selftests/landlock/fs_test.c

e1199815SMickaël Salaün// SPDX-License-Identifier: GPL-2.0
e1199815SMickaël Salaün/*
e1199815SMickaël Salaün * Landlock tests - Filesystem
e1199815SMickaël Salaün *
e1199815SMickaël Salaün * Copyright © 2017-2020 Mickaël Salaün <mic@digikod.net>
e1199815SMickaël Salaün * Copyright © 2020 ANSSI
55e55920SMickaël Salaün * Copyright © 2020-2022 Microsoft Corporation
e1199815SMickaël Salaün */
e1199815SMickaël Salaün
e1199815SMickaël Salaün#define _GNU_SOURCE
e1199815SMickaël Salaün#include <fcntl.h>
e1199815SMickaël Salaün#include <linux/landlock.h>
e1199815SMickaël Salaün#include <sched.h>
366617a6SJeff Xu#include <stdio.h>
e1199815SMickaël Salaün#include <string.h>
e1199815SMickaël Salaün#include <sys/capability.h>
e1199815SMickaël Salaün#include <sys/mount.h>
e1199815SMickaël Salaün#include <sys/prctl.h>
e1199815SMickaël Salaün#include <sys/sendfile.h>
e1199815SMickaël Salaün#include <sys/stat.h>
e1199815SMickaël Salaün#include <sys/sysmacros.h>
e1199815SMickaël Salaün#include <unistd.h>
e1199815SMickaël Salaün
e1199815SMickaël Salaün#include "common.h"
e1199815SMickaël Salaün
87129ef1SMickaël Salaün#ifndef renameat2
87129ef1SMickaël Salaünint renameat2(int olddirfd, const char *oldpath, int newdirfd,
87129ef1SMickaël Salaün	      const char *newpath, unsigned int flags)
87129ef1SMickaël Salaün{
87129ef1SMickaël Salaün	return syscall(__NR_renameat2, olddirfd, oldpath, newdirfd, newpath,
87129ef1SMickaël Salaün		       flags);
87129ef1SMickaël Salaün}
87129ef1SMickaël Salaün#endif
87129ef1SMickaël Salaün
87129ef1SMickaël Salaün#ifndef RENAME_EXCHANGE
87129ef1SMickaël Salaün#define RENAME_EXCHANGE (1 << 1)
87129ef1SMickaël Salaün#endif
87129ef1SMickaël Salaün
e1199815SMickaël Salaün#define TMP_DIR "tmp"
e1199815SMickaël Salaün#define BINARY_PATH "./true"
e1199815SMickaël Salaün
e1199815SMickaël Salaün/* Paths (sibling number and depth) */
e1199815SMickaël Salaünstatic const char dir_s1d1[] = TMP_DIR "/s1d1";
e1199815SMickaël Salaünstatic const char file1_s1d1[] = TMP_DIR "/s1d1/f1";
e1199815SMickaël Salaünstatic const char file2_s1d1[] = TMP_DIR "/s1d1/f2";
e1199815SMickaël Salaünstatic const char dir_s1d2[] = TMP_DIR "/s1d1/s1d2";
e1199815SMickaël Salaünstatic const char file1_s1d2[] = TMP_DIR "/s1d1/s1d2/f1";
e1199815SMickaël Salaünstatic const char file2_s1d2[] = TMP_DIR "/s1d1/s1d2/f2";
e1199815SMickaël Salaünstatic const char dir_s1d3[] = TMP_DIR "/s1d1/s1d2/s1d3";
e1199815SMickaël Salaünstatic const char file1_s1d3[] = TMP_DIR "/s1d1/s1d2/s1d3/f1";
e1199815SMickaël Salaünstatic const char file2_s1d3[] = TMP_DIR "/s1d1/s1d2/s1d3/f2";
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic const char dir_s2d1[] = TMP_DIR "/s2d1";
e1199815SMickaël Salaünstatic const char file1_s2d1[] = TMP_DIR "/s2d1/f1";
e1199815SMickaël Salaünstatic const char dir_s2d2[] = TMP_DIR "/s2d1/s2d2";
e1199815SMickaël Salaünstatic const char file1_s2d2[] = TMP_DIR "/s2d1/s2d2/f1";
e1199815SMickaël Salaünstatic const char dir_s2d3[] = TMP_DIR "/s2d1/s2d2/s2d3";
e1199815SMickaël Salaünstatic const char file1_s2d3[] = TMP_DIR "/s2d1/s2d2/s2d3/f1";
e1199815SMickaël Salaünstatic const char file2_s2d3[] = TMP_DIR "/s2d1/s2d2/s2d3/f2";
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic const char dir_s3d1[] = TMP_DIR "/s3d1";
225351abSGünther Noackstatic const char file1_s3d1[] = TMP_DIR "/s3d1/f1";
e1199815SMickaël Salaün/* dir_s3d2 is a mount point. */
e1199815SMickaël Salaünstatic const char dir_s3d2[] = TMP_DIR "/s3d1/s3d2";
e1199815SMickaël Salaünstatic const char dir_s3d3[] = TMP_DIR "/s3d1/s3d2/s3d3";
e1199815SMickaël Salaün
e1199815SMickaël Salaün/*
e1199815SMickaël Salaün * layout1 hierarchy:
e1199815SMickaël Salaün *
e1199815SMickaël Salaün * tmp
e1199815SMickaël Salaün * ├── s1d1
e1199815SMickaël Salaün * │   ├── f1
e1199815SMickaël Salaün * │   ├── f2
e1199815SMickaël Salaün * │   └── s1d2
e1199815SMickaël Salaün * │       ├── f1
e1199815SMickaël Salaün * │       ├── f2
e1199815SMickaël Salaün * │       └── s1d3
e1199815SMickaël Salaün * │           ├── f1
e1199815SMickaël Salaün * │           └── f2
e1199815SMickaël Salaün * ├── s2d1
e1199815SMickaël Salaün * │   ├── f1
e1199815SMickaël Salaün * │   └── s2d2
e1199815SMickaël Salaün * │       ├── f1
e1199815SMickaël Salaün * │       └── s2d3
e1199815SMickaël Salaün * │           ├── f1
e1199815SMickaël Salaün * │           └── f2
e1199815SMickaël Salaün * └── s3d1
225351abSGünther Noack *     ├── f1
e1199815SMickaël Salaün *     └── s3d2
e1199815SMickaël Salaün *         └── s3d3
e1199815SMickaël Salaün */
e1199815SMickaël Salaün
366617a6SJeff Xustatic bool fgrep(FILE *const inf, const char *const str)
366617a6SJeff Xu{
366617a6SJeff Xu	char line[32];
366617a6SJeff Xu	const int slen = strlen(str);
366617a6SJeff Xu
366617a6SJeff Xu	while (!feof(inf)) {
366617a6SJeff Xu		if (!fgets(line, sizeof(line), inf))
366617a6SJeff Xu			break;
366617a6SJeff Xu		if (strncmp(line, str, slen))
366617a6SJeff Xu			continue;
366617a6SJeff Xu
366617a6SJeff Xu		return true;
366617a6SJeff Xu	}
366617a6SJeff Xu
366617a6SJeff Xu	return false;
366617a6SJeff Xu}
366617a6SJeff Xu
366617a6SJeff Xustatic bool supports_overlayfs(void)
366617a6SJeff Xu{
366617a6SJeff Xu	bool res;
366617a6SJeff Xu	FILE *const inf = fopen("/proc/filesystems", "r");
366617a6SJeff Xu
366617a6SJeff Xu	/*
366617a6SJeff Xu	 * Consider that the filesystem is supported if we cannot get the
366617a6SJeff Xu	 * supported ones.
366617a6SJeff Xu	 */
366617a6SJeff Xu	if (!inf)
366617a6SJeff Xu		return true;
366617a6SJeff Xu
366617a6SJeff Xu	res = fgrep(inf, "nodev\toverlay\n");
366617a6SJeff Xu	fclose(inf);
366617a6SJeff Xu	return res;
366617a6SJeff Xu}
366617a6SJeff Xu
e1199815SMickaël Salaünstatic void mkdir_parents(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			  const char *const path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	char *walker;
e1199815SMickaël Salaün	const char *parent;
e1199815SMickaël Salaün	int i, err;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_NE(path[0], '\0');
e1199815SMickaël Salaün	walker = strdup(path);
e1199815SMickaël Salaün	ASSERT_NE(NULL, walker);
e1199815SMickaël Salaün	parent = walker;
e1199815SMickaël Salaün	for (i = 1; walker[i]; i++) {
e1199815SMickaël Salaün		if (walker[i] != '/')
e1199815SMickaël Salaün			continue;
e1199815SMickaël Salaün		walker[i] = '\0';
e1199815SMickaël Salaün		err = mkdir(parent, 0700);
371183faSMickaël Salaün		ASSERT_FALSE(err && errno != EEXIST)
371183faSMickaël Salaün		{
371183faSMickaël Salaün			TH_LOG("Failed to create directory \"%s\": %s", parent,
371183faSMickaël Salaün			       strerror(errno));
e1199815SMickaël Salaün		}
e1199815SMickaël Salaün		walker[i] = '/';
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	free(walker);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void create_directory(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			     const char *const path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	mkdir_parents(_metadata, path);
371183faSMickaël Salaün	ASSERT_EQ(0, mkdir(path, 0700))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to create directory \"%s\": %s", path,
e1199815SMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void create_file(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			const char *const path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	mkdir_parents(_metadata, path);
371183faSMickaël Salaün	ASSERT_EQ(0, mknod(path, S_IFREG | 0700, 0))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to create file \"%s\": %s", path,
e1199815SMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic int remove_path(const char *const path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	char *walker;
e1199815SMickaël Salaün	int i, ret, err = 0;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	walker = strdup(path);
e1199815SMickaël Salaün	if (!walker) {
e1199815SMickaël Salaün		err = ENOMEM;
e1199815SMickaël Salaün		goto out;
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	if (unlink(path) && rmdir(path)) {
f4056b92SMickaël Salaün		if (errno != ENOENT && errno != ENOTDIR)
e1199815SMickaël Salaün			err = errno;
e1199815SMickaël Salaün		goto out;
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for (i = strlen(walker); i > 0; i--) {
e1199815SMickaël Salaün		if (walker[i] != '/')
e1199815SMickaël Salaün			continue;
e1199815SMickaël Salaün		walker[i] = '\0';
e1199815SMickaël Salaün		ret = rmdir(walker);
e1199815SMickaël Salaün		if (ret) {
e1199815SMickaël Salaün			if (errno != ENOTEMPTY && errno != EBUSY)
e1199815SMickaël Salaün				err = errno;
e1199815SMickaël Salaün			goto out;
e1199815SMickaël Salaün		}
e1199815SMickaël Salaün		if (strcmp(walker, TMP_DIR) == 0)
e1199815SMickaël Salaün			goto out;
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaünout:
e1199815SMickaël Salaün	free(walker);
e1199815SMickaël Salaün	return err;
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void prepare_layout(struct __test_metadata *const _metadata)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	disable_caps(_metadata);
e1199815SMickaël Salaün	umask(0077);
e1199815SMickaël Salaün	create_directory(_metadata, TMP_DIR);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Do not pollute the rest of the system: creates a private mount point
e1199815SMickaël Salaün	 * for tests relying on pivot_root(2) and move_mount(2).
