct smk_port_label *spp;
2352
2353         if (sk->sk_family == PF_INET6) {
2354                 rcu_read_lock();
2355                 list_for_each_entry_rcu(spp, &smk_ipv6_port_list, list) {
2356                         if (spp->smk_sock != sk)
2357                                 continue;
2358                         spp->smk_can_reuse = 1;
2359                         break;
2360                 }
2361                 rcu_read_unlock();
2362         }
2363 #endif
2364         kfree(sk->sk_security);
2365 }
2366
2367 /**
2368 * smack_ipv4host_label - check host based restrictions
2369 * @sip: the object end
2370 *
2371 * looks for host based access restrictions
2372 *
2373 * This version will only be appropriate for really small sets of single label
2374 * hosts.  The caller is responsible for ensuring that the RCU read lock is
2375 * taken before calling this function.
2376 *
2377 * Returns the label of the far end or NULL if it's not special.
2378 */
2379 static struct smack_known *smack_ipv4host_label(struct sockaddr_in *sip)
2380 {
2381         struct smk_net4addr *snp;
2382         struct in_addr *siap = &sip->sin_addr;
2383
2384         if (siap->s_addr == 0)
2385                 return NULL;
2386
2387         list_for_each_entry_rcu(snp, &smk_net4addr_list, list)
2388                 /*
2389                  * we break after finding the first match because
2390                  * the list is sorted from longest to shortest mask
2391                  * so we have found the most specific match
2392                  */
2393                 if (snp->smk_host.s_addr ==
2394                     (siap->s_addr & snp->smk_mask.s_addr))
2395                         return snp->smk_label;
2396
2397         return NULL;
2398 }
2399
2400 #if IS_ENABLED(CONFIG_IPV6)
2401 /*
2402  * smk_ipv6_localhost - Check for local ipv6 host address
2403  * @sip: the address
2404  *
2405  * Returns boolean true if this is the localhost address
2406  */
2407 static bool smk_ipv6_localhost(struct sockaddr_in6 *sip)
2408 {
2409         __be16 *be16p = (__be16 *)&sip->sin6_addr;
2410         __be32 *be32p = (__be32 *)&sip->sin6_addr;
2411
2412         if (be32p[0] == 0 && be32p[1] == 0 && be32p[2] == 0 && be16p[6] == 0 &&
2413             ntohs(be16p[7]) == 1)
2414                 return true;
2415         return false;
2416 }
2417
2418 /**
2419 * smack_ipv6host_label - check host based restrictions
2420 * @sip: the object end
2421 *
2422 * looks for host based access restrictions
2423 *
2424 * This version will only be appropriate for really small sets of single label
2425 * hosts.  The caller is responsible for ensuring that the RCU read lock is
2426 * taken before calling this function.
2427 *
2428 * Returns the label of the far end or NULL if it's not special.
2429 */
2430 static struct smack_known *smack_ipv6host_label(struct sockaddr_in6 *sip)
2431 {
2432         struct smk_net6addr *snp;
2433         struct in6_addr *sap = &sip->sin6_addr;
2434         int i;
2435         int found = 0;
2436
2437         /*
2438          * It's local. Don't look for a host label.
2439          */
2440         if (smk_ipv6_localhost(sip))
2441                 return NULL;
2442
2443         list_for_each_entry_rcu(snp, &smk_net6addr_list, list) {
2444                 /*
2445                  * If the label is NULL the entry has
2446                  * been renounced. Ignore it.
2447                  */
2448                 if (snp->smk_label == NULL)
2449                         continue;
2450                 /*
2451                 * we break after finding the first match because
2452                 * the list is sorted from longest to shortest mask
2453                 * so we have found the most specific match
2454                 */
2455                 for (found = 1, i = 0; i < 8; i++) {
2456                         if ((sap->s6_addr16[i] & snp->smk_mask.s6_addr16[i]) !=
2457                             snp->smk_host.s6_addr16[i]) {
2458                                 found = 0;
2459                                 break;
2460                         }
2461                 }
2462                 if (found)
2463                         return snp->smk_label;
2464         }
2465
2466         return NULL;
2467 }
2468 #endif /* CONFIG_IPV6 */
2469
2470 /**
2471  * smack_netlabel - Set the secattr on a socket
2472  * @sk: the socket
2473  * @labeled: socket label scheme
2474  *
2475  * Convert the outbound smack value (smk_out) to a
2476  * secattr and attach it to the socket.
2477  *
2478  * Returns 0 on success or an error code
2479  */
2480 static int smack_netlabel(struct sock *sk, int labeled)
2481 {
2482         struct smack_known *skp;
2483         struct socket_smack *ssp = sk->sk_security;
2484         int rc = 0;
2485
2486         /*
2487          * Usually the netlabel code will handle changing the
2488          * packet labeling based on the label.
2489          * The case of a single label host is different, because
2490          * a single label host should never get a labeled packet
2491          * even though the label is usually associated with a packet
2492          * label.
