xref: /openbmc/linux/security/apparmor/ipc.c (revision f7dc4c9a855a13dbb33294c9fc94f17af03f6291) 
10ed3b28aSJohn Johansen /*
20ed3b28aSJohn Johansen  * AppArmor security module
30ed3b28aSJohn Johansen  *
40ed3b28aSJohn Johansen  * This file contains AppArmor ipc mediation
50ed3b28aSJohn Johansen  *
60ed3b28aSJohn Johansen  * Copyright (C) 1998-2008 Novell/SUSE
7b2d09ae4SJohn Johansen  * Copyright 2009-2017 Canonical Ltd.
80ed3b28aSJohn Johansen  *
90ed3b28aSJohn Johansen  * This program is free software; you can redistribute it and/or
100ed3b28aSJohn Johansen  * modify it under the terms of the GNU General Public License as
110ed3b28aSJohn Johansen  * published by the Free Software Foundation, version 2 of the
120ed3b28aSJohn Johansen  * License.
130ed3b28aSJohn Johansen  */
140ed3b28aSJohn Johansen 
150ed3b28aSJohn Johansen #include <linux/gfp.h>
160ed3b28aSJohn Johansen #include <linux/ptrace.h>
170ed3b28aSJohn Johansen 
180ed3b28aSJohn Johansen #include "include/audit.h"
190ed3b28aSJohn Johansen #include "include/capability.h"
200ed3b28aSJohn Johansen #include "include/context.h"
210ed3b28aSJohn Johansen #include "include/policy.h"
2233f8bf58SJames Morris #include "include/ipc.h"
23cd1dbf76SJohn Johansen #include "include/sig_names.h"
240ed3b28aSJohn Johansen 
25290f458aSJohn Johansen /**
26290f458aSJohn Johansen  * audit_ptrace_mask - convert mask to permission string
27290f458aSJohn Johansen  * @buffer: buffer to write string to (NOT NULL)
28290f458aSJohn Johansen  * @mask: permission mask to convert
29290f458aSJohn Johansen  */
30290f458aSJohn Johansen static void audit_ptrace_mask(struct audit_buffer *ab, u32 mask)
31290f458aSJohn Johansen {
32290f458aSJohn Johansen 	switch (mask) {
33290f458aSJohn Johansen 	case MAY_READ:
34290f458aSJohn Johansen 		audit_log_string(ab, "read");
35290f458aSJohn Johansen 		break;
36290f458aSJohn Johansen 	case MAY_WRITE:
37290f458aSJohn Johansen 		audit_log_string(ab, "trace");
38290f458aSJohn Johansen 		break;
39290f458aSJohn Johansen 	case AA_MAY_BE_READ:
40290f458aSJohn Johansen 		audit_log_string(ab, "readby");
41290f458aSJohn Johansen 		break;
42290f458aSJohn Johansen 	case AA_MAY_BE_TRACED:
43290f458aSJohn Johansen 		audit_log_string(ab, "tracedby");
44290f458aSJohn Johansen 		break;
45290f458aSJohn Johansen 	}
46290f458aSJohn Johansen }
47290f458aSJohn Johansen 
480ed3b28aSJohn Johansen /* call back to audit ptrace fields */
49637f688dSJohn Johansen static void audit_ptrace_cb(struct audit_buffer *ab, void *va)
500ed3b28aSJohn Johansen {
510ed3b28aSJohn Johansen 	struct common_audit_data *sa = va;
52b2d09ae4SJohn Johansen 
53290f458aSJohn Johansen 	if (aad(sa)->request & AA_PTRACE_PERM_MASK) {
54290f458aSJohn Johansen 		audit_log_format(ab, " requested_mask=");
55290f458aSJohn Johansen 		audit_ptrace_mask(ab, aad(sa)->request);
56290f458aSJohn Johansen 
57290f458aSJohn Johansen 		if (aad(sa)->denied & AA_PTRACE_PERM_MASK) {
58290f458aSJohn Johansen 			audit_log_format(ab, " denied_mask=");
59290f458aSJohn Johansen 			audit_ptrace_mask(ab, aad(sa)->denied);