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	ASSERT_EQ(0, unshare(CLONE_NEWNS));
e1199815SMickaël Salaün	ASSERT_EQ(0, mount("tmp", TMP_DIR, "tmpfs", 0, "size=4m,mode=700"));
e1199815SMickaël Salaün	ASSERT_EQ(0, mount(NULL, TMP_DIR, NULL, MS_PRIVATE | MS_REC, NULL));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void cleanup_layout(struct __test_metadata *const _metadata)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, umount(TMP_DIR));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(TMP_DIR));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
*592efeb4SMickaël Salaün/* clang-format off */
*592efeb4SMickaël SalaünFIXTURE(layout0) {};
*592efeb4SMickaël Salaün/* clang-format on */
*592efeb4SMickaël Salaün
*592efeb4SMickaël SalaünFIXTURE_SETUP(layout0)
*592efeb4SMickaël Salaün{
*592efeb4SMickaël Salaün	prepare_layout(_metadata);
*592efeb4SMickaël Salaün}
*592efeb4SMickaël Salaün
*592efeb4SMickaël SalaünFIXTURE_TEARDOWN(layout0)
*592efeb4SMickaël Salaün{
*592efeb4SMickaël Salaün	cleanup_layout(_metadata);
*592efeb4SMickaël Salaün}
*592efeb4SMickaël Salaün
e1199815SMickaël Salaünstatic void create_layout1(struct __test_metadata *const _metadata)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	create_file(_metadata, file1_s1d1);
e1199815SMickaël Salaün	create_file(_metadata, file1_s1d2);
e1199815SMickaël Salaün	create_file(_metadata, file1_s1d3);
e1199815SMickaël Salaün	create_file(_metadata, file2_s1d1);
e1199815SMickaël Salaün	create_file(_metadata, file2_s1d2);
e1199815SMickaël Salaün	create_file(_metadata, file2_s1d3);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	create_file(_metadata, file1_s2d1);
e1199815SMickaël Salaün	create_file(_metadata, file1_s2d2);
e1199815SMickaël Salaün	create_file(_metadata, file1_s2d3);
e1199815SMickaël Salaün	create_file(_metadata, file2_s2d3);
e1199815SMickaël Salaün
225351abSGünther Noack	create_file(_metadata, file1_s3d1);
e1199815SMickaël Salaün	create_directory(_metadata, dir_s3d2);
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	ASSERT_EQ(0, mount("tmp", dir_s3d2, "tmpfs", 0, "size=4m,mode=700"));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, mkdir(dir_s3d3, 0700));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void remove_layout1(struct __test_metadata *const _metadata)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file2_s1d3));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file2_s1d2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file2_s1d1));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file1_s1d3));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file1_s1d2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file1_s1d1));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file2_s2d3));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file1_s2d3));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file1_s2d2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(file1_s2d1));
e1199815SMickaël Salaün
225351abSGünther Noack	EXPECT_EQ(0, remove_path(file1_s3d1));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(dir_s3d3));
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	umount(dir_s3d2);
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(dir_s3d2));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
4598d9abSMickaël Salaün/* clang-format off */
4598d9abSMickaël SalaünFIXTURE(layout1) {};
4598d9abSMickaël Salaün/* clang-format on */
e1199815SMickaël Salaün
e1199815SMickaël SalaünFIXTURE_SETUP(layout1)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	prepare_layout(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	create_layout1(_metadata);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünFIXTURE_TEARDOWN(layout1)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	remove_layout1(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	cleanup_layout(_metadata);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaün/*
e1199815SMickaël Salaün * This helper enables to use the ASSERT_* macros and print the line number
e1199815SMickaël Salaün * pointing to the test caller.
e1199815SMickaël Salaün */
371183faSMickaël Salaünstatic int test_open_rel(const int dirfd, const char *const path,
371183faSMickaël Salaün			 const int flags)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	int fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Works with file and directories. */
e1199815SMickaël Salaün	fd = openat(dirfd, path, flags | O_CLOEXEC);
e1199815SMickaël Salaün	if (fd < 0)
e1199815SMickaël Salaün		return errno;
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Mixing error codes from close(2) and open(2) should not lead to any
e1199815SMickaël Salaün	 * (access type) confusion for this test.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	if (close(fd) != 0)
e1199815SMickaël Salaün		return errno;
e1199815SMickaël Salaün	return 0;
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic int test_open(const char *const path, const int flags)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	return test_open_rel(AT_FDCWD, path, flags);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, no_restriction)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file2_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file2_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, inval)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	struct landlock_path_beneath_attr path_beneath = {
e1199815SMickaël Salaün		.allowed_access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		.parent_fd = -1,
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	struct landlock_ruleset_attr ruleset_attr = {
e1199815SMickaël Salaün		.handled_access_fs = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				     LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
371183faSMickaël Salaün	path_beneath.parent_fd =
371183faSMickaël Salaün		open(dir_s1d2, O_PATH | O_DIRECTORY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, path_beneath.parent_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = open(dir_s1d1, O_PATH | O_DIRECTORY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	/* Returns EBADF because ruleset_fd is not a landlock-ruleset FD. */
e1199815SMickaël Salaün	ASSERT_EQ(EBADF, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = open(dir_s1d1, O_DIRECTORY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	/* Returns EBADFD because ruleset_fd is not a valid ruleset. */
e1199815SMickaël Salaün	ASSERT_EQ(EBADFD, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Gets a real ruleset. */
371183faSMickaël Salaün	ruleset_fd =
371183faSMickaël Salaün		landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün				       &path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(0, close(path_beneath.parent_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Tests without O_PATH. */
e1199815SMickaël Salaün	path_beneath.parent_fd = open(dir_s1d2, O_DIRECTORY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, path_beneath.parent_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün				       &path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(0, close(path_beneath.parent_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Tests with a ruleset FD. */
e1199815SMickaël Salaün	path_beneath.parent_fd = ruleset_fd;
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EBADFD, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks unhandled allowed_access. */
371183faSMickaël Salaün	path_beneath.parent_fd =
371183faSMickaël Salaün		open(dir_s1d2, O_PATH | O_DIRECTORY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, path_beneath.parent_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Test with legitimate values. */
e1199815SMickaël Salaün	path_beneath.allowed_access |= LANDLOCK_ACCESS_FS_EXECUTE;
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EINVAL, errno);
e1199815SMickaël Salaün	path_beneath.allowed_access &= ~LANDLOCK_ACCESS_FS_EXECUTE;
e1199815SMickaël Salaün
55e55920SMickaël Salaün	/* Tests with denied-by-default access right. */
55e55920SMickaël Salaün	path_beneath.allowed_access |= LANDLOCK_ACCESS_FS_REFER;
55e55920SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
55e55920SMickaël Salaün					&path_beneath, 0));
55e55920SMickaël Salaün	ASSERT_EQ(EINVAL, errno);
55e55920SMickaël Salaün	path_beneath.allowed_access &= ~LANDLOCK_ACCESS_FS_REFER;
55e55920SMickaël Salaün
e1199815SMickaël Salaün	/* Test with unknown (64-bits) value. */
e1199815SMickaël Salaün	path_beneath.allowed_access |= (1ULL << 60);
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EINVAL, errno);
e1199815SMickaël Salaün	path_beneath.allowed_access &= ~(1ULL << 60);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Test with no access. */
e1199815SMickaël Salaün	path_beneath.allowed_access = 0;
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(ENOMSG, errno);
e1199815SMickaël Salaün	path_beneath.allowed_access &= ~(1ULL << 60);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, close(path_beneath.parent_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Enforces the ruleset. */
e1199815SMickaël Salaün	ASSERT_EQ(0, prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0));
e1199815SMickaël Salaün	ASSERT_EQ(0, landlock_restrict_self(ruleset_fd, 0));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
4598d9abSMickaël Salaün/* clang-format off */
4598d9abSMickaël Salaün
e1199815SMickaël Salaün#define ACCESS_FILE ( \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_EXECUTE | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_WRITE_FILE | \
b9f5ce27SGünther Noack	LANDLOCK_ACCESS_FS_READ_FILE | \
b9f5ce27SGünther Noack	LANDLOCK_ACCESS_FS_TRUNCATE)
e1199815SMickaël Salaün
b9f5ce27SGünther Noack#define ACCESS_LAST LANDLOCK_ACCESS_FS_TRUNCATE
e1199815SMickaël Salaün
e1199815SMickaël Salaün#define ACCESS_ALL ( \
e1199815SMickaël Salaün	ACCESS_FILE | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_READ_DIR | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_REMOVE_DIR | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_REMOVE_FILE | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_CHAR | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_DIR | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_REG | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_SOCK | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_FIFO | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_BLOCK | \
b91c3e4eSMickaël Salaün	LANDLOCK_ACCESS_FS_MAKE_SYM | \
b9f5ce27SGünther Noack	LANDLOCK_ACCESS_FS_REFER)
e1199815SMickaël Salaün
4598d9abSMickaël Salaün/* clang-format on */
4598d9abSMickaël Salaün
d18955d0SMickaël SalaünTEST_F_FORK(layout1, file_and_dir_access_rights)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	__u64 access;
e1199815SMickaël Salaün	int err;
d18955d0SMickaël Salaün	struct landlock_path_beneath_attr path_beneath_file = {},
d18955d0SMickaël Salaün					  path_beneath_dir = {};
e1199815SMickaël Salaün	struct landlock_ruleset_attr ruleset_attr = {
e1199815SMickaël Salaün		.handled_access_fs = ACCESS_ALL,
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Tests access rights for files. */
d18955d0SMickaël Salaün	path_beneath_file.parent_fd = open(file1_s1d2, O_PATH | O_CLOEXEC);
d18955d0SMickaël Salaün	ASSERT_LE(0, path_beneath_file.parent_fd);
d18955d0SMickaël Salaün
d18955d0SMickaël Salaün	/* Tests access rights for directories. */
d18955d0SMickaël Salaün	path_beneath_dir.parent_fd =
d18955d0SMickaël Salaün		open(dir_s1d2, O_PATH | O_DIRECTORY | O_CLOEXEC);
d18955d0SMickaël Salaün	ASSERT_LE(0, path_beneath_dir.parent_fd);
d18955d0SMickaël Salaün
e1199815SMickaël Salaün	for (access = 1; access <= ACCESS_LAST; access <<= 1) {
d18955d0SMickaël Salaün		path_beneath_dir.allowed_access = access;
d18955d0SMickaël Salaün		ASSERT_EQ(0, landlock_add_rule(ruleset_fd,
d18955d0SMickaël Salaün					       LANDLOCK_RULE_PATH_BENEATH,
d18955d0SMickaël Salaün					       &path_beneath_dir, 0));
d18955d0SMickaël Salaün
d18955d0SMickaël Salaün		path_beneath_file.allowed_access = access;
e1199815SMickaël Salaün		err = landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
d18955d0SMickaël Salaün					&path_beneath_file, 0);
d18955d0SMickaël Salaün		if (access & ACCESS_FILE) {
e1199815SMickaël Salaün			ASSERT_EQ(0, err);
e1199815SMickaël Salaün		} else {
e1199815SMickaël Salaün			ASSERT_EQ(-1, err);
e1199815SMickaël Salaün			ASSERT_EQ(EINVAL, errno);
e1199815SMickaël Salaün		}
e1199815SMickaël Salaün	}
d18955d0SMickaël Salaün	ASSERT_EQ(0, close(path_beneath_file.parent_fd));
d18955d0SMickaël Salaün	ASSERT_EQ(0, close(path_beneath_dir.parent_fd));
d18955d0SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
*592efeb4SMickaël SalaünTEST_F_FORK(layout0, unknown_access_rights)
c56b3bf5SMickaël Salaün{
c56b3bf5SMickaël Salaün	__u64 access_mask;
c56b3bf5SMickaël Salaün
c56b3bf5SMickaël Salaün	for (access_mask = 1ULL << 63; access_mask != ACCESS_LAST;
c56b3bf5SMickaël Salaün	     access_mask >>= 1) {
c56b3bf5SMickaël Salaün		struct landlock_ruleset_attr ruleset_attr = {
c56b3bf5SMickaël Salaün			.handled_access_fs = access_mask,
c56b3bf5SMickaël Salaün		};
c56b3bf5SMickaël Salaün
c56b3bf5SMickaël Salaün		ASSERT_EQ(-1, landlock_create_ruleset(&ruleset_attr,