2493          */
2494         local_bh_disable();
2495         bh_lock_sock_nested(sk);
2496
2497         if (ssp->smk_out == smack_net_ambient ||
2498             labeled == SMACK_UNLABELED_SOCKET)
2499                 netlbl_sock_delattr(sk);
2500         else {
2501                 skp = ssp->smk_out;
2502                 rc = netlbl_sock_setattr(sk, sk->sk_family, &skp->smk_netlabel);
2503         }
2504
2505         bh_unlock_sock(sk);
2506         local_bh_enable();
2507
2508         return rc;
2509 }
2510
2511 /**
2512  * smack_netlbel_send - Set the secattr on a socket and perform access checks
2513  * @sk: the socket
2514  * @sap: the destination address
2515  *
2516  * Set the correct secattr for the given socket based on the destination
2517  * address and perform any outbound access checks needed.
2518  *
2519  * Returns 0 on success or an error code.
2520  *
2521  */
2522 static int smack_netlabel_send(struct sock *sk, struct sockaddr_in *sap)
2523 {
2524         struct smack_known *skp;
2525         int rc;
2526         int sk_lbl;
2527         struct smack_known *hkp;
2528         struct socket_smack *ssp = sk->sk_security;
2529         struct smk_audit_info ad;
2530
2531         rcu_read_lock();
2532         hkp = smack_ipv4host_label(sap);
2533         if (hkp != NULL) {
2534 #ifdef CONFIG_AUDIT
2535                 struct lsm_network_audit net;
2536
2537                 smk_ad_init_net(&ad, __func__, LSM_AUDIT_DATA_NET, &net);
2538                 ad.a.u.net->family = sap->sin_family;
2539                 ad.a.u.net->dport = sap->sin_port;
2540                 ad.a.u.net->v4info.daddr = sap->sin_addr.s_addr;
2541 #endif
2542                 sk_lbl = SMACK_UNLABELED_SOCKET;
2543                 skp = ssp->smk_out;
2544                 rc = smk_access(skp, hkp, MAY_WRITE, &ad);
2545                 rc = smk_bu_note("IPv4 host check", skp, hkp, MAY_WRITE, rc);
2546         } else {
2547                 sk_lbl = SMACK_CIPSO_SOCKET;
2548                 rc = 0;
2549         }
2550         rcu_read_unlock();
2551         if (rc != 0)
2552                 return rc;
2553
2554         return smack_netlabel(sk, sk_lbl);
2555 }
2556
2557 #if IS_ENABLED(CONFIG_IPV6)
2558 /**
2559  * smk_ipv6_check - check Smack access
2560  * @subject: subject Smack label
2561  * @object: object Smack label
2562  * @address: address
2563  * @act: the action being taken
2564  *
2565  * Check an IPv6 access
2566  */
2567 static int smk_ipv6_check(struct smack_known *subject,
2568                                 struct smack_known *object,
2569                                 struct sockaddr_in6 *address, int act)
2570 {
2571 #ifdef CONFIG_AUDIT
2572         struct lsm_network_audit net;
2573 #endif
2574         struct smk_audit_info ad;
2575         int rc;
2576
2577 #ifdef CONFIG_AUDIT
2578         smk_ad_init_net(&ad, __func__, LSM_AUDIT_DATA_NET, &net);
2579         ad.a.u.net->family = PF_INET6;
2580         ad.a.u.net->dport = ntohs(address->sin6_port);
2581         if (act == SMK_RECEIVING)
2582                 ad.a.u.net->v6info.saddr = address->sin6_addr;
2583         else
2584                 ad.a.u.net->v6info.daddr = address->sin6_addr;
2585 #endif
2586         rc = smk_access(subject, object, MAY_WRITE, &ad);
2587         rc = smk_bu_note("IPv6 check", subject, object, MAY_WRITE, rc);
2588         return rc;
2589 }
2590 #endif /* CONFIG_IPV6 */
2591
2592 #ifdef SMACK_IPV6_PORT_LABELING
2593 /**
2594  * smk_ipv6_port_label - Smack port access table management
2595  * @sock: socket
2596  * @address: address
2597  *
2598  * Create or update the port list entry
2599  */
2600 static void smk_ipv6_port_label(struct socket *sock, struct sockaddr *address)
2601 {
2602         struct sock *sk = sock->sk;
2603         struct sockaddr_in6 *addr6;
2604         struct socket_smack *ssp = sock->sk->sk_security;
2605         struct smk_port_label *spp;
2606         unsigned short port = 0;
2607
2608         if (address == NULL) {
2609                 /*
2610                  * This operation is changing the Smack information
2611                  * on the bound socket. Take the changes to the port
2612                  * as well.
2613                  */
2614                 rcu_read_lock();
2615                 list_for_each_entry_rcu(spp, &smk_ipv6_port_list, list) {
2616                         if (sk != spp->smk_sock)
2617                                 continue;
2618                         spp->smk_in = ssp->smk_in;
2619                         spp->smk_out = ssp->smk_out;
2620                         rcu_read_unlock();
2621                         return;
2622                 }
2623                 /*
2624                  * A NULL address is only used for updating existing
2625                  * bound entries. If there isn't one, it's OK.
2626                  */
2627                 rcu_read_unlock();
2628                 return;
2629         }
2630
2631         addr6 = (struct sockaddr_in6 *)address;
2632         port = ntohs(addr6->sin6_port);
2633         /*
2634          * This is a special case that is safely ignored.
2635          */
2636         if (port == 0)
2637                 return;
2638
2639         /*
2640          * Look for an existing port list entry.