60290f458aSJohn Johansen 		}
61290f458aSJohn Johansen 	}
62ef88a7acSJohn Johansen 	audit_log_format(ab, " peer=");
63637f688dSJohn Johansen 	aa_label_xaudit(ab, labels_ns(aad(sa)->label), aad(sa)->peer,
64637f688dSJohn Johansen 			FLAGS_NONE, GFP_ATOMIC);
650ed3b28aSJohn Johansen }
660ed3b28aSJohn Johansen 
67290f458aSJohn Johansen /* TODO: conditionals */
68290f458aSJohn Johansen static int profile_ptrace_perm(struct aa_profile *profile,
69290f458aSJohn Johansen 			       struct aa_profile *peer, u32 request,
70290f458aSJohn Johansen 			       struct common_audit_data *sa)
71290f458aSJohn Johansen {
72290f458aSJohn Johansen 	struct aa_perms perms = { };
73290f458aSJohn Johansen 
74290f458aSJohn Johansen 	/* need because of peer in cross check */
75290f458aSJohn Johansen 	if (profile_unconfined(profile) ||
76290f458aSJohn Johansen 	    !PROFILE_MEDIATES(profile, AA_CLASS_PTRACE))
77290f458aSJohn Johansen 		return 0;
78290f458aSJohn Johansen 
79290f458aSJohn Johansen 	aad(sa)->peer = &peer->label;
80290f458aSJohn Johansen 	aa_profile_match_label(profile, &peer->label, AA_CLASS_PTRACE, request,
81290f458aSJohn Johansen 			       &perms);
82290f458aSJohn Johansen 	aa_apply_modes_to_perms(profile, &perms);
83290f458aSJohn Johansen 	return aa_check_perms(profile, &perms, request, sa, audit_ptrace_cb);
84290f458aSJohn Johansen }
85290f458aSJohn Johansen 
86b2d09ae4SJohn Johansen static int cross_ptrace_perm(struct aa_profile *tracer,
87b2d09ae4SJohn Johansen 			     struct aa_profile *tracee, u32 request,
88b2d09ae4SJohn Johansen 			     struct common_audit_data *sa)
890ed3b28aSJohn Johansen {
90290f458aSJohn Johansen 	if (PROFILE_MEDIATES(tracer, AA_CLASS_PTRACE))
91290f458aSJohn Johansen 		return xcheck(profile_ptrace_perm(tracer, tracee, request, sa),
92290f458aSJohn Johansen 			      profile_ptrace_perm(tracee, tracer,
93290f458aSJohn Johansen 						  request << PTRACE_PERM_SHIFT,
94290f458aSJohn Johansen 						  sa));
95b2d09ae4SJohn Johansen 	/* policy uses the old style capability check for ptrace */
96b2d09ae4SJohn Johansen 	if (profile_unconfined(tracer) || tracer == tracee)
97b2d09ae4SJohn Johansen 		return 0;
980ed3b28aSJohn Johansen 
99b2d09ae4SJohn Johansen 	aad(sa)->label = &tracer->label;
100b2d09ae4SJohn Johansen 	aad(sa)->peer = &tracee->label;
101b2d09ae4SJohn Johansen 	aad(sa)->request = 0;
102b2d09ae4SJohn Johansen 	aad(sa)->error = aa_capable(&tracer->label, CAP_SYS_PTRACE, 1);
103ef88a7acSJohn Johansen 
104b2d09ae4SJohn Johansen 	return aa_audit(AUDIT_APPARMOR_AUTO, tracer, sa, audit_ptrace_cb);
1050ed3b28aSJohn Johansen }
1060ed3b28aSJohn Johansen 
1070ed3b28aSJohn Johansen /**
1080ed3b28aSJohn Johansen  * aa_may_ptrace - test if tracer task can trace the tracee
109b2d09ae4SJohn Johansen  * @tracer: label of the task doing the tracing  (NOT NULL)
110b2d09ae4SJohn Johansen  * @tracee: task label to be traced
111b2d09ae4SJohn Johansen  * @request: permission request
1120ed3b28aSJohn Johansen  *