c56b3bf5SMickaël Salaün						      sizeof(ruleset_attr), 0));
c56b3bf5SMickaël Salaün		ASSERT_EQ(EINVAL, errno);
c56b3bf5SMickaël Salaün	}
c56b3bf5SMickaël Salaün}
c56b3bf5SMickaël Salaün
e1199815SMickaël Salaünstatic void add_path_beneath(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			     const int ruleset_fd, const __u64 allowed_access,
e1199815SMickaël Salaün			     const char *const path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	struct landlock_path_beneath_attr path_beneath = {
e1199815SMickaël Salaün		.allowed_access = allowed_access,
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün
e1199815SMickaël Salaün	path_beneath.parent_fd = open(path, O_PATH | O_CLOEXEC);
371183faSMickaël Salaün	ASSERT_LE(0, path_beneath.parent_fd)
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to open directory \"%s\": %s", path,
e1199815SMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(0, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
371183faSMickaël Salaün				       &path_beneath, 0))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to update the ruleset with \"%s\": %s", path,
e1199815SMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(0, close(path_beneath.parent_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstruct rule {
e1199815SMickaël Salaün	const char *path;
e1199815SMickaël Salaün	__u64 access;
e1199815SMickaël Salaün};
e1199815SMickaël Salaün
4598d9abSMickaël Salaün/* clang-format off */
4598d9abSMickaël Salaün
e1199815SMickaël Salaün#define ACCESS_RO ( \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_READ_FILE | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_READ_DIR)
e1199815SMickaël Salaün
e1199815SMickaël Salaün#define ACCESS_RW ( \
e1199815SMickaël Salaün	ACCESS_RO | \
e1199815SMickaël Salaün	LANDLOCK_ACCESS_FS_WRITE_FILE)
e1199815SMickaël Salaün
4598d9abSMickaël Salaün/* clang-format on */
4598d9abSMickaël Salaün
e1199815SMickaël Salaünstatic int create_ruleset(struct __test_metadata *const _metadata,
371183faSMickaël Salaün			  const __u64 handled_access_fs,
371183faSMickaël Salaün			  const struct rule rules[])
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	int ruleset_fd, i;
e1199815SMickaël Salaün	struct landlock_ruleset_attr ruleset_attr = {
e1199815SMickaël Salaün		.handled_access_fs = handled_access_fs,
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün
371183faSMickaël Salaün	ASSERT_NE(NULL, rules)
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("No rule list");
e1199815SMickaël Salaün	}
371183faSMickaël Salaün	ASSERT_NE(NULL, rules[0].path)
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Empty rule list");
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
371183faSMickaël Salaün	ruleset_fd =
371183faSMickaël Salaün		landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
371183faSMickaël Salaün	ASSERT_LE(0, ruleset_fd)
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to create a ruleset: %s", strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	for (i = 0; rules[i].path; i++) {
e1199815SMickaël Salaün		add_path_beneath(_metadata, ruleset_fd, rules[i].access,
e1199815SMickaël Salaün				 rules[i].path);
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	return ruleset_fd;
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void enforce_ruleset(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			    const int ruleset_fd)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	ASSERT_EQ(0, prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0));
371183faSMickaël Salaün	ASSERT_EQ(0, landlock_restrict_self(ruleset_fd, 0))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to enforce ruleset: %s", strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
*592efeb4SMickaël SalaünTEST_F_FORK(layout0, proc_nsfs)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = "/dev/null",
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	struct landlock_path_beneath_attr path_beneath;
371183faSMickaël Salaün	const int ruleset_fd = create_ruleset(
371183faSMickaël Salaün		_metadata, rules[0].access | LANDLOCK_ACCESS_FS_READ_DIR,
371183faSMickaël Salaün		rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open("/proc/self/ns/mnt", O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/dev", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open("/dev/null", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/dev/full", O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/proc", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/proc/self", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/proc/self/ns", O_RDONLY));
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Because nsfs is an internal filesystem, /proc/self/ns/mnt is a
e1199815SMickaël Salaün	 * disconnected path.  Such path cannot be identified and must then be
e1199815SMickaël Salaün	 * allowed.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open("/proc/self/ns/mnt", O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Checks that it is not possible to add nsfs-like filesystem
e1199815SMickaël Salaün	 * references to a ruleset.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	path_beneath.allowed_access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				      LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün	path_beneath.parent_fd = open("/proc/self/ns/mnt", O_PATH | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, path_beneath.parent_fd);
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH,
e1199815SMickaël Salaün					&path_beneath, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EBADFD, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(path_beneath.parent_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
*592efeb4SMickaël SalaünTEST_F_FORK(layout0, unpriv)
371183faSMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
*592efeb4SMickaël Salaün			.path = TMP_DIR,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	drop_caps(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RO, rules);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(-1, landlock_restrict_self(ruleset_fd, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EPERM, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* enforce_ruleset() calls prctl(no_new_privs). */
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, effective_access)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = file1_s2d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün	char buf;
e1199815SMickaël Salaün	int reg_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
d1788ad9SMickaël Salaün	/* Tests on a directory (with or without O_PATH). */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/", O_RDONLY));
d1788ad9SMickaël Salaün	ASSERT_EQ(0, test_open("/", O_RDONLY | O_PATH));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY));
d1788ad9SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY | O_PATH));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
d1788ad9SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_RDONLY | O_PATH));
d1788ad9SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün
d1788ad9SMickaël Salaün	/* Tests on a file (with or without O_PATH). */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s2d2, O_RDONLY));
d1788ad9SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d2, O_RDONLY | O_PATH));
d1788ad9SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d2, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks effective read and write actions. */
e1199815SMickaël Salaün	reg_fd = open(file1_s2d2, O_RDWR | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, reg_fd);
e1199815SMickaël Salaün	ASSERT_EQ(1, write(reg_fd, ".", 1));
e1199815SMickaël Salaün	ASSERT_LE(0, lseek(reg_fd, 0, SEEK_SET));
e1199815SMickaël Salaün	ASSERT_EQ(1, read(reg_fd, &buf, 1));
e1199815SMickaël Salaün	ASSERT_EQ('.', buf);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(reg_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Just in case, double-checks effective actions. */
e1199815SMickaël Salaün	reg_fd = open(file1_s2d2, O_RDONLY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, reg_fd);
e1199815SMickaël Salaün	ASSERT_EQ(-1, write(reg_fd, &buf, 1));
e1199815SMickaël Salaün	ASSERT_EQ(EBADF, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(reg_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, unhandled_access)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* Here, we only handle read accesses, not write accesses. */
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RO, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Because the policy does not handle LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün	 * opening for write-only should be allowed, but not read-write.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDWR));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDWR));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, ruleset_overlap)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		/* These rules should be ORed among them. */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_READ_DIR,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks s1d1 hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks s1d2 hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks s1d3 hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
8ba0005fSMickaël SalaünTEST_F_FORK(layout1, layer_rule_unions)
8ba0005fSMickaël Salaün{
8ba0005fSMickaël Salaün	const struct rule layer1[] = {
8ba0005fSMickaël Salaün		{
8ba0005fSMickaël Salaün			.path = dir_s1d2,
8ba0005fSMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
8ba0005fSMickaël Salaün		},
8ba0005fSMickaël Salaün		/* dir_s1d3 should allow READ_FILE and WRITE_FILE (O_RDWR). */
8ba0005fSMickaël Salaün		{
8ba0005fSMickaël Salaün			.path = dir_s1d3,
8ba0005fSMickaël Salaün			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
8ba0005fSMickaël Salaün		},
8ba0005fSMickaël Salaün		{},
8ba0005fSMickaël Salaün	};
8ba0005fSMickaël Salaün	const struct rule layer2[] = {
8ba0005fSMickaël Salaün		/* Doesn't change anything from layer1. */
8ba0005fSMickaël Salaün		{
8ba0005fSMickaël Salaün			.path = dir_s1d2,
8ba0005fSMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
8ba0005fSMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
8ba0005fSMickaël Salaün		},
8ba0005fSMickaël Salaün		{},
8ba0005fSMickaël Salaün	};
8ba0005fSMickaël Salaün	const struct rule layer3[] = {
8ba0005fSMickaël Salaün		/* Only allows write (but not read) to dir_s1d3. */
8ba0005fSMickaël Salaün		{
8ba0005fSMickaël Salaün			.path = dir_s1d2,
8ba0005fSMickaël Salaün			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
8ba0005fSMickaël Salaün		},
8ba0005fSMickaël Salaün		{},
8ba0005fSMickaël Salaün	};
8ba0005fSMickaël Salaün	int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer1);
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	ASSERT_LE(0, ruleset_fd);
8ba0005fSMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
8ba0005fSMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d1 hierarchy with layer1. */
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d2 hierarchy with layer1. */
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d3 hierarchy with layer1. */
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_WRONLY));
8ba0005fSMickaël Salaün	/* dir_s1d3 should allow READ_FILE and WRITE_FILE (O_RDWR). */
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Doesn't change anything from layer1. */
8ba0005fSMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer2);
8ba0005fSMickaël Salaün	ASSERT_LE(0, ruleset_fd);
8ba0005fSMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
8ba0005fSMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d1 hierarchy with layer2. */
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d2 hierarchy with layer2. */
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d3 hierarchy with layer2. */
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_WRONLY));
8ba0005fSMickaël Salaün	/* dir_s1d3 should allow READ_FILE and WRITE_FILE (O_RDWR). */
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Only allows write (but not read) to dir_s1d3. */
8ba0005fSMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer3);
8ba0005fSMickaël Salaün	ASSERT_LE(0, ruleset_fd);
8ba0005fSMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
8ba0005fSMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d1 hierarchy with layer3. */
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d2 hierarchy with layer3. */
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün
8ba0005fSMickaël Salaün	/* Checks s1d3 hierarchy with layer3. */
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_RDONLY));
8ba0005fSMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_WRONLY));
8ba0005fSMickaël Salaün	/* dir_s1d3 should now deny READ_FILE and WRITE_FILE (O_RDWR). */
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_RDWR));
8ba0005fSMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
8ba0005fSMickaël Salaün}
8ba0005fSMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, non_overlapping_accesses)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule layer1[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer2[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün
371183faSMickaël Salaün	ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, LANDLOCK_ACCESS_FS_MAKE_REG, layer1);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(-1, mknod(file1_s1d1, S_IFREG | 0700, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, mknod(file1_s1d2, S_IFREG | 0700, 0));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, LANDLOCK_ACCESS_FS_REMOVE_FILE,
e1199815SMickaël Salaün				    layer2);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Unchanged accesses for file creation. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, mknod(file1_s1d1, S_IFREG | 0700, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, mknod(file1_s1d2, S_IFREG | 0700, 0));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks file removing. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, interleaved_masked_accesses)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Checks overly restrictive rules:
e1199815SMickaël Salaün	 * layer 1: allows R   s1d1/s1d2/s1d3/file1
e1199815SMickaël Salaün	 * layer 2: allows RW  s1d1/s1d2/s1d3
e1199815SMickaël Salaün	 *          allows  W  s1d1/s1d2
e1199815SMickaël Salaün	 *          denies R   s1d1/s1d2
e1199815SMickaël Salaün	 * layer 3: allows R   s1d1
e1199815SMickaël Salaün	 * layer 4: allows R   s1d1/s1d2
e1199815SMickaël Salaün	 *          denies  W  s1d1/s1d2
e1199815SMickaël Salaün	 * layer 5: allows R   s1d1/s1d2
e1199815SMickaël Salaün	 * layer 6: allows   X ----
e1199815SMickaël Salaün	 * layer 7: allows  W  s1d1/s1d2
e1199815SMickaël Salaün	 *          denies R   s1d1/s1d2
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	const struct rule layer1_read[] = {
e1199815SMickaël Salaün		/* Allows read access to file1_s1d3 with the first layer. */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = file1_s1d3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* First rule with write restrictions. */
e1199815SMickaël Salaün	const struct rule layer2_read_write[] = {
e1199815SMickaël Salaün		/* Start by granting read-write access via its parent directory... */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		/* ...but also denies read access via its grandparent directory. */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer3_read[] = {
e1199815SMickaël Salaün		/* Allows read access via its great-grandparent directory. */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer4_read_write[] = {
e1199815SMickaël Salaün		/*
e1199815SMickaël Salaün		 * Try to confuse the deny access by denying write (but not
e1199815SMickaël Salaün		 * read) access via its grandparent directory.
e1199815SMickaël Salaün		 */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer5_read[] = {
e1199815SMickaël Salaün		/*
e1199815SMickaël Salaün		 * Try to override layer2's deny read access by explicitly
e1199815SMickaël Salaün		 * allowing read access via file1_s1d3's grandparent.
e1199815SMickaël Salaün		 */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer6_execute[] = {
e1199815SMickaël Salaün		/*
e1199815SMickaël Salaün		 * Restricts an unrelated file hierarchy with a new access
e1199815SMickaël Salaün		 * (non-overlapping) type.
e1199815SMickaël Salaün		 */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s2d1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_EXECUTE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer7_read_write[] = {
e1199815SMickaël Salaün		/*
e1199815SMickaël Salaün		 * Finally, denies read access to file1_s1d3 via its
e1199815SMickaël Salaün		 * grandparent.
e1199815SMickaël Salaün		 */
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün				    layer1_read);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks that read access is granted for file1_s1d3 with layer 1. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün
371183faSMickaël Salaün	ruleset_fd = create_ruleset(_metadata,
371183faSMickaël Salaün				    LANDLOCK_ACCESS_FS_READ_FILE |
371183faSMickaël Salaün					    LANDLOCK_ACCESS_FS_WRITE_FILE,
371183faSMickaël Salaün				    layer2_read_write);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks that previous access rights are unchanged with layer 2. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün				    layer3_read);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks that previous access rights are unchanged with layer 3. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* This time, denies write access for the file hierarchy. */
371183faSMickaël Salaün	ruleset_fd = create_ruleset(_metadata,
371183faSMickaël Salaün				    LANDLOCK_ACCESS_FS_READ_FILE |
371183faSMickaël Salaün					    LANDLOCK_ACCESS_FS_WRITE_FILE,
371183faSMickaël Salaün				    layer4_read_write);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Checks that the only change with layer 4 is that write access is
e1199815SMickaël Salaün	 * denied.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün				    layer5_read);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks that previous access rights are unchanged with layer 5. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, LANDLOCK_ACCESS_FS_EXECUTE,
e1199815SMickaël Salaün				    layer6_execute);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks that previous access rights are unchanged with layer 6. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün
371183faSMickaël Salaün	ruleset_fd = create_ruleset(_metadata,
371183faSMickaël Salaün				    LANDLOCK_ACCESS_FS_READ_FILE |
371183faSMickaël Salaün					    LANDLOCK_ACCESS_FS_WRITE_FILE,
371183faSMickaël Salaün				    layer7_read_write);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks read access is now denied with layer 7. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file2_s1d3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, inherit_subset)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_READ_DIR,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Write access is forbidden. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Write access is forbidden. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Tests shared rule extension: the following rules should not grant
e1199815SMickaël Salaün	 * any new access, only remove some.  Once enforced, these rules are
e1199815SMickaël Salaün	 * ANDed with the previous ones.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	add_path_beneath(_metadata, ruleset_fd, LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün			 dir_s1d2);
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * According to ruleset_fd, dir_s1d2 should now have the
e1199815SMickaël Salaün	 * LANDLOCK_ACCESS_FS_READ_FILE and LANDLOCK_ACCESS_FS_WRITE_FILE
e1199815SMickaël Salaün	 * access rights (even if this directory is opened a second time).
e1199815SMickaël Salaün	 * However, when enforcing this updated ruleset, the ruleset tied to
e1199815SMickaël Salaün	 * the current process (i.e. its domain) will still only have the
e1199815SMickaël Salaün	 * dir_s1d2 with LANDLOCK_ACCESS_FS_READ_FILE and
e1199815SMickaël Salaün	 * LANDLOCK_ACCESS_FS_READ_DIR accesses, but
e1199815SMickaël Salaün	 * LANDLOCK_ACCESS_FS_WRITE_FILE must not be allowed because it would
e1199815SMickaël Salaün	 * be a privilege escalation.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Same tests and results as above. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* It is still forbidden to write in file1_s1d2. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is still allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* It is still forbidden to write in file1_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is still allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Try to get more privileges by adding new access rights to the parent
e1199815SMickaël Salaün	 * directory: dir_s1d1.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	add_path_beneath(_metadata, ruleset_fd, ACCESS_RW, dir_s1d1);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Same tests and results as above. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* It is still forbidden to write in file1_s1d2. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is still allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* It is still forbidden to write in file1_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is still allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Now, dir_s1d3 get a new rule tied to it, only allowing
e1199815SMickaël Salaün	 * LANDLOCK_ACCESS_FS_WRITE_FILE.  The (kernel internal) difference is
e1199815SMickaël Salaün	 * that there was no rule tied to it before.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	add_path_beneath(_metadata, ruleset_fd, LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün			 dir_s1d3);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Same tests and results as above, except for open(dir_s1d3) which is
e1199815SMickaël Salaün	 * now denied because the new rule mask the rule previously inherited
e1199815SMickaël Salaün	 * from dir_s1d2.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Same tests and results as above. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* It is still forbidden to write in file1_s1d2. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	/* Readdir access is still allowed. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* It is still forbidden to write in file1_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Readdir of dir_s1d3 is still allowed because of the OR policy inside
e1199815SMickaël Salaün	 * the same layer.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, inherit_superset)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d3,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Readdir access is denied for dir_s1d2. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	/* Readdir access is allowed for dir_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	/* File access is allowed for file1_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Now dir_s1d2, parent of dir_s1d3, gets a new rule tied to it. */
371183faSMickaël Salaün	add_path_beneath(_metadata, ruleset_fd,
371183faSMickaël Salaün			 LANDLOCK_ACCESS_FS_READ_FILE |
371183faSMickaël Salaün				 LANDLOCK_ACCESS_FS_READ_DIR,
371183faSMickaël Salaün			 dir_s1d2);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Readdir access is still denied for dir_s1d2. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	/* Readdir access is still allowed for dir_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	/* File access is still allowed for file1_s1d3. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
*592efeb4SMickaël SalaünTEST_F_FORK(layout0, max_layers)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	int i, err;
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
*592efeb4SMickaël Salaün			.path = TMP_DIR,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
75c542d6SMickaël Salaün	for (i = 0; i < 16; i++)
e1199815SMickaël Salaün		enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	for (i = 0; i < 2; i++) {
e1199815SMickaël Salaün		err = landlock_restrict_self(ruleset_fd, 0);
e1199815SMickaël Salaün		ASSERT_EQ(-1, err);
e1199815SMickaël Salaün		ASSERT_EQ(E2BIG, errno);
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, empty_or_same_ruleset)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	struct landlock_ruleset_attr ruleset_attr = {};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Tests empty handled_access_fs. */
371183faSMickaël Salaün	ruleset_fd =
371183faSMickaël Salaün		landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
e1199815SMickaël Salaün	ASSERT_LE(-1, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(ENOMSG, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Enforces policy which deny read access to all files. */
e1199815SMickaël Salaün	ruleset_attr.handled_access_fs = LANDLOCK_ACCESS_FS_READ_FILE;
371183faSMickaël Salaün	ruleset_fd =
371183faSMickaël Salaün		landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Nests a policy which deny read access to all directories. */
e1199815SMickaël Salaün	ruleset_attr.handled_access_fs = LANDLOCK_ACCESS_FS_READ_DIR;
371183faSMickaël Salaün	ruleset_fd =
371183faSMickaël Salaün		landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Enforces a second time with the same ruleset. */
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, rule_on_mountpoint)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d1,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			/* dir_s3d2 is a mount point. */
e1199815SMickaël Salaün			.path = dir_s3d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s2d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s3d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, rule_over_mountpoint)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d1,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			/* dir_s3d2 is a mount point. */
e1199815SMickaël Salaün			.path = dir_s3d1,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s2d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaün/*
e1199815SMickaël Salaün * This test verifies that we can apply a landlock rule on the root directory
e1199815SMickaël Salaün * (which might require special handling).