2641          * This is an indication that a port is getting reused.
2642          */
2643         rcu_read_lock();
2644         list_for_each_entry_rcu(spp, &smk_ipv6_port_list, list) {
2645                 if (spp->smk_port != port || spp->smk_sock_type != sock->type)
2646                         continue;
2647                 if (spp->smk_can_reuse != 1) {
2648                         rcu_read_unlock();
2649                         return;
2650                 }
2651                 spp->smk_port = port;
2652                 spp->smk_sock = sk;
2653                 spp->smk_in = ssp->smk_in;
2654                 spp->smk_out = ssp->smk_out;
2655                 spp->smk_can_reuse = 0;
2656                 rcu_read_unlock();
2657                 return;
2658         }
2659         rcu_read_unlock();
2660         /*
2661          * A new port entry is required.
2662          */
2663         spp = kzalloc(sizeof(*spp), GFP_KERNEL);
2664         if (spp == NULL)
2665                 return;
2666
2667         spp->smk_port = port;
2668         spp->smk_sock = sk;
2669         spp->smk_in = ssp->smk_in;
2670         spp->smk_out = ssp->smk_out;
2671         spp->smk_sock_type = sock->type;
2672         spp->smk_can_reuse = 0;
2673
2674         mutex_lock(&smack_ipv6_lock);
2675         list_add_rcu(&spp->list, &smk_ipv6_port_list);
2676         mutex_unlock(&smack_ipv6_lock);
2677         return;
2678 }
2679
2680 /**
2681  * smk_ipv6_port_check - check Smack port access
2682  * @sock: socket
2683  * @address: address
2684  *
2685  * Create or update the port list entry
2686  */
2687 static int smk_ipv6_port_check(struct sock *sk, struct sockaddr_in6 *address,
2688                                 int act)
2689 {
2690         struct smk_port_label *spp;
2691         struct socket_smack *ssp = sk->sk_security;
2692         struct smack_known *skp = NULL;
2693         unsigned short port;
2694         struct smack_known *object;
2695
2696         if (act == SMK_RECEIVING) {
2697                 skp = smack_ipv6host_label(address);
2698                 object = ssp->smk_in;
2699         } else {
2700                 skp = ssp->smk_out;
2701                 object = smack_ipv6host_label(address);
2702         }
2703
2704         /*
2705          * The other end is a single label host.
2706          */
2707         if (skp != NULL && object != NULL)
2708                 return smk_ipv6_check(skp, object, address, act);
2709         if (skp == NULL)
2710                 skp = smack_net_ambient;
2711         if (object == NULL)
2712                 object = smack_net_ambient;
2713
2714         /*
2715          * It's remote, so port lookup does no good.
2716          */
2717         if (!smk_ipv6_localhost(address))
2718                 return smk_ipv6_check(skp, object, address, act);
2719
2720         /*
2721          * It's local so the send check has to have passed.
2722          */
2723         if (act == SMK_RECEIVING)
2724                 return 0;
2725
2726         port = ntohs(address->sin6_port);
2727         rcu_read_lock();
2728         list_for_each_entry_rcu(spp, &smk_ipv6_port_list, list) {
2729                 if (spp->smk_port != port || spp->smk_sock_type != sk->sk_type)
2730                         continue;
2731                 object = spp->smk_in;
2732                 if (act == SMK_CONNECTING)
2733                         ssp->smk_packet = spp->smk_out;
2734                 break;
2735         }
2736         rcu_read_unlock();
2737
2738         return smk_ipv6_check(skp, object, address, act);
2739 }
2740 #endif /* SMACK_IPV6_PORT_LABELING */
2741
2742 /**
2743  * smack_inode_setsecurity - set smack xattrs
2744  * @inode: the object
2745  * @name: attribute name
2746  * @value: attribute value
2747  * @size: size of the attribute
2748  * @flags: unused
2749  *
2750  * Sets the named attribute in the appropriate blob
2751  *
2752  * Returns 0 on success, or an error code
2753  */
2754 static int smack_inode_setsecurity(struct inode *inode, const char *name,
2755                                    const void *value, size_t size, int flags)
2756 {
2757         struct smack_known *skp;
2758         struct inode_smack *nsp = inode->i_security;
2759         struct socket_smack *ssp;
2760         struct socket *sock;
2761         int rc = 0;
2762
2763         if (value == NULL || size > SMK_LONGLABEL || size == 0)
2764                 return -EINVAL;
2765
2766         skp = smk_import_entry(value, size);
2767         if (IS_ERR(skp))
2768                 return PTR_ERR(skp);
2769
2770         if (strcmp(name, XATTR_SMACK_SUFFIX) == 0) {
2771                 nsp->smk_inode = skp;
2772                 nsp->smk_flags |= SMK_INODE_INSTANT;
2773                 return 0;
2774         }
2775         /*
2776          * The rest of the Smack xattrs are only on sockets.
