xref: /openbmc/linux/security/apparmor/ipc.c (revision d8889d49e414b371eb235c08c3a759ab3e0cfa51) 
10ed3b28aSJohn Johansen /*
20ed3b28aSJohn Johansen  * AppArmor security module
30ed3b28aSJohn Johansen  *
40ed3b28aSJohn Johansen  * This file contains AppArmor ipc mediation
50ed3b28aSJohn Johansen  *
60ed3b28aSJohn Johansen  * Copyright (C) 1998-2008 Novell/SUSE
7b2d09ae4SJohn Johansen  * Copyright 2009-2017 Canonical Ltd.
80ed3b28aSJohn Johansen  *
90ed3b28aSJohn Johansen  * This program is free software; you can redistribute it and/or
100ed3b28aSJohn Johansen  * modify it under the terms of the GNU General Public License as
110ed3b28aSJohn Johansen  * published by the Free Software Foundation, version 2 of the
120ed3b28aSJohn Johansen  * License.
130ed3b28aSJohn Johansen  */
140ed3b28aSJohn Johansen 
150ed3b28aSJohn Johansen #include <linux/gfp.h>
160ed3b28aSJohn Johansen #include <linux/ptrace.h>
170ed3b28aSJohn Johansen 
180ed3b28aSJohn Johansen #include "include/audit.h"
190ed3b28aSJohn Johansen #include "include/capability.h"
20*d8889d49SJohn Johansen #include "include/cred.h"
210ed3b28aSJohn Johansen #include "include/policy.h"
2233f8bf58SJames Morris #include "include/ipc.h"
23cd1dbf76SJohn Johansen #include "include/sig_names.h"
240ed3b28aSJohn Johansen 
25290f458aSJohn Johansen /**
26290f458aSJohn Johansen  * audit_ptrace_mask - convert mask to permission string
27290f458aSJohn Johansen  * @buffer: buffer to write string to (NOT NULL)
28290f458aSJohn Johansen  * @mask: permission mask to convert
29290f458aSJohn Johansen  */
30290f458aSJohn Johansen static void audit_ptrace_mask(struct audit_buffer *ab, u32 mask)
31290f458aSJohn Johansen {
32290f458aSJohn Johansen 	switch (mask) {
33290f458aSJohn Johansen 	case MAY_READ:
34290f458aSJohn Johansen 		audit_log_string(ab, "read");
35290f458aSJohn Johansen 		break;
36290f458aSJohn Johansen 	case MAY_WRITE:
37290f458aSJohn Johansen 		audit_log_string(ab, "trace");
38290f458aSJohn Johansen 		break;
39290f458aSJohn Johansen 	case AA_MAY_BE_READ:
40290f458aSJohn Johansen 		audit_log_string(ab, "readby");
41290f458aSJohn Johansen 		break;
42290f458aSJohn Johansen 	case AA_MAY_BE_TRACED:
43290f458aSJohn Johansen 		audit_log_string(ab, "tracedby");
44290f458aSJohn Johansen 		break;
45290f458aSJohn Johansen 	}
46290f458aSJohn Johansen }
47290f458aSJohn Johansen 
480ed3b28aSJohn Johansen /* call back to audit ptrace fields */
49637f688dSJohn Johansen static void audit_ptrace_cb(struct audit_buffer *ab, void *va)
500ed3b28aSJohn Johansen {
510ed3b28aSJohn Johansen 	struct common_audit_data *sa = va;
52b2d09ae4SJohn Johansen 
53290f458aSJohn Johansen 	if (aad(sa)->request & AA_PTRACE_PERM_MASK) {
54290f458aSJohn Johansen 		audit_log_format(ab, " requested_mask=");
55290f458aSJohn Johansen 		audit_ptrace_mask(ab, aad(sa)->request);
56290f458aSJohn Johansen 
57290f458aSJohn Johansen 		if (aad(sa)->denied & AA_PTRACE_PERM_MASK) {
58290f458aSJohn Johansen 			audit_log_format(ab, " denied_mask=");