e1199815SMickaël Salaün */
e1199815SMickaël SalaünTEST_F_FORK(layout1, rule_over_root_allow_then_deny)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = "/",
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks allowed access. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open("/", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	rules[0].access = LANDLOCK_ACCESS_FS_READ_FILE;
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks denied access (on a directory). */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, rule_over_root_deny)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = "/",
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks denied access (on a directory). */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, rule_inside_mount_ns)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = "s3d3",
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
87129ef1SMickaël Salaün	ASSERT_EQ(0, syscall(__NR_pivot_root, dir_s3d2, dir_s3d3))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to pivot root: %s", strerror(errno));
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	ASSERT_EQ(0, chdir("/"));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open("s3d3", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open("/", O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, mount_and_pivot)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s3d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	ASSERT_EQ(-1, mount(NULL, dir_s3d2, NULL, MS_RDONLY, NULL));
e1199815SMickaël Salaün	ASSERT_EQ(EPERM, errno);
87129ef1SMickaël Salaün	ASSERT_EQ(-1, syscall(__NR_pivot_root, dir_s3d2, dir_s3d3));
e1199815SMickaël Salaün	ASSERT_EQ(EPERM, errno);
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, move_mount)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s3d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
87129ef1SMickaël Salaün	ASSERT_EQ(0, syscall(__NR_move_mount, AT_FDCWD, dir_s3d2, AT_FDCWD,
371183faSMickaël Salaün			     dir_s1d2, 0))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to move mount: %s", strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
87129ef1SMickaël Salaün	ASSERT_EQ(0, syscall(__NR_move_mount, AT_FDCWD, dir_s1d2, AT_FDCWD,
e1199815SMickaël Salaün			     dir_s3d2, 0));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
87129ef1SMickaël Salaün	ASSERT_EQ(-1, syscall(__NR_move_mount, AT_FDCWD, dir_s3d2, AT_FDCWD,
e1199815SMickaël Salaün			      dir_s1d2, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EPERM, errno);
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, release_inodes)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d1,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s3d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s3d3,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, ACCESS_RW, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	/* Unmount a file hierarchy while it is being used by a ruleset. */
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	ASSERT_EQ(0, umount(dir_s3d2));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s3d2, O_RDONLY));
e1199815SMickaël Salaün	/* This dir_s3d3 would not be allowed and does not exist anyway. */
e1199815SMickaël Salaün	ASSERT_EQ(ENOENT, test_open(dir_s3d3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünenum relative_access {
e1199815SMickaël Salaün	REL_OPEN,
e1199815SMickaël Salaün	REL_CHDIR,
e1199815SMickaël Salaün	REL_CHROOT_ONLY,
e1199815SMickaël Salaün	REL_CHROOT_CHDIR,
e1199815SMickaël Salaün};
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void test_relative_path(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			       const enum relative_access rel)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Common layer to check that chroot doesn't ignore it (i.e. a chroot
e1199815SMickaël Salaün	 * is not a disconnected root directory).
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	const struct rule layer1_base[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = TMP_DIR,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer2_subs[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s2d2,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int dirfd, ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer1_base);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer2_subs);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	switch (rel) {
e1199815SMickaël Salaün	case REL_OPEN:
e1199815SMickaël Salaün	case REL_CHDIR:
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	case REL_CHROOT_ONLY:
e1199815SMickaël Salaün		ASSERT_EQ(0, chdir(dir_s2d2));
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	case REL_CHROOT_CHDIR:
e1199815SMickaël Salaün		ASSERT_EQ(0, chdir(dir_s1d2));
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	default:
e1199815SMickaël Salaün		ASSERT_TRUE(false);
e1199815SMickaël Salaün		return;
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_CHROOT);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	switch (rel) {
e1199815SMickaël Salaün	case REL_OPEN:
e1199815SMickaël Salaün		dirfd = open(dir_s1d2, O_DIRECTORY);
e1199815SMickaël Salaün		ASSERT_LE(0, dirfd);
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	case REL_CHDIR:
e1199815SMickaël Salaün		ASSERT_EQ(0, chdir(dir_s1d2));
e1199815SMickaël Salaün		dirfd = AT_FDCWD;
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	case REL_CHROOT_ONLY:
e1199815SMickaël Salaün		/* Do chroot into dir_s1d2 (relative to dir_s2d2). */
371183faSMickaël Salaün		ASSERT_EQ(0, chroot("../../s1d1/s1d2"))
371183faSMickaël Salaün		{
e1199815SMickaël Salaün			TH_LOG("Failed to chroot: %s", strerror(errno));
e1199815SMickaël Salaün		}
e1199815SMickaël Salaün		dirfd = AT_FDCWD;
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	case REL_CHROOT_CHDIR:
e1199815SMickaël Salaün		/* Do chroot into dir_s1d2. */
371183faSMickaël Salaün		ASSERT_EQ(0, chroot("."))
371183faSMickaël Salaün		{
e1199815SMickaël Salaün			TH_LOG("Failed to chroot: %s", strerror(errno));
e1199815SMickaël Salaün		}
e1199815SMickaël Salaün		dirfd = AT_FDCWD;
e1199815SMickaël Salaün		break;
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ((rel == REL_CHROOT_CHDIR) ? 0 : EACCES,
e1199815SMickaël Salaün		  test_open_rel(dirfd, "..", O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open_rel(dirfd, ".", O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	if (rel == REL_CHROOT_ONLY) {
e1199815SMickaël Salaün		/* The current directory is dir_s2d2. */
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "./s2d3", O_RDONLY));
e1199815SMickaël Salaün	} else {
e1199815SMickaël Salaün		/* The current directory is dir_s1d2. */
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "./s1d3", O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	if (rel == REL_CHROOT_ONLY || rel == REL_CHROOT_CHDIR) {
e1199815SMickaël Salaün		/* Checks the root dir_s1d2. */
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "/..", O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "/", O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "/f1", O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "/s1d3", O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	if (rel != REL_CHROOT_CHDIR) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open_rel(dirfd, "../../s1d1", O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "../../s1d1/s1d2", O_RDONLY));
371183faSMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "../../s1d1/s1d2/s1d3",
371183faSMickaël Salaün					   O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open_rel(dirfd, "../../s2d1", O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "../../s2d1/s2d2", O_RDONLY));
371183faSMickaël Salaün		ASSERT_EQ(0, test_open_rel(dirfd, "../../s2d1/s2d2/s2d3",
371183faSMickaël Salaün					   O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	if (rel == REL_OPEN)
e1199815SMickaël Salaün		ASSERT_EQ(0, close(dirfd));
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, relative_open)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_relative_path(_metadata, REL_OPEN);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, relative_chdir)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_relative_path(_metadata, REL_CHDIR);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, relative_chroot_only)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_relative_path(_metadata, REL_CHROOT_ONLY);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, relative_chroot_chdir)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_relative_path(_metadata, REL_CHROOT_CHDIR);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void copy_binary(struct __test_metadata *const _metadata,
e1199815SMickaël Salaün			const char *const dst_path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	int dst_fd, src_fd;
e1199815SMickaël Salaün	struct stat statbuf;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	dst_fd = open(dst_path, O_WRONLY | O_TRUNC | O_CLOEXEC);
371183faSMickaël Salaün	ASSERT_LE(0, dst_fd)
371183faSMickaël Salaün	{
371183faSMickaël Salaün		TH_LOG("Failed to open \"%s\": %s", dst_path, strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	src_fd = open(BINARY_PATH, O_RDONLY | O_CLOEXEC);
371183faSMickaël Salaün	ASSERT_LE(0, src_fd)
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to open \"" BINARY_PATH "\": %s",
e1199815SMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(0, fstat(src_fd, &statbuf));
371183faSMickaël Salaün	ASSERT_EQ(statbuf.st_size,
371183faSMickaël Salaün		  sendfile(dst_fd, src_fd, 0, statbuf.st_size));
e1199815SMickaël Salaün	ASSERT_EQ(0, close(src_fd));
e1199815SMickaël Salaün	ASSERT_EQ(0, close(dst_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
371183faSMickaël Salaünstatic void test_execute(struct __test_metadata *const _metadata, const int err,
371183faSMickaël Salaün			 const char *const path)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	int status;
e1199815SMickaël Salaün	char *const argv[] = { (char *)path, NULL };
e1199815SMickaël Salaün	const pid_t child = fork();
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, child);
e1199815SMickaël Salaün	if (child == 0) {
371183faSMickaël Salaün		ASSERT_EQ(err ? -1 : 0, execve(path, argv, NULL))
371183faSMickaël Salaün		{
e1199815SMickaël Salaün			TH_LOG("Failed to execute \"%s\": %s", path,
e1199815SMickaël Salaün			       strerror(errno));
e1199815SMickaël Salaün		};
e1199815SMickaël Salaün		ASSERT_EQ(err, errno);
e1199815SMickaël Salaün		_exit(_metadata->passed ? 2 : 1);
e1199815SMickaël Salaün		return;
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(child, waitpid(child, &status, 0));
e1199815SMickaël Salaün	ASSERT_EQ(1, WIFEXITED(status));
371183faSMickaël Salaün	ASSERT_EQ(err ? 2 : 0, WEXITSTATUS(status))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Unexpected return code for \"%s\": %s", path,
e1199815SMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, execute)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_EXECUTE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	copy_binary(_metadata, file1_s1d1);
e1199815SMickaël Salaün	copy_binary(_metadata, file1_s1d2);
e1199815SMickaël Salaün	copy_binary(_metadata, file1_s1d3);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	test_execute(_metadata, EACCES, file1_s1d1);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	test_execute(_metadata, 0, file1_s1d2);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	test_execute(_metadata, 0, file1_s1d3);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, link)
e1199815SMickaël Salaün{
6a1bdd4aSMickaël Salaün	const struct rule layer1[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
6a1bdd4aSMickaël Salaün	const struct rule layer2[] = {
6a1bdd4aSMickaël Salaün		{
6a1bdd4aSMickaël Salaün			.path = dir_s1d3,
6a1bdd4aSMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_FILE,
6a1bdd4aSMickaël Salaün		},
6a1bdd4aSMickaël Salaün		{},
6a1bdd4aSMickaël Salaün	};
6a1bdd4aSMickaël Salaün	int ruleset_fd = create_ruleset(_metadata, layer1[0].access, layer1);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d1, file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
6a1bdd4aSMickaël Salaün
e1199815SMickaël Salaün	/* Denies linking because of reparenting. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, link(file1_s2d1, file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d2, file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
6a1bdd4aSMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d3, file1_s1d2));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, link(file2_s1d2, file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, link(file2_s1d3, file1_s1d3));
6a1bdd4aSMickaël Salaün
6a1bdd4aSMickaël Salaün	/* Prepares for next unlinks. */
6a1bdd4aSMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d2));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
6a1bdd4aSMickaël Salaün
6a1bdd4aSMickaël Salaün	ruleset_fd = create_ruleset(_metadata, layer2[0].access, layer2);
6a1bdd4aSMickaël Salaün	ASSERT_LE(0, ruleset_fd);
6a1bdd4aSMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
6a1bdd4aSMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
6a1bdd4aSMickaël Salaün
6a1bdd4aSMickaël Salaün	/* Checks that linkind doesn't require the ability to delete a file. */
6a1bdd4aSMickaël Salaün	ASSERT_EQ(0, link(file1_s1d2, file2_s1d2));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(0, link(file1_s1d3, file2_s1d3));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
55e55920SMickaël Salaünstatic int test_rename(const char *const oldpath, const char *const newpath)
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	if (rename(oldpath, newpath))
55e55920SMickaël Salaün		return errno;
55e55920SMickaël Salaün	return 0;
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
55e55920SMickaël Salaünstatic int test_exchange(const char *const oldpath, const char *const newpath)
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	if (renameat2(AT_FDCWD, oldpath, AT_FDCWD, newpath, RENAME_EXCHANGE))
55e55920SMickaël Salaün		return errno;
55e55920SMickaël Salaün	return 0;
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, rename_file)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s2d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Tries to replace a file, from a directory that allows file removal,
e1199815SMickaël Salaün	 * but to a different directory (which also allows file removal).