2777          */
2778         if (inode->i_sb->s_magic != SOCKFS_MAGIC)
2779                 return -EOPNOTSUPP;
2780
2781         sock = SOCKET_I(inode);
2782         if (sock == NULL || sock->sk == NULL)
2783                 return -EOPNOTSUPP;
2784
2785         ssp = sock->sk->sk_security;
2786
2787         if (strcmp(name, XATTR_SMACK_IPIN) == 0)
2788                 ssp->smk_in = skp;
2789         else if (strcmp(name, XATTR_SMACK_IPOUT) == 0) {
2790                 ssp->smk_out = skp;
2791                 if (sock->sk->sk_family == PF_INET) {
2792                         rc = smack_netlabel(sock->sk, SMACK_CIPSO_SOCKET);
2793                         if (rc != 0)
2794                                 printk(KERN_WARNING
2795                                         "Smack: \"%s\" netlbl error %d.\n",
2796                                         __func__, -rc);
2797                 }
2798         } else
2799                 return -EOPNOTSUPP;
2800
2801 #ifdef SMACK_IPV6_PORT_LABELING
2802         if (sock->sk->sk_family == PF_INET6)
2803                 smk_ipv6_port_label(sock, NULL);
2804 #endif
2805
2806         return 0;
2807 }
2808
2809 /**
2810  * smack_socket_post_create - finish socket setup
2811  * @sock: the socket
2812  * @family: protocol family
2813  * @type: unused
2814  * @protocol: unused
2815  * @kern: unused
2816  *
2817  * Sets the netlabel information on the socket
2818  *
2819  * Returns 0 on success, and error code otherwise
2820  */
2821 static int smack_socket_post_create(struct socket *sock, int family,
2822                                     int type, int protocol, int kern)
2823 {
2824         struct socket_smack *ssp;
2825
2826         if (sock->sk == NULL)
2827                 return 0;
2828
2829         /*
2830          * Sockets created by kernel threads receive web label.
2831          */
2832         if (unlikely(current->flags & PF_KTHREAD)) {
2833                 ssp = sock->sk->sk_security;
2834                 ssp->smk_in = &smack_known_web;
2835                 ssp->smk_out = &smack_known_web;
2836         }
2837
2838         if (family != PF_INET)
2839                 return 0;
2840         /*
2841          * Set the outbound netlbl.
2842          */
2843         return smack_netlabel(sock->sk, SMACK_CIPSO_SOCKET);
2844 }
2845
2846 /**
2847  * smack_socket_socketpair - create socket pair
2848  * @socka: one socket
2849  * @sockb: another socket
2850  *
2851  * Cross reference the peer labels for SO_PEERSEC
2852  *
2853  * Returns 0 on success, and error code otherwise
2854  */
2855 static int smack_socket_socketpair(struct socket *socka,
2856                                    struct socket *sockb)
2857 {
2858         struct socket_smack *asp = socka->sk->sk_security;
2859         struct socket_smack *bsp = sockb->sk->sk_security;
2860
2861         asp->smk_packet = bsp->smk_out;
2862         bsp->smk_packet = asp->smk_out;
2863
2864         return 0;
2865 }
2866
2867 #ifdef SMACK_IPV6_PORT_LABELING
2868 /**
2869  * smack_socket_bind - record port binding information.
2870  * @sock: the socket
2871  * @address: the port address
2872  * @addrlen: size of the address
2873  *
2874  * Records the label bound to a port.
2875  *
2876  * Returns 0
2877  */
2878 static int smack_socket_bind(struct socket *sock, struct sockaddr *address,
2879                                 int addrlen)
2880 {
2881         if (sock->sk != NULL && sock->sk->sk_family == PF_INET6)
2882                 smk_ipv6_port_label(sock, address);
2883         return 0;
2884 }
2885 #endif /* SMACK_IPV6_PORT_LABELING */
2886
2887 /**
2888  * smack_socket_connect - connect access check
2889  * @sock: the socket
2890  * @sap: the other end
2891  * @addrlen: size of sap
2892  *
2893  * Verifies that a connection may be possible
2894  *
2895  * Returns 0 on success, and error code otherwise
2896  */
2897 static int smack_socket_connect(struct socket *sock, struct sockaddr *sap,
2898                                 int addrlen)
2899 {
2900         int rc = 0;
2901 #if IS_ENABLED(CONFIG_IPV6)
2902         struct sockaddr_in6 *sip = (struct sockaddr_in6 *)sap;
2903 #endif
2904 #ifdef SMACK_IPV6_SECMARK_LABELING
2905         struct smack_known *rsp;
2906         struct socket_smack *ssp;
2907 #endif
2908
2909         if (sock->sk == NULL)
2910                 return 0;
2911
2912 #ifdef SMACK_IPV6_SECMARK_LABELING
2913         ssp = sock->sk->sk_security;
2914 #endif
2915
2916         switch (sock->sk->sk_family) {
2917         case PF_INET:
2918                 if (addrlen < sizeof(struct sockaddr_in))
2919                         return -EINVAL;
2920                 rc = smack_netlabel_send(sock->sk, (struct sockaddr_in *)sap);