59290f458aSJohn Johansen 			audit_ptrace_mask(ab, aad(sa)->denied);
60290f458aSJohn Johansen 		}
61290f458aSJohn Johansen 	}
62ef88a7acSJohn Johansen 	audit_log_format(ab, " peer=");
63637f688dSJohn Johansen 	aa_label_xaudit(ab, labels_ns(aad(sa)->label), aad(sa)->peer,
64637f688dSJohn Johansen 			FLAGS_NONE, GFP_ATOMIC);
650ed3b28aSJohn Johansen }
660ed3b28aSJohn Johansen 
670dda0b3fSJohn Johansen /* assumes check for PROFILE_MEDIATES is already done */
68290f458aSJohn Johansen /* TODO: conditionals */
69290f458aSJohn Johansen static int profile_ptrace_perm(struct aa_profile *profile,
700dda0b3fSJohn Johansen 			     struct aa_label *peer, u32 request,
71290f458aSJohn Johansen 			     struct common_audit_data *sa)
72290f458aSJohn Johansen {
73290f458aSJohn Johansen 	struct aa_perms perms = { };
74290f458aSJohn Johansen 
750dda0b3fSJohn Johansen 	aad(sa)->peer = peer;
760dda0b3fSJohn Johansen 	aa_profile_match_label(profile, peer, AA_CLASS_PTRACE, request,
77290f458aSJohn Johansen 			       &perms);
78290f458aSJohn Johansen 	aa_apply_modes_to_perms(profile, &perms);
79290f458aSJohn Johansen 	return aa_check_perms(profile, &perms, request, sa, audit_ptrace_cb);
80290f458aSJohn Johansen }
81290f458aSJohn Johansen 
820dda0b3fSJohn Johansen static int profile_tracee_perm(struct aa_profile *tracee,
830dda0b3fSJohn Johansen 			       struct aa_label *tracer, u32 request,
84b2d09ae4SJohn Johansen 			       struct common_audit_data *sa)
850ed3b28aSJohn Johansen {
860dda0b3fSJohn Johansen 	if (profile_unconfined(tracee) || unconfined(tracer) ||
870dda0b3fSJohn Johansen 	    !PROFILE_MEDIATES(tracee, AA_CLASS_PTRACE))
880dda0b3fSJohn Johansen 		return 0;
890dda0b3fSJohn Johansen 
900dda0b3fSJohn Johansen 	return profile_ptrace_perm(tracee, tracer, request, sa);
910dda0b3fSJohn Johansen }
920dda0b3fSJohn Johansen 
930dda0b3fSJohn Johansen static int profile_tracer_perm(struct aa_profile *tracer,
940dda0b3fSJohn Johansen 			       struct aa_label *tracee, u32 request,
950dda0b3fSJohn Johansen 			       struct common_audit_data *sa)
960dda0b3fSJohn Johansen {
970dda0b3fSJohn Johansen 	if (profile_unconfined(tracer))
980dda0b3fSJohn Johansen 		return 0;
990dda0b3fSJohn Johansen 
100290f458aSJohn Johansen 	if (PROFILE_MEDIATES(tracer, AA_CLASS_PTRACE))
1010dda0b3fSJohn Johansen 		return profile_ptrace_perm(tracer, tracee, request, sa);
1020dda0b3fSJohn Johansen 
1030dda0b3fSJohn Johansen 	/* profile uses the old style capability check for ptrace */
1040dda0b3fSJohn Johansen 	if (&tracer->label == tracee)
105b2d09ae4SJohn Johansen 		return 0;
1060ed3b28aSJohn Johansen 
107b2d09ae4SJohn Johansen 	aad(sa)->label = &tracer->label;
1080dda0b3fSJohn Johansen 	aad(sa)->peer = tracee;
109b2d09ae4SJohn Johansen 	aad(sa)->request = 0;
110b2d09ae4SJohn Johansen 	aad(sa)->error = aa_capable(&tracer->label, CAP_SYS_PTRACE, 1);
111ef88a7acSJohn Johansen 
112b2d09ae4SJohn Johansen 	return aa_audit(AUDIT_APPARMOR_AUTO, tracer, sa, audit_ptrace_cb);
1130ed3b28aSJohn Johansen }
1140ed3b28aSJohn Johansen 