1130ed3b28aSJohn Johansen  * Returns: %0 else error code if permission denied or error
1140ed3b28aSJohn Johansen  */
115b2d09ae4SJohn Johansen int aa_may_ptrace(struct aa_label *tracer, struct aa_label *tracee,
116b2d09ae4SJohn Johansen 		  u32 request)
1170ed3b28aSJohn Johansen {
118b2d09ae4SJohn Johansen 	DEFINE_AUDIT_DATA(sa, LSM_AUDIT_DATA_NONE, OP_PTRACE);
1190ed3b28aSJohn Johansen 
120b2d09ae4SJohn Johansen 	return xcheck_labels_profiles(tracer, tracee, cross_ptrace_perm,
121b2d09ae4SJohn Johansen 				      request, &sa);
1220ed3b28aSJohn Johansen }
1230ed3b28aSJohn Johansen 
1240ed3b28aSJohn Johansen 
125cd1dbf76SJohn Johansen static inline int map_signal_num(int sig)
126cd1dbf76SJohn Johansen {
127cd1dbf76SJohn Johansen 	if (sig > SIGRTMAX)
128cd1dbf76SJohn Johansen 		return SIGUNKNOWN;
129cd1dbf76SJohn Johansen 	else if (sig >= SIGRTMIN)
130cd1dbf76SJohn Johansen 		return sig - SIGRTMIN + 128;	/* rt sigs mapped to 128 */
131*f7dc4c9aSJohn Johansen 	else if (sig < MAXMAPPED_SIG)
132cd1dbf76SJohn Johansen 		return sig_map[sig];
133cd1dbf76SJohn Johansen 	return SIGUNKNOWN;
134cd1dbf76SJohn Johansen }
135cd1dbf76SJohn Johansen 
136cd1dbf76SJohn Johansen /**
137cd1dbf76SJohn Johansen  * audit_file_mask - convert mask to permission string
138cd1dbf76SJohn Johansen  * @buffer: buffer to write string to (NOT NULL)
139cd1dbf76SJohn Johansen  * @mask: permission mask to convert
140cd1dbf76SJohn Johansen  */
141cd1dbf76SJohn Johansen static void audit_signal_mask(struct audit_buffer *ab, u32 mask)
142cd1dbf76SJohn Johansen {
143cd1dbf76SJohn Johansen 	if (mask & MAY_READ)
144cd1dbf76SJohn Johansen 		audit_log_string(ab, "receive");
145cd1dbf76SJohn Johansen 	if (mask & MAY_WRITE)
146cd1dbf76SJohn Johansen 		audit_log_string(ab, "send");
147cd1dbf76SJohn Johansen }
148cd1dbf76SJohn Johansen 
149cd1dbf76SJohn Johansen /**
150cd1dbf76SJohn Johansen  * audit_cb - call back for signal specific audit fields
151cd1dbf76SJohn Johansen  * @ab: audit_buffer  (NOT NULL)
152cd1dbf76SJohn Johansen  * @va: audit struct to audit values of  (NOT NULL)
153cd1dbf76SJohn Johansen  */
154cd1dbf76SJohn Johansen static void audit_signal_cb(struct audit_buffer *ab, void *va)
155cd1dbf76SJohn Johansen {
156cd1dbf76SJohn Johansen 	struct common_audit_data *sa = va;
157cd1dbf76SJohn Johansen 
158cd1dbf76SJohn Johansen 	if (aad(sa)->request & AA_SIGNAL_PERM_MASK) {
159cd1dbf76SJohn Johansen 		audit_log_format(ab, " requested_mask=");
160cd1dbf76SJohn Johansen 		audit_signal_mask(ab, aad(sa)->request);
161cd1dbf76SJohn Johansen 		if (aad(sa)->denied & AA_SIGNAL_PERM_MASK) {
162cd1dbf76SJohn Johansen 			audit_log_format(ab, " denied_mask=");
163cd1dbf76SJohn Johansen 			audit_signal_mask(ab, aad(sa)->denied);
164cd1dbf76SJohn Johansen 		}
165cd1dbf76SJohn Johansen 	}
166*f7dc4c9aSJohn Johansen 	if (aad(sa)->signal < MAXMAPPED_SIG)
167cd1dbf76SJohn Johansen 		audit_log_format(ab, " signal=%s", sig_names[aad(sa)->signal]);
168cd1dbf76SJohn Johansen 	else
169cd1dbf76SJohn Johansen 		audit_log_format(ab, " signal=rtmin+%d",