2921                 break;
2922         case PF_INET6:
2923                 if (addrlen < sizeof(struct sockaddr_in6))
2924                         return -EINVAL;
2925 #ifdef SMACK_IPV6_SECMARK_LABELING
2926                 rsp = smack_ipv6host_label(sip);
2927                 if (rsp != NULL)
2928                         rc = smk_ipv6_check(ssp->smk_out, rsp, sip,
2929                                                 SMK_CONNECTING);
2930 #endif
2931 #ifdef SMACK_IPV6_PORT_LABELING
2932                 rc = smk_ipv6_port_check(sock->sk, sip, SMK_CONNECTING);
2933 #endif
2934                 break;
2935         }
2936         return rc;
2937 }
2938
2939 /**
2940  * smack_flags_to_may - convert S_ to MAY_ values
2941  * @flags: the S_ value
2942  *
2943  * Returns the equivalent MAY_ value
2944  */
2945 static int smack_flags_to_may(int flags)
2946 {
2947         int may = 0;
2948
2949         if (flags & S_IRUGO)
2950                 may |= MAY_READ;
2951         if (flags & S_IWUGO)
2952                 may |= MAY_WRITE;
2953         if (flags & S_IXUGO)
2954                 may |= MAY_EXEC;
2955
2956         return may;
2957 }
2958
2959 /**
2960  * smack_msg_msg_alloc_security - Set the security blob for msg_msg
2961  * @msg: the object
2962  *
2963  * Returns 0
2964  */
2965 static int smack_msg_msg_alloc_security(struct msg_msg *msg)
2966 {
2967         struct smack_known *skp = smk_of_current();
2968
2969         msg->security = skp;
2970         return 0;
2971 }
2972
2973 /**
2974  * smack_msg_msg_free_security - Clear the security blob for msg_msg
2975  * @msg: the object
2976  *
2977  * Clears the blob pointer
2978  */
2979 static void smack_msg_msg_free_security(struct msg_msg *msg)
2980 {
2981         msg->security = NULL;
2982 }
2983
2984 /**
2985  * smack_of_ipc - the smack pointer for the ipc
2986  * @isp: the object
2987  *
2988  * Returns a pointer to the smack value
2989  */
2990 static struct smack_known *smack_of_ipc(struct kern_ipc_perm *isp)
2991 {
2992         return (struct smack_known *)isp->security;
2993 }
2994
2995 /**
2996  * smack_ipc_alloc_security - Set the security blob for ipc
2997  * @isp: the object
2998  *
2999  * Returns 0
3000  */
3001 static int smack_ipc_alloc_security(struct kern_ipc_perm *isp)
3002 {
3003         struct smack_known *skp = smk_of_current();
3004
3005         isp->security = skp;
3006         return 0;
3007 }
3008
3009 /**
3010  * smack_ipc_free_security - Clear the security blob for ipc
3011  * @isp: the object
3012  *
3013  * Clears the blob pointer
3014  */
3015 static void smack_ipc_free_security(struct kern_ipc_perm *isp)
3016 {
3017         isp->security = NULL;
3018 }
3019
3020 /**
3021  * smk_curacc_shm : check if current has access on shm
3022  * @isp : the object
3023  * @access : access requested
3024  *
3025  * Returns 0 if current has the requested access, error code otherwise
3026  */
3027 static int smk_curacc_shm(struct kern_ipc_perm *isp, int access)
3028 {
3029         struct smack_known *ssp = smack_of_ipc(isp);
3030         struct smk_audit_info ad;
3031         int rc;
3032
3033 #ifdef CONFIG_AUDIT
3034         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_IPC);
3035         ad.a.u.ipc_id = isp->id;
3036 #endif
3037         rc = smk_curacc(ssp, access, &ad);
3038         rc = smk_bu_current("shm", ssp, access, rc);
3039         return rc;
3040 }
3041
3042 /**
3043  * smack_shm_associate - Smack access check for shm
3044  * @isp: the object
3045  * @shmflg: access requested
3046  *
3047  * Returns 0 if current has the requested access, error code otherwise
3048  */
3049 static int smack_shm_associate(struct kern_ipc_perm *isp, int shmflg)
3050 {
3051         int may;
3052
3053         may = smack_flags_to_may(shmflg);
3054         return smk_curacc_shm(isp, may);
3055 }
3056
3057 /**
3058  * smack_shm_shmctl - Smack access check for shm
3059  * @isp: the object
3060  * @cmd: what it wants to do
3061  *
3062  * Returns 0 if current has the requested access, error code otherwise
3063  */
3064 static int smack_shm_shmctl(struct kern_ipc_perm *isp, int cmd)
3065 {
3066         int may;
3067
3068         switch (cmd) {
3069         case IPC_STAT:
3070         case SHM_STAT:
3071         case SHM_STAT_ANY:
3072                 may = MAY_READ;
3073                 break;
3074         case IPC_SET:
3075         case SHM_LOCK:
3076         case SHM_UNLOCK:
3077         case IPC_RMID:
3078                 may = MAY_READWRITE;
3079                 break;
3080         case IPC_INFO:
3081         case SHM_INFO:
3082                 /*
3083                  * System level information.