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d3, file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d3, AT_FDCWD, file1_s1d3,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d3, AT_FDCWD, dir_s1d3,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Tries to replace a file, from a directory that denies file removal,
e1199815SMickaël Salaün	 * to a different directory (which allows file removal).
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d1, file1_s1d3));
55e55920SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d1, AT_FDCWD, file1_s1d3,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
55e55920SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s2d2, AT_FDCWD, file1_s1d3,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Exchanges files and directories that partially allow removal. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s2d2, AT_FDCWD, file1_s2d1,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
6a1bdd4aSMickaël Salaün	/* Checks that file1_s2d1 cannot be removed (instead of ENOTDIR). */
6a1bdd4aSMickaël Salaün	ASSERT_EQ(-1, rename(dir_s2d2, file1_s2d1));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d1, AT_FDCWD, dir_s2d2,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
6a1bdd4aSMickaël Salaün	/* Checks that file1_s1d1 cannot be removed (instead of EISDIR). */
6a1bdd4aSMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, dir_s1d2));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Renames files with different parents. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d2, file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d1, file1_s1d3));
55e55920SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Exchanges and renames files with same parent. */
e1199815SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, file2_s2d3, AT_FDCWD, file1_s2d3,
e1199815SMickaël Salaün			       RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(0, rename(file2_s2d3, file1_s2d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Exchanges files and directories with same parent, twice. */
e1199815SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_s2d3,
e1199815SMickaël Salaün			       RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_s2d3,
e1199815SMickaël Salaün			       RENAME_EXCHANGE));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, rename_dir)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_DIR,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s2d1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_DIR,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Empties dir_s1d3 to allow renaming. */
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Exchanges and renames directory to a different parent. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s2d3, AT_FDCWD, dir_s1d3,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s2d3, dir_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_s1d3,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Exchanges directory to the same parent, which doesn't allow
e1199815SMickaël Salaün	 * directory removal.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s1d1, AT_FDCWD, dir_s2d1,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
6a1bdd4aSMickaël Salaün	/* Checks that dir_s1d2 cannot be removed (instead of ENOTDIR). */
6a1bdd4aSMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, file1_s1d1));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s1d1, AT_FDCWD, dir_s1d2,
e1199815SMickaël Salaün				RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
6a1bdd4aSMickaël Salaün	/* Checks that dir_s1d2 cannot be removed (instead of EISDIR). */
6a1bdd4aSMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, dir_s1d2));
6a1bdd4aSMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Exchanges and renames directory to the same parent, which allows
e1199815SMickaël Salaün	 * directory removal.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, dir_s1d3, AT_FDCWD, file1_s1d2,
e1199815SMickaël Salaün			       RENAME_EXCHANGE));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(dir_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, mkdir(dir_s1d3, 0700));
e1199815SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d2, dir_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, rmdir(dir_s1d3));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_refer)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	int ruleset_fd =
f4056b92SMickaël Salaün		create_ruleset(_metadata, LANDLOCK_ACCESS_FS_REFER, layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, dir_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, dir_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, dir_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, dir_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, dir_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving should only be allowed when the source and the destination
f4056b92SMickaël Salaün	 * parent directory have REFER.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, dir_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(ENOTEMPTY, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s1d3, dir_s2d3));
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
55e55920SMickaël Salaün/* Checks renames beneath dir_s1d1. */
55e55920SMickaël Salaünstatic void refer_denied_by_default(struct __test_metadata *const _metadata,
55e55920SMickaël Salaün				    const struct rule layer1[],
55e55920SMickaël Salaün				    const int layer1_err,
55e55920SMickaël Salaün				    const struct rule layer2[])
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	int ruleset_fd;
55e55920SMickaël Salaün
55e55920SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
55e55920SMickaël Salaün
55e55920SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, layer1[0].access, layer1);
55e55920SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
55e55920SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
55e55920SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
55e55920SMickaël Salaün
55e55920SMickaël Salaün	/*
55e55920SMickaël Salaün	 * If the first layer handles LANDLOCK_ACCESS_FS_REFER (according to
55e55920SMickaël Salaün	 * layer1_err), then it allows some different-parent renames and links.
55e55920SMickaël Salaün	 */
55e55920SMickaël Salaün	ASSERT_EQ(layer1_err, test_rename(file1_s1d1, file1_s1d2));
55e55920SMickaël Salaün	if (layer1_err == 0)
55e55920SMickaël Salaün		ASSERT_EQ(layer1_err, test_rename(file1_s1d2, file1_s1d1));
55e55920SMickaël Salaün	ASSERT_EQ(layer1_err, test_exchange(file2_s1d1, file2_s1d2));
55e55920SMickaël Salaün	ASSERT_EQ(layer1_err, test_exchange(file2_s1d2, file2_s1d1));
55e55920SMickaël Salaün
55e55920SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, layer2[0].access, layer2);
55e55920SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
55e55920SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
55e55920SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
55e55920SMickaël Salaün
55e55920SMickaël Salaün	/*
55e55920SMickaël Salaün	 * Now, either the first or the second layer does not handle
55e55920SMickaël Salaün	 * LANDLOCK_ACCESS_FS_REFER, which means that any different-parent
55e55920SMickaël Salaün	 * renames and links are denied, thus making the layer handling
55e55920SMickaël Salaün	 * LANDLOCK_ACCESS_FS_REFER null and void.
55e55920SMickaël Salaün	 */
55e55920SMickaël Salaün	ASSERT_EQ(EXDEV, test_rename(file1_s1d1, file1_s1d2));
55e55920SMickaël Salaün	ASSERT_EQ(EXDEV, test_exchange(file2_s1d1, file2_s1d2));
55e55920SMickaël Salaün	ASSERT_EQ(EXDEV, test_exchange(file2_s1d2, file2_s1d1));
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
55e55920SMickaël Salaünconst struct rule layer_dir_s1d1_refer[] = {
55e55920SMickaël Salaün	{
55e55920SMickaël Salaün		.path = dir_s1d1,
55e55920SMickaël Salaün		.access = LANDLOCK_ACCESS_FS_REFER,
55e55920SMickaël Salaün	},
55e55920SMickaël Salaün	{},
55e55920SMickaël Salaün};
55e55920SMickaël Salaün
55e55920SMickaël Salaünconst struct rule layer_dir_s1d1_execute[] = {
55e55920SMickaël Salaün	{
55e55920SMickaël Salaün		/* Matches a parent directory. */
55e55920SMickaël Salaün		.path = dir_s1d1,
55e55920SMickaël Salaün		.access = LANDLOCK_ACCESS_FS_EXECUTE,
55e55920SMickaël Salaün	},
55e55920SMickaël Salaün	{},
55e55920SMickaël Salaün};
55e55920SMickaël Salaün
55e55920SMickaël Salaünconst struct rule layer_dir_s2d1_execute[] = {
55e55920SMickaël Salaün	{
55e55920SMickaël Salaün		/* Does not match a parent directory. */
55e55920SMickaël Salaün		.path = dir_s2d1,
55e55920SMickaël Salaün		.access = LANDLOCK_ACCESS_FS_EXECUTE,
55e55920SMickaël Salaün	},
55e55920SMickaël Salaün	{},
55e55920SMickaël Salaün};
55e55920SMickaël Salaün
55e55920SMickaël Salaün/*
55e55920SMickaël Salaün * Tests precedence over renames: denied by default for different parent
55e55920SMickaël Salaün * directories, *with* a rule matching a parent directory, but not directly
55e55920SMickaël Salaün * denying access (with MAKE_REG nor REMOVE).
55e55920SMickaël Salaün */
55e55920SMickaël SalaünTEST_F_FORK(layout1, refer_denied_by_default1)
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	refer_denied_by_default(_metadata, layer_dir_s1d1_refer, 0,
55e55920SMickaël Salaün				layer_dir_s1d1_execute);
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
55e55920SMickaël Salaün/*
55e55920SMickaël Salaün * Same test but this time turning around the ABI version order: the first
55e55920SMickaël Salaün * layer does not handle LANDLOCK_ACCESS_FS_REFER.
55e55920SMickaël Salaün */
55e55920SMickaël SalaünTEST_F_FORK(layout1, refer_denied_by_default2)
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	refer_denied_by_default(_metadata, layer_dir_s1d1_execute, EXDEV,
55e55920SMickaël Salaün				layer_dir_s1d1_refer);
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
55e55920SMickaël Salaün/*
55e55920SMickaël Salaün * Tests precedence over renames: denied by default for different parent
55e55920SMickaël Salaün * directories, *without* a rule matching a parent directory, but not directly
55e55920SMickaël Salaün * denying access (with MAKE_REG nor REMOVE).
55e55920SMickaël Salaün */
55e55920SMickaël SalaünTEST_F_FORK(layout1, refer_denied_by_default3)
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	refer_denied_by_default(_metadata, layer_dir_s1d1_refer, 0,
55e55920SMickaël Salaün				layer_dir_s2d1_execute);
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
55e55920SMickaël Salaün/*
55e55920SMickaël Salaün * Same test but this time turning around the ABI version order: the first
55e55920SMickaël Salaün * layer does not handle LANDLOCK_ACCESS_FS_REFER.