1150ed3b28aSJohn Johansen /**
1160ed3b28aSJohn Johansen  * aa_may_ptrace - test if tracer task can trace the tracee
117b2d09ae4SJohn Johansen  * @tracer: label of the task doing the tracing  (NOT NULL)
118b2d09ae4SJohn Johansen  * @tracee: task label to be traced
119b2d09ae4SJohn Johansen  * @request: permission request
1200ed3b28aSJohn Johansen  *
1210ed3b28aSJohn Johansen  * Returns: %0 else error code if permission denied or error
1220ed3b28aSJohn Johansen  */
123b2d09ae4SJohn Johansen int aa_may_ptrace(struct aa_label *tracer, struct aa_label *tracee,
124b2d09ae4SJohn Johansen 		  u32 request)
1250ed3b28aSJohn Johansen {
1260dda0b3fSJohn Johansen 	struct aa_profile *profile;
1270dda0b3fSJohn Johansen 	u32 xrequest = request << PTRACE_PERM_SHIFT;
128b2d09ae4SJohn Johansen 	DEFINE_AUDIT_DATA(sa, LSM_AUDIT_DATA_NONE, OP_PTRACE);
1290ed3b28aSJohn Johansen 
1300dda0b3fSJohn Johansen 	return xcheck_labels(tracer, tracee, profile,
1310dda0b3fSJohn Johansen 			profile_tracer_perm(profile, tracee, request, &sa),
1320dda0b3fSJohn Johansen 			profile_tracee_perm(profile, tracer, xrequest, &sa));
1330ed3b28aSJohn Johansen }
1340ed3b28aSJohn Johansen 
1350ed3b28aSJohn Johansen 
136cd1dbf76SJohn Johansen static inline int map_signal_num(int sig)
137cd1dbf76SJohn Johansen {
138cd1dbf76SJohn Johansen 	if (sig > SIGRTMAX)
139cd1dbf76SJohn Johansen 		return SIGUNKNOWN;
140cd1dbf76SJohn Johansen 	else if (sig >= SIGRTMIN)
1413acfd5f5SJohn Johansen 		return sig - SIGRTMIN + SIGRT_BASE;
142f7dc4c9aSJohn Johansen 	else if (sig < MAXMAPPED_SIG)
143cd1dbf76SJohn Johansen 		return sig_map[sig];
144cd1dbf76SJohn Johansen 	return SIGUNKNOWN;
145cd1dbf76SJohn Johansen }
146cd1dbf76SJohn Johansen 
147cd1dbf76SJohn Johansen /**
148cd1dbf76SJohn Johansen  * audit_file_mask - convert mask to permission string
149cd1dbf76SJohn Johansen  * @buffer: buffer to write string to (NOT NULL)
150cd1dbf76SJohn Johansen  * @mask: permission mask to convert
151cd1dbf76SJohn Johansen  */
152cd1dbf76SJohn Johansen static void audit_signal_mask(struct audit_buffer *ab, u32 mask)
153cd1dbf76SJohn Johansen {
154cd1dbf76SJohn Johansen 	if (mask & MAY_READ)
155cd1dbf76SJohn Johansen 		audit_log_string(ab, "receive");
156cd1dbf76SJohn Johansen 	if (mask & MAY_WRITE)
157cd1dbf76SJohn Johansen 		audit_log_string(ab, "send");
158cd1dbf76SJohn Johansen }
159cd1dbf76SJohn Johansen 
160cd1dbf76SJohn Johansen /**
161cd1dbf76SJohn Johansen  * audit_cb - call back for signal specific audit fields
162cd1dbf76SJohn Johansen  * @ab: audit_buffer  (NOT NULL)
163cd1dbf76SJohn Johansen  * @va: audit struct to audit values of  (NOT NULL)
164cd1dbf76SJohn Johansen  */
165cd1dbf76SJohn Johansen static void audit_signal_cb(struct audit_buffer *ab, void *va)
166cd1dbf76SJohn Johansen {
167cd1dbf76SJohn Johansen 	struct common_audit_data *sa = va;
168cd1dbf76SJohn Johansen 
169cd1dbf76SJohn Johansen 	if (aad(sa)->request & AA_SIGNAL_PERM_MASK) {
170cd1dbf76SJohn Johansen 		audit_log_format(ab, " requested_mask=");