3084                  */
3085                 return 0;
3086         default:
3087                 return -EINVAL;
3088         }
3089         return smk_curacc_shm(isp, may);
3090 }
3091
3092 /**
3093  * smack_shm_shmat - Smack access for shmat
3094  * @isp: the object
3095  * @shmaddr: unused
3096  * @shmflg: access requested
3097  *
3098  * Returns 0 if current has the requested access, error code otherwise
3099  */
3100 static int smack_shm_shmat(struct kern_ipc_perm *ipc, char __user *shmaddr,
3101                            int shmflg)
3102 {
3103         int may;
3104
3105         may = smack_flags_to_may(shmflg);
3106         return smk_curacc_shm(ipc, may);
3107 }
3108
3109 /**
3110  * smk_curacc_sem : check if current has access on sem
3111  * @isp : the object
3112  * @access : access requested
3113  *
3114  * Returns 0 if current has the requested access, error code otherwise
3115  */
3116 static int smk_curacc_sem(struct kern_ipc_perm *isp, int access)
3117 {
3118         struct smack_known *ssp = smack_of_ipc(isp);
3119         struct smk_audit_info ad;
3120         int rc;
3121
3122 #ifdef CONFIG_AUDIT
3123         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_IPC);
3124         ad.a.u.ipc_id = isp->id;
3125 #endif
3126         rc = smk_curacc(ssp, access, &ad);
3127         rc = smk_bu_current("sem", ssp, access, rc);
3128         return rc;
3129 }
3130
3131 /**
3132  * smack_sem_associate - Smack access check for sem
3133  * @isp: the object
3134  * @semflg: access requested
3135  *
3136  * Returns 0 if current has the requested access, error code otherwise
3137  */
3138 static int smack_sem_associate(struct kern_ipc_perm *isp, int semflg)
3139 {
3140         int may;
3141
3142         may = smack_flags_to_may(semflg);
3143         return smk_curacc_sem(isp, may);
3144 }
3145
3146 /**
3147  * smack_sem_shmctl - Smack access check for sem
3148  * @isp: the object
3149  * @cmd: what it wants to do
3150  *
3151  * Returns 0 if current has the requested access, error code otherwise
3152  */
3153 static int smack_sem_semctl(struct kern_ipc_perm *isp, int cmd)
3154 {
3155         int may;
3156
3157         switch (cmd) {
3158         case GETPID:
3159         case GETNCNT:
3160         case GETZCNT:
3161         case GETVAL:
3162         case GETALL:
3163         case IPC_STAT:
3164         case SEM_STAT:
3165         case SEM_STAT_ANY:
3166                 may = MAY_READ;
3167                 break;
3168         case SETVAL:
3169         case SETALL:
3170         case IPC_RMID:
3171         case IPC_SET:
3172                 may = MAY_READWRITE;
3173                 break;
3174         case IPC_INFO:
3175         case SEM_INFO:
3176                 /*
3177                  * System level information
3178                  */
3179                 return 0;
3180         default:
3181                 return -EINVAL;
3182         }
3183
3184         return smk_curacc_sem(isp, may);
3185 }
3186
3187 /**
3188  * smack_sem_semop - Smack checks of semaphore operations
3189  * @isp: the object
3190  * @sops: unused
3191  * @nsops: unused
3192  * @alter: unused
3193  *
3194  * Treated as read and write in all cases.
3195  *
3196  * Returns 0 if access is allowed, error code otherwise
3197  */
3198 static int smack_sem_semop(struct kern_ipc_perm *isp, struct sembuf *sops,
3199                            unsigned nsops, int alter)
3200 {
3201         return smk_curacc_sem(isp, MAY_READWRITE);
3202 }
3203
3204 /**
3205  * smk_curacc_msq : helper to check if current has access on msq
3206  * @isp : the msq
3207  * @access : access requested
3208  *
3209  * return 0 if current has access, error otherwise
3210  */
3211 static int smk_curacc_msq(struct kern_ipc_perm *isp, int access)
3212 {
3213         struct smack_known *msp = smack_of_ipc(isp);
3214         struct smk_audit_info ad;
3215         int rc;
3216
3217 #ifdef CONFIG_AUDIT
3218         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_IPC);
3219         ad.a.u.ipc_id = isp->id;
3220 #endif
3221         rc = smk_curacc(msp, access, &ad);
3222         rc = smk_bu_current("msq", msp, access, rc);
3223         return rc;
3224 }
3225
3226 /**
3227  * smack_msg_queue_associate - Smack access check for msg_queue
3228  * @isp: the object
3229  * @msqflg: access requested
3230  *
3231  * Returns 0 if current has the requested access, error code otherwise
3232  */
3233 static int smack_msg_queue_associate(struct kern_ipc_perm *isp, int msqflg)
3234 {
3235         int may;
3236
3237         may = smack_flags_to_may(msqflg);
3238         return smk_curacc_msq(isp, may);
3239 }
3240
3241 /**
3242  * smack_msg_queue_msgctl - Smack access check for msg_queue
3243  * @isp: the object
3244  * @cmd: what it wants to do
3245  *
3246  * Returns 0 if current has the requested access, error code otherwise
3247  */
3248 static int smack_msg_queue_msgctl(struct kern_ipc_perm *isp, int cmd)
3249 {
3250         int may;
3251
3252         switch (cmd) {
3253         case IPC_STAT:
3254         case MSG_STAT:
3255         case MSG_STAT_ANY:
3256                 may = MAY_READ;
3257                 break;
3258         case IPC_SET:
3259         case IPC_RMID:
3260                 may = MAY_READWRITE;
3261                 break;
3262         case IPC_INFO:
3263         case MSG_INFO:
3264                 /*
3265                  * System level information