55e55920SMickaël Salaün */
55e55920SMickaël SalaünTEST_F_FORK(layout1, refer_denied_by_default4)
55e55920SMickaël Salaün{
55e55920SMickaël Salaün	refer_denied_by_default(_metadata, layer_dir_s2d1_execute, EXDEV,
55e55920SMickaël Salaün				layer_dir_s1d1_refer);
55e55920SMickaël Salaün}
55e55920SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_link)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	const int ruleset_fd = create_ruleset(
f4056b92SMickaël Salaün		_metadata,
f4056b92SMickaël Salaün		LANDLOCK_ACCESS_FS_MAKE_REG | LANDLOCK_ACCESS_FS_REFER, layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies linking because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d1, file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	/* Denies linking because of missing source and destination REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file1_s2d1, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/* Denies linking because of missing source REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file1_s2d1, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies linking because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file1_s2d2, file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	/* Denies linking because of missing destination REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file1_s2d2, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Allows linking because of REFER and MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, link(file1_s2d2, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d2));
f4056b92SMickaël Salaün	/* Reverse linking denied because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file1_s1d3, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d3));
f4056b92SMickaël Salaün	/* Checks reverse linking. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, link(file1_s1d3, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * This is OK for a file link, but it should not be allowed for a
f4056b92SMickaël Salaün	 * directory rename (because of the superset of access rights.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, link(file1_s2d3, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d2, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d3, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, link(file2_s1d2, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, link(file2_s1d3, file1_s1d3));
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_rename)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	/* Same rules as for reparent_link. */
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	const int ruleset_fd = create_ruleset(
f4056b92SMickaël Salaün		_metadata,
f4056b92SMickaël Salaün		LANDLOCK_ACCESS_FS_MAKE_REG | LANDLOCK_ACCESS_FS_REFER, layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies renaming because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file2_s1d1, AT_FDCWD, file1_s1d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s1d1, AT_FDCWD, file2_s1d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d1, file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	/* Even denies same file exchange. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file2_s1d1, AT_FDCWD, file2_s1d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies renaming because of missing source and destination REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d1, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Denies renaming because of missing MAKE_REG, source and destination
f4056b92SMickaël Salaün	 * REFER.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d1, AT_FDCWD, file2_s1d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file2_s1d1, AT_FDCWD, file1_s2d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies renaming because of missing source REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d1, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/* Denies renaming because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d1, AT_FDCWD, file2_s1d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies renaming because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d2, file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	/* Denies renaming because of missing destination REFER*/
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d2, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Denies exchange because of one missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, file2_s1d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	/* Allows renaming because of REFER and MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d2, file1_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Reverse renaming denied because of missing MAKE_REG. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d3, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, file1_s2d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Tests reverse renaming. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d3, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, file2_s2d3, AT_FDCWD, file1_s1d3,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, file1_s2d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * This is OK for a file rename, but it should not be allowed for a
f4056b92SMickaël Salaün	 * directory rename (because of the superset of access rights).
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d3, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, file1_s2d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Tests superset restrictions applied to directories.  Not only the
f4056b92SMickaël Salaün	 * dir_s2d3's parent (dir_s2d2) should be taken into account but also
f4056b92SMickaël Salaün	 * access rights tied to dir_s2d3. dir_s2d2 is missing one access right
f4056b92SMickaël Salaün	 * compared to dir_s1d3/file1_s1d3 (MAKE_REG) but it is provided
f4056b92SMickaël Salaün	 * directly by the moved dir_s2d3.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s2d3, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, dir_s2d3));
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * The first rename is allowed but not the exchange because dir_s1d3's
f4056b92SMickaël Salaün	 * parent (dir_s1d2) doesn't have REFER.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d3, AT_FDCWD, dir_s1d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s1d3, AT_FDCWD, file1_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d3, dir_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d2, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d3, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Renaming in the same directory is always allowed. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file2_s1d2, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file2_s1d3, file1_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
f4056b92SMickaël Salaün	/* Denies because of missing source MAKE_REG and destination REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s2d3, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
f4056b92SMickaël Salaün	/* Denies because of missing source MAKE_REG and REFER. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s2d2, file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël Salaünstatic void
f4056b92SMickaël Salaünreparent_exdev_layers_enforce1(struct __test_metadata *const _metadata)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			/* Interesting for the layer2 tests. */
f4056b92SMickaël Salaün			.path = dir_s1d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_REG,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	const int ruleset_fd = create_ruleset(
f4056b92SMickaël Salaün		_metadata,
f4056b92SMickaël Salaün		LANDLOCK_ACCESS_FS_MAKE_REG | LANDLOCK_ACCESS_FS_REFER, layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël Salaünstatic void
f4056b92SMickaël Salaünreparent_exdev_layers_enforce2(struct __test_metadata *const _metadata)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer2[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_DIR,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Same checks as before but with a second layer and a new MAKE_DIR
f4056b92SMickaël Salaün	 * rule (and no explicit handling of REFER).
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	const int ruleset_fd =
f4056b92SMickaël Salaün		create_ruleset(_metadata, LANDLOCK_ACCESS_FS_MAKE_DIR, layer2);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_exdev_layers_rename1)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce1(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving the dir_s1d3 directory below dir_s2d2 is allowed by Landlock
f4056b92SMickaël Salaün	 * because it doesn't inherit new access rights.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s1d3, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d2, dir_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving the dir_s1d3 directory below dir_s2d3 is allowed, even if it
f4056b92SMickaël Salaün	 * gets a new inherited access rights (MAKE_REG), because MAKE_REG is
f4056b92SMickaël Salaün	 * already allowed for dir_s1d3.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s1d3, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d3, dir_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * However, moving the file1_s1d3 file below dir_s2d3 is allowed
f4056b92SMickaël Salaün	 * because it cannot inherit MAKE_REG right (which is dedicated to
f4056b92SMickaël Salaün	 * directories).
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, file1_s2d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce2(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving the dir_s1d3 directory below dir_s2d2 is now denied because
f4056b92SMickaël Salaün	 * MAKE_DIR is not tied to dir_s2d2.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving the dir_s1d3 directory below dir_s2d3 is forbidden because it
f4056b92SMickaël Salaün	 * would grants MAKE_REG and MAKE_DIR rights to it.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
55e55920SMickaël Salaün	 * Moving the file2_s1d3 file below dir_s2d3 is denied because the
55e55920SMickaël Salaün	 * second layer does not handle REFER, which is always denied by
55e55920SMickaël Salaün	 * default.
f4056b92SMickaël Salaün	 */
55e55920SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d3, file1_s2d3));
55e55920SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_exdev_layers_rename2)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce1(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks EACCES predominance over EXDEV. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d2, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/* Modify layout! */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d2, file1_s2d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Without REFER source. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d1, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce2(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks EACCES predominance over EXDEV. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	/* Checks with actual file2_s1d2. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d2, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
55e55920SMickaël Salaün	/*
55e55920SMickaël Salaün	 * Modifying the layout is now denied because the second layer does not
55e55920SMickaël Salaün	 * handle REFER, which is always denied by default.
55e55920SMickaël Salaün	 */
55e55920SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d2, file1_s2d3));
55e55920SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Without REFER source, EACCES wins over EXDEV. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d1, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_exdev_layers_exchange1)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const char *const dir_file1_s1d2 = file1_s1d2, *const dir_file2_s2d3 =
f4056b92SMickaël Salaün							       file2_s2d3;
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, mkdir(file1_s1d2, 0700));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, mkdir(file2_s2d3, 0700));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce1(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Error predominance with file exchange: returns EXDEV and EACCES. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s1d1, AT_FDCWD, file1_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d3, AT_FDCWD, file1_s1d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Checks with directories which creation could be allowed, but denied
f4056b92SMickaël Salaün	 * because of access rights that would be inherited.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file1_s1d2, AT_FDCWD,
f4056b92SMickaël Salaün				dir_file2_s2d3, RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file2_s2d3, AT_FDCWD,
f4056b92SMickaël Salaün				dir_file1_s1d2, RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks with same access rights. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, dir_s1d3, AT_FDCWD, dir_s2d3,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, dir_s2d3, AT_FDCWD, dir_s1d3,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks with different (child-only) access rights. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, dir_s2d3, AT_FDCWD, dir_file1_s1d2,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, dir_file1_s1d2, AT_FDCWD, dir_s2d3,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Checks that exchange between file and directory are consistent.
f4056b92SMickaël Salaün	 *
f4056b92SMickaël Salaün	 * Moving a file (file1_s2d2) to a directory which only grants more
f4056b92SMickaël Salaün	 * directory-related access rights is allowed, and at the same time
f4056b92SMickaël Salaün	 * moving a directory (dir_file2_s2d3) to another directory which
f4056b92SMickaël Salaün	 * grants less access rights is allowed too.
f4056b92SMickaël Salaün	 *
f4056b92SMickaël Salaün	 * See layout1.reparent_exdev_layers_exchange3 for inverted arguments.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_file2_s2d3,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * However, moving back the directory is denied because it would get
f4056b92SMickaël Salaün	 * more access rights than the current state and because file creation
f4056b92SMickaël Salaün	 * is forbidden (in dir_s2d2).
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file2_s2d3, AT_FDCWD, file1_s2d2,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_file2_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce2(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Error predominance with file exchange: returns EXDEV and EACCES. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s1d1, AT_FDCWD, file1_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d3, AT_FDCWD, file1_s1d1,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks with directories which creation is now denied. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file1_s1d2, AT_FDCWD,
f4056b92SMickaël Salaün				dir_file2_s2d3, RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file2_s2d3, AT_FDCWD,
f4056b92SMickaël Salaün				dir_file1_s1d2, RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks with different (child-only) access rights. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s1d3, AT_FDCWD, dir_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	/* Denied because of MAKE_DIR. */
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s2d3, AT_FDCWD, dir_s1d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks with different (child-only) access rights. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_s2d3, AT_FDCWD, dir_file1_s1d2,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	/* Denied because of MAKE_DIR. */
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file1_s1d2, AT_FDCWD, dir_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* See layout1.reparent_exdev_layers_exchange2 for complement. */
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_exdev_layers_exchange2)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const char *const dir_file2_s2d3 = file2_s2d3;
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, mkdir(file2_s2d3, 0700));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce1(_metadata);
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce2(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks that exchange between file and directory are consistent. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_file2_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file2_s2d3, AT_FDCWD, file1_s2d2,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_exdev_layers_exchange3)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const char *const dir_file2_s2d3 = file2_s2d3;
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, mkdir(file2_s2d3, 0700));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	reparent_exdev_layers_enforce1(_metadata);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Checks that exchange between file and directory are consistent,
f4056b92SMickaël Salaün	 * including with inverted arguments (see
f4056b92SMickaël Salaün	 * layout1.reparent_exdev_layers_exchange1).