171cd1dbf76SJohn Johansen 		audit_signal_mask(ab, aad(sa)->request);
172cd1dbf76SJohn Johansen 		if (aad(sa)->denied & AA_SIGNAL_PERM_MASK) {
173cd1dbf76SJohn Johansen 			audit_log_format(ab, " denied_mask=");
174cd1dbf76SJohn Johansen 			audit_signal_mask(ab, aad(sa)->denied);
175cd1dbf76SJohn Johansen 		}
176cd1dbf76SJohn Johansen 	}
1773acfd5f5SJohn Johansen 	if (aad(sa)->signal == SIGUNKNOWN)
1783acfd5f5SJohn Johansen 		audit_log_format(ab, "signal=unknown(%d)",
1793acfd5f5SJohn Johansen 				 aad(sa)->unmappedsig);
1803acfd5f5SJohn Johansen 	else if (aad(sa)->signal < MAXMAPPED_SIGNAME)
181cd1dbf76SJohn Johansen 		audit_log_format(ab, " signal=%s", sig_names[aad(sa)->signal]);
182cd1dbf76SJohn Johansen 	else
183cd1dbf76SJohn Johansen 		audit_log_format(ab, " signal=rtmin+%d",
1843acfd5f5SJohn Johansen 				 aad(sa)->signal - SIGRT_BASE);
185cd1dbf76SJohn Johansen 	audit_log_format(ab, " peer=");
186cd1dbf76SJohn Johansen 	aa_label_xaudit(ab, labels_ns(aad(sa)->label), aad(sa)->peer,
187cd1dbf76SJohn Johansen 			FLAGS_NONE, GFP_ATOMIC);
188cd1dbf76SJohn Johansen }
189cd1dbf76SJohn Johansen 
190cd1dbf76SJohn Johansen static int profile_signal_perm(struct aa_profile *profile,
1913dc6b1ceSJohn Johansen 			       struct aa_label *peer, u32 request,
192cd1dbf76SJohn Johansen 			       struct common_audit_data *sa)
193cd1dbf76SJohn Johansen {
194cd1dbf76SJohn Johansen 	struct aa_perms perms;
1953dc6b1ceSJohn Johansen 	unsigned int state;
196cd1dbf76SJohn Johansen 
197cd1dbf76SJohn Johansen 	if (profile_unconfined(profile) ||
198cd1dbf76SJohn Johansen 	    !PROFILE_MEDIATES(profile, AA_CLASS_SIGNAL))
199cd1dbf76SJohn Johansen 		return 0;
200cd1dbf76SJohn Johansen 
2013dc6b1ceSJohn Johansen 	aad(sa)->peer = peer;
2023dc6b1ceSJohn Johansen 	/* TODO: secondary cache check <profile, profile, perm> */
2033dc6b1ceSJohn Johansen 	state = aa_dfa_next(profile->policy.dfa,
2043dc6b1ceSJohn Johansen 			    profile->policy.start[AA_CLASS_SIGNAL],
2053dc6b1ceSJohn Johansen 			    aad(sa)->signal);
2063dc6b1ceSJohn Johansen 	aa_label_match(profile, peer, state, false, request, &perms);
207cd1dbf76SJohn Johansen 	aa_apply_modes_to_perms(profile, &perms);
208cd1dbf76SJohn Johansen 	return aa_check_perms(profile, &perms, request, sa, audit_signal_cb);
209cd1dbf76SJohn Johansen }
210cd1dbf76SJohn Johansen 
211cd1dbf76SJohn Johansen int aa_may_signal(struct aa_label *sender, struct aa_label *target, int sig)
212cd1dbf76SJohn Johansen {
2133dc6b1ceSJohn Johansen 	struct aa_profile *profile;
214cd1dbf76SJohn Johansen 	DEFINE_AUDIT_DATA(sa, LSM_AUDIT_DATA_NONE, OP_SIGNAL);
215cd1dbf76SJohn Johansen 
216cd1dbf76SJohn Johansen 	aad(&sa)->signal = map_signal_num(sig);
2173acfd5f5SJohn Johansen 	aad(&sa)->unmappedsig = sig;
2183dc6b1ceSJohn Johansen 	return xcheck_labels(sender, target, profile,
2193dc6b1ceSJohn Johansen 			profile_signal_perm(profile, target, MAY_WRITE, &sa),
2203dc6b1ceSJohn Johansen 			profile_signal_perm(profile, sender, MAY_READ, &sa));
221cd1dbf76SJohn Johansen }
222