3266                  */
3267                 return 0;
3268         default:
3269                 return -EINVAL;
3270         }
3271
3272         return smk_curacc_msq(isp, may);
3273 }
3274
3275 /**
3276  * smack_msg_queue_msgsnd - Smack access check for msg_queue
3277  * @isp: the object
3278  * @msg: unused
3279  * @msqflg: access requested
3280  *
3281  * Returns 0 if current has the requested access, error code otherwise
3282  */
3283 static int smack_msg_queue_msgsnd(struct kern_ipc_perm *isp, struct msg_msg *msg,
3284                                   int msqflg)
3285 {
3286         int may;
3287
3288         may = smack_flags_to_may(msqflg);
3289         return smk_curacc_msq(isp, may);
3290 }
3291
3292 /**
3293  * smack_msg_queue_msgsnd - Smack access check for msg_queue
3294  * @isp: the object
3295  * @msg: unused
3296  * @target: unused
3297  * @type: unused
3298  * @mode: unused
3299  *
3300  * Returns 0 if current has read and write access, error code otherwise
3301  */
3302 static int smack_msg_queue_msgrcv(struct kern_ipc_perm *isp, struct msg_msg *msg,
3303                         struct task_struct *target, long type, int mode)
3304 {
3305         return smk_curacc_msq(isp, MAY_READWRITE);
3306 }
3307
3308 /**
3309  * smack_ipc_permission - Smack access for ipc_permission()
3310  * @ipp: the object permissions
3311  * @flag: access requested
3312  *
3313  * Returns 0 if current has read and write access, error code otherwise
3314  */
3315 static int smack_ipc_permission(struct kern_ipc_perm *ipp, short flag)
3316 {
3317         struct smack_known *iskp = ipp->security;
3318         int may = smack_flags_to_may(flag);
3319         struct smk_audit_info ad;
3320         int rc;
3321
3322 #ifdef CONFIG_AUDIT
3323         smk_ad_init(&ad, __func__, LSM_AUDIT_DATA_IPC);
3324         ad.a.u.ipc_id = ipp->id;
3325 #endif
3326         rc = smk_curacc(iskp, may, &ad);
3327         rc = smk_bu_current("svipc", iskp, may, rc);
3328         return rc;
3329 }
3330
3331 /**
3332  * smack_ipc_getsecid - Extract smack security id
3333  * @ipp: the object permissions
3334  * @secid: where result will be saved
3335  */
3336 static void smack_ipc_getsecid(struct kern_ipc_perm *ipp, u32 *secid)
3337 {
3338         struct smack_known *iskp = ipp->security;
3339
3340         *secid = iskp->smk_secid;
3341 }
3342
3343 /**
3344  * smack_d_instantiate - Make sure the blob is correct on an inode
3345  * @opt_dentry: dentry where inode will be attached
3346  * @inode: the object
3347  *
3348  * Set the inode's security blob if it hasn't been done already.
3349  */
3350 static void smack_d_instantiate(struct dentry *opt_dentry, struct inode *inode)
3351 {
3352         struct super_block *sbp;
3353         struct superblock_smack *sbsp;
3354         struct inode_smack *isp;
3355         struct smack_known *skp;
3356         struct smack_known *ckp = smk_of_current();
3357         struct smack_known *final;
3358         char trattr[TRANS_TRUE_SIZE];
3359         int transflag = 0;
3360         int rc;
3361         struct dentry *dp;
3362
3363         if (inode == NULL)
3364                 return;
3365
3366         isp = inode->i_security;
3367
3368         mutex_lock(&isp->smk_lock);
3369         /*
3370          * If the inode is already instantiated
3371          * take the quick way out
3372          */
3373         if (isp->smk_flags & SMK_INODE_INSTANT)
3374                 goto unlockandout;
3375
3376         sbp = inode->i_sb;
3377         sbsp = sbp->s_security;
3378         /*
3379          * We're going to use the superblock default label
3380          * if there's no label on the file.
3381          */
3382         final = sbsp->smk_default;
3383
3384         /*
3385          * If this is the root inode the superblock
3386          * may be in the process of initialization.
3387          * If that is the case use the root value out
3388          * of the superblock.
3389          */
3390         if (opt_dentry->d_parent == opt_dentry) {
3391                 switch (sbp->s_magic) {
3392                 case CGROUP_SUPER_MAGIC:
3393                 case CGROUP2_SUPER_MAGIC:
3394                         /*
3395                          * The cgroup filesystem is never mounted,
3396                          * so there's no opportunity to set the mount
3397                          * options.
3398                          */
3399                         sbsp->smk_root = &smack_known_star;
3400                         sbsp->smk_default = &smack_known_star;
3401                         isp->smk_inode = sbsp->smk_root;
3402                         break;
3403                 case TMPFS_MAGIC:
3404                         /*
3405                          * What about shmem/tmpfs anonymous files with dentry
3406                          * obtained from d_alloc_pseudo()?
3407                          */
3408                         isp->smk_inode = smk_of_current();
3409                         break;
3410                 case PIPEFS_MAGIC:
3411                         isp->smk_inode = smk_of_current();
3412                         break;
3413                 case SOCKFS_MAGIC:
3414                         /*
3415                          * Socket access is controlled by the socket
3416                          * structures associated with the task involved.