170cd1dbf76SJohn Johansen 				 aad(sa)->signal - 128);
171cd1dbf76SJohn Johansen 	audit_log_format(ab, " peer=");
172cd1dbf76SJohn Johansen 	aa_label_xaudit(ab, labels_ns(aad(sa)->label), aad(sa)->peer,
173cd1dbf76SJohn Johansen 			FLAGS_NONE, GFP_ATOMIC);
174cd1dbf76SJohn Johansen }
175cd1dbf76SJohn Johansen 
176cd1dbf76SJohn Johansen /* TODO: update to handle compound name&name2, conditionals */
177cd1dbf76SJohn Johansen static void profile_match_signal(struct aa_profile *profile, const char *label,
178cd1dbf76SJohn Johansen 				 int signal, struct aa_perms *perms)
179cd1dbf76SJohn Johansen {
180cd1dbf76SJohn Johansen 	unsigned int state;
181cd1dbf76SJohn Johansen 
182cd1dbf76SJohn Johansen 	/* TODO: secondary cache check <profile, profile, perm> */
183cd1dbf76SJohn Johansen 	state = aa_dfa_next(profile->policy.dfa,
184cd1dbf76SJohn Johansen 			    profile->policy.start[AA_CLASS_SIGNAL],
185cd1dbf76SJohn Johansen 			    signal);
186cd1dbf76SJohn Johansen 	state = aa_dfa_match(profile->policy.dfa, state, label);
187cd1dbf76SJohn Johansen 	aa_compute_perms(profile->policy.dfa, state, perms);
188cd1dbf76SJohn Johansen }
189cd1dbf76SJohn Johansen 
190cd1dbf76SJohn Johansen static int profile_signal_perm(struct aa_profile *profile,
191cd1dbf76SJohn Johansen 			       struct aa_profile *peer, u32 request,
192cd1dbf76SJohn Johansen 			       struct common_audit_data *sa)
193cd1dbf76SJohn Johansen {
194cd1dbf76SJohn Johansen 	struct aa_perms perms;
195cd1dbf76SJohn Johansen 
196cd1dbf76SJohn Johansen 	if (profile_unconfined(profile) ||
197cd1dbf76SJohn Johansen 	    !PROFILE_MEDIATES(profile, AA_CLASS_SIGNAL))
198cd1dbf76SJohn Johansen 		return 0;
199cd1dbf76SJohn Johansen 
200cd1dbf76SJohn Johansen 	aad(sa)->peer = &peer->label;
201cd1dbf76SJohn Johansen 	profile_match_signal(profile, peer->base.hname, aad(sa)->signal,
202cd1dbf76SJohn Johansen 			     &perms);
203cd1dbf76SJohn Johansen 	aa_apply_modes_to_perms(profile, &perms);
204cd1dbf76SJohn Johansen 	return aa_check_perms(profile, &perms, request, sa, audit_signal_cb);
205cd1dbf76SJohn Johansen }
206cd1dbf76SJohn Johansen 
207cd1dbf76SJohn Johansen static int aa_signal_cross_perm(struct aa_profile *sender,
208cd1dbf76SJohn Johansen 				struct aa_profile *target,
209cd1dbf76SJohn Johansen 				struct common_audit_data *sa)
210cd1dbf76SJohn Johansen {
211cd1dbf76SJohn Johansen 	return xcheck(profile_signal_perm(sender, target, MAY_WRITE, sa),
212cd1dbf76SJohn Johansen 		      profile_signal_perm(target, sender, MAY_READ, sa));
213cd1dbf76SJohn Johansen }
214cd1dbf76SJohn Johansen 
215cd1dbf76SJohn Johansen int aa_may_signal(struct aa_label *sender, struct aa_label *target, int sig)
216cd1dbf76SJohn Johansen {
217cd1dbf76SJohn Johansen 	DEFINE_AUDIT_DATA(sa, LSM_AUDIT_DATA_NONE, OP_SIGNAL);
218cd1dbf76SJohn Johansen 
219cd1dbf76SJohn Johansen 	aad(&sa)->signal = map_signal_num(sig);
220cd1dbf76SJohn Johansen 	return xcheck_labels_profiles(sender, target, aa_signal_cross_perm,
221cd1dbf76SJohn Johansen 				      &sa);
222cd1dbf76SJohn Johansen }
223