3417                          */
3418                         isp->smk_inode = &smack_known_star;
3419                         break;
3420                 default:
3421                         isp->smk_inode = sbsp->smk_root;
3422                         break;
3423                 }
3424                 isp->smk_flags |= SMK_INODE_INSTANT;
3425                 goto unlockandout;
3426         }
3427
3428         /*
3429          * This is pretty hackish.
3430          * Casey says that we shouldn't have to do
3431          * file system specific code, but it does help
3432          * with keeping it simple.
3433          */
3434         switch (sbp->s_magic) {
3435         case SMACK_MAGIC:
3436         case CGROUP_SUPER_MAGIC:
3437         case CGROUP2_SUPER_MAGIC:
3438                 /*
3439                  * Casey says that it's a little embarrassing
3440                  * that the smack file system doesn't do
3441                  * extended attributes.
3442                  *
3443                  * Cgroupfs is special
3444                  */
3445                 final = &smack_known_star;
3446                 break;
3447         case DEVPTS_SUPER_MAGIC:
3448                 /*
3449                  * devpts seems content with the label of the task.
3450                  * Programs that change smack have to treat the
3451                  * pty with respect.
3452                  */
3453                 final = ckp;
3454                 break;
3455         case PROC_SUPER_MAGIC:
3456                 /*
3457                  * Casey says procfs appears not to care.
3458                  * The superblock default suffices.
3459                  */
3460                 break;
3461         case TMPFS_MAGIC:
3462                 /*
3463                  * Device labels should come from the filesystem,
3464                  * but watch out, because they're volitile,
3465                  * getting recreated on every reboot.
3466                  */
3467                 final = &smack_known_star;
3468                 /*
3469                  * No break.
3470                  *
3471                  * If a smack value has been set we want to use it,
3472                  * but since tmpfs isn't giving us the opportunity
3473                  * to set mount options simulate setting the
3474                  * superblock default.
3475                  */
3476         default:
3477                 /*
3478                  * This isn't an understood special case.
3479                  * Get the value from the xattr.
3480                  */
3481
3482                 /*
3483                  * UNIX domain sockets use lower level socket data.
3484                  */
3485                 if (S_ISSOCK(inode->i_mode)) {
3486                         final = &smack_known_star;
3487                         break;
3488                 }
3489                 /*
3490                  * No xattr support means, alas, no SMACK label.
3491                  * Use the aforeapplied default.
3492                  * It would be curious if the label of the task
3493                  * does not match that assigned.
3494                  */
3495                 if (!(inode->i_opflags & IOP_XATTR))
3496                         break;
3497                 /*
3498                  * Get the dentry for xattr.
3499                  */
3500                 dp = dget(opt_dentry);
3501                 skp = smk_fetch(XATTR_NAME_SMACK, inode, dp);
3502                 if (!IS_ERR_OR_NULL(skp))
3503                         final = skp;
3504
3505                 /*
3506                  * Transmuting directory
3507                  */
3508                 if (S_ISDIR(inode->i_mode)) {
3509                         /*
3510                          * If this is a new directory and the label was
3511                          * transmuted when the inode was initialized
3512                          * set the transmute attribute on the directory
3513                          * and mark the inode.
3514                          *
3515                          * If there is a transmute attribute on the
3516                          * directory mark the inode.
3517                          */
3518                         if (isp->smk_flags & SMK_INODE_CHANGED) {
3519                                 isp->smk_flags &= ~SMK_INODE_CHANGED;
3520                                 rc = __vfs_setxattr(dp, inode,
3521                                         XATTR_NAME_SMACKTRANSMUTE,
3522                                         TRANS_TRUE, TRANS_TRUE_SIZE,
3523                                         0);
3524                         } else {
3525                                 rc = __vfs_getxattr(dp, inode,
3526                                         XATTR_NAME_SMACKTRANSMUTE, trattr,
3527                                         TRANS_TRUE_SIZE);
3528                                 if (rc >= 0 && strncmp(trattr, TRANS_TRUE,
3529                                                        TRANS_TRUE_SIZE) != 0)
3530                                         rc = -EINVAL;
3531                         }
3532                         if (rc >= 0)
3533                                 transflag = SMK_INODE_TRANSMUTE;
3534                 }
3535                 /*
3536                  * Don't let the exec or mmap label be "*" or "@".
3537                  */
3538                 skp = smk_fetch(XATTR_NAME_SMACKEXEC, inode, dp);
3539                 if (IS_ERR(skp) || skp == &smack_known_star ||
3540                     skp == &smack_known_web)
3541                         skp = NULL;
3542                 isp->smk_task = skp;
3543
3544                 skp = smk_fetch(XATTR_NAME_SMACKMMAP, inode, dp);
3545                 if (IS_ERR(skp) || skp == &smack_known_star ||
3546                     skp == &smack_known_web)
3547                         skp = NULL;
3548                 isp->smk_mmap = skp;
3549
3550                 dput(dp);
3551                 break;
3552         }
3553
3554         if (final == NULL)
3555                 isp->smk_inode = ckp;
3556         else
3557                 isp->smk_inode = final;
3558
3559         isp->smk_flags |= (SMK_INODE_INSTANT | transflag);
3560
3561</