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, dir_file2_s2d3, AT_FDCWD, file1_s2d2,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_file2_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, dir_file2_s2d3, AT_FDCWD, file1_s2d2,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_remove)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d1,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER |
f4056b92SMickaël Salaün				  LANDLOCK_ACCESS_FS_REMOVE_DIR,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_FILE,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d1,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER |
f4056b92SMickaël Salaün				  LANDLOCK_ACCESS_FS_REMOVE_FILE,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	const int ruleset_fd = create_ruleset(
f4056b92SMickaël Salaün		_metadata,
f4056b92SMickaël Salaün		LANDLOCK_ACCESS_FS_REFER | LANDLOCK_ACCESS_FS_REMOVE_DIR |
f4056b92SMickaël Salaün			LANDLOCK_ACCESS_FS_REMOVE_FILE,
f4056b92SMickaël Salaün		layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Access denied because of wrong/swapped remove file/dir. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, dir_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s2d2, file1_s1d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s1d1, AT_FDCWD, dir_s2d2,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s1d1, AT_FDCWD, dir_s2d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Access allowed thanks to the matching rights. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d1, dir_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EISDIR, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d2, file1_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(ENOTDIR, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, file1_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(ENOTDIR, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s1d3, file1_s2d1));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Effectively removes a file and a directory by exchanging them. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, mkdir(dir_s1d3, 0700));
f4056b92SMickaël Salaün	ASSERT_EQ(0, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_s1d3,
f4056b92SMickaël Salaün			       RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(-1, renameat2(AT_FDCWD, file1_s2d2, AT_FDCWD, dir_s1d3,
f4056b92SMickaël Salaün				RENAME_EXCHANGE));
f4056b92SMickaël Salaün	ASSERT_EQ(EACCES, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1, reparent_dom_superset)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = file1_s1d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_EXECUTE,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s1d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_SOCK |
f4056b92SMickaël Salaün				  LANDLOCK_ACCESS_FS_EXECUTE,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d2,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER |
f4056b92SMickaël Salaün				  LANDLOCK_ACCESS_FS_EXECUTE |
f4056b92SMickaël Salaün				  LANDLOCK_ACCESS_FS_MAKE_SOCK,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = dir_s2d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
f4056b92SMickaël Salaün				  LANDLOCK_ACCESS_FS_MAKE_FIFO,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	int ruleset_fd = create_ruleset(_metadata,
f4056b92SMickaël Salaün					LANDLOCK_ACCESS_FS_REFER |
f4056b92SMickaël Salaün						LANDLOCK_ACCESS_FS_EXECUTE |
f4056b92SMickaël Salaün						LANDLOCK_ACCESS_FS_MAKE_SOCK |
f4056b92SMickaël Salaün						LANDLOCK_ACCESS_FS_READ_FILE |
f4056b92SMickaël Salaün						LANDLOCK_ACCESS_FS_MAKE_FIFO,
f4056b92SMickaël Salaün					layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d2, file1_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving file1_s1d2 beneath dir_s2d3 would grant it the READ_FILE
f4056b92SMickaël Salaün	 * access right.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d2, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving file1_s1d2 should be allowed even if dir_s2d2 grants a
f4056b92SMickaël Salaün	 * superset of access rights compared to dir_s1d2, because file1_s1d2
f4056b92SMickaël Salaün	 * already has these access rights anyway.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d2, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d2, file1_s1d2));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, file1_s2d1));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving dir_s1d3 beneath dir_s2d3 would grant it the MAKE_FIFO access
f4056b92SMickaël Salaün	 * right.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(dir_s1d3, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving dir_s1d3 should be allowed even if dir_s2d2 grants a superset
f4056b92SMickaël Salaün	 * of access rights compared to dir_s1d2, because dir_s1d3 already has
f4056b92SMickaël Salaün	 * these access rights anyway.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s1d3, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d2, dir_s1d3));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Moving file1_s2d3 beneath dir_s1d2 is allowed, but moving it back
f4056b92SMickaël Salaün	 * will be denied because the new inherited access rights from dir_s1d2
f4056b92SMickaël Salaün	 * will be less than the destination (original) dir_s2d3.  This is a
f4056b92SMickaël Salaün	 * sinkhole scenario where we cannot move back files or directories.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(file1_s2d3, file2_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d2, file1_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s2d3));
f4056b92SMickaël Salaün	/*
f4056b92SMickaël Salaün	 * Checks similar directory one-way move: dir_s2d3 loses EXECUTE and
f4056b92SMickaël Salaün	 * MAKE_SOCK which were inherited from dir_s1d3.
f4056b92SMickaël Salaün	 */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(dir_s2d3, file2_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d2, dir_s2d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, remove_dir)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_DIR,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, rmdir(dir_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, mkdir(dir_s1d3, 0700));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlinkat(AT_FDCWD, dir_s1d3, AT_REMOVEDIR));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* dir_s1d2 itself cannot be removed. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, rmdir(dir_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, unlinkat(AT_FDCWD, dir_s1d2, AT_REMOVEDIR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, rmdir(dir_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, unlinkat(AT_FDCWD, dir_s1d1, AT_REMOVEDIR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, remove_file)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REMOVE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(-1, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, unlinkat(AT_FDCWD, file1_s1d1, 0));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlinkat(AT_FDCWD, file1_s1d3, 0));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic void test_make_file(struct __test_metadata *const _metadata,
371183faSMickaël Salaün			   const __u64 access, const mode_t mode,
371183faSMickaël Salaün			   const dev_t dev)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = access,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const int ruleset_fd = create_ruleset(_metadata, access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d1));
371183faSMickaël Salaün	ASSERT_EQ(0, mknod(file2_s1d1, mode | 0400, dev))
371183faSMickaël Salaün	{
371183faSMickaël Salaün		TH_LOG("Failed to make file \"%s\": %s", file2_s1d1,
371183faSMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(-1, mknod(file1_s1d1, mode | 0400, dev));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d1, file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d1, file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün
371183faSMickaël Salaün	ASSERT_EQ(0, mknod(file1_s1d2, mode | 0400, dev))
371183faSMickaël Salaün	{
371183faSMickaël Salaün		TH_LOG("Failed to make file \"%s\": %s", file1_s1d2,
371183faSMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	ASSERT_EQ(0, link(file1_s1d2, file2_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d2, file2_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, mknod(file1_s1d3, mode | 0400, dev));
e1199815SMickaël Salaün	ASSERT_EQ(0, link(file1_s1d3, file2_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, file2_s1d3));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_char)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	/* Creates a /dev/null device. */
e1199815SMickaël Salaün	set_cap(_metadata, CAP_MKNOD);
e1199815SMickaël Salaün	test_make_file(_metadata, LANDLOCK_ACCESS_FS_MAKE_CHAR, S_IFCHR,
e1199815SMickaël Salaün		       makedev(1, 3));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_block)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	/* Creates a /dev/loop0 device. */
e1199815SMickaël Salaün	set_cap(_metadata, CAP_MKNOD);
e1199815SMickaël Salaün	test_make_file(_metadata, LANDLOCK_ACCESS_FS_MAKE_BLOCK, S_IFBLK,
e1199815SMickaël Salaün		       makedev(7, 0));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_reg_1)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_make_file(_metadata, LANDLOCK_ACCESS_FS_MAKE_REG, S_IFREG, 0);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_reg_2)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_make_file(_metadata, LANDLOCK_ACCESS_FS_MAKE_REG, 0, 0);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_sock)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_make_file(_metadata, LANDLOCK_ACCESS_FS_MAKE_SOCK, S_IFSOCK, 0);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_fifo)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	test_make_file(_metadata, LANDLOCK_ACCESS_FS_MAKE_FIFO, S_IFIFO, 0);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_sym)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_SYM,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, symlink("none", file2_s1d1));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(-1, symlink("none", file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, link(file2_s1d1, file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(-1, rename(file2_s1d1, file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, symlink("none", file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, link(file1_s1d2, file2_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d2, file2_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, symlink("none", file1_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, link(file1_s1d3, file2_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file2_s1d3));
e1199815SMickaël Salaün	ASSERT_EQ(0, rename(file1_s1d3, file2_s1d3));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, make_dir)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_MAKE_DIR,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d1));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d3));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Uses file_* as directory names. */
e1199815SMickaël Salaün	ASSERT_EQ(-1, mkdir(file1_s1d1, 0700));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün	ASSERT_EQ(0, mkdir(file1_s1d2, 0700));
e1199815SMickaël Salaün	ASSERT_EQ(0, mkdir(file1_s1d3, 0700));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic int open_proc_fd(struct __test_metadata *const _metadata, const int fd,
e1199815SMickaël Salaün			const int open_flags)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	static const char path_template[] = "/proc/self/fd/%d";
e1199815SMickaël Salaün	char procfd_path[sizeof(path_template) + 10];
371183faSMickaël Salaün	const int procfd_path_size =
371183faSMickaël Salaün		snprintf(procfd_path, sizeof(procfd_path), path_template, fd);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LT(procfd_path_size, sizeof(procfd_path));
e1199815SMickaël Salaün	return open(procfd_path, open_flags);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, proc_unlinked_file)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = file1_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int reg_fd, proc_fd;
371183faSMickaël Salaün	const int ruleset_fd = create_ruleset(
371183faSMickaël Salaün		_metadata,
371183faSMickaël Salaün		LANDLOCK_ACCESS_FS_READ_FILE | LANDLOCK_ACCESS_FS_WRITE_FILE,
371183faSMickaël Salaün		rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	reg_fd = open(file1_s1d2, O_RDONLY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, reg_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, unlink(file1_s1d2));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	proc_fd = open_proc_fd(_metadata, reg_fd, O_RDONLY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, proc_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(proc_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	proc_fd = open_proc_fd(_metadata, reg_fd, O_RDWR | O_CLOEXEC);
371183faSMickaël Salaün	ASSERT_EQ(-1, proc_fd)
371183faSMickaël Salaün	{
371183faSMickaël Salaün		TH_LOG("Successfully opened /proc/self/fd/%d: %s", reg_fd,
371183faSMickaël Salaün		       strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, errno);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, close(reg_fd));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1, proc_pipe)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	int proc_fd;
e1199815SMickaël Salaün	int pipe_fds[2];
e1199815SMickaël Salaün	char buf = '\0';
e1199815SMickaël Salaün	const struct rule rules[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* Limits read and write access to files tied to the filesystem. */
371183faSMickaël Salaün	const int ruleset_fd =
371183faSMickaël Salaün		create_ruleset(_metadata, rules[0].access, rules);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks enforcement for normal files. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDWR));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks access to pipes through FD. */
e1199815SMickaël Salaün	ASSERT_EQ(0, pipe2(pipe_fds, O_CLOEXEC));
371183faSMickaël Salaün	ASSERT_EQ(1, write(pipe_fds[1], ".", 1))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to write in pipe: %s", strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(1, read(pipe_fds[0], &buf, 1));
e1199815SMickaël Salaün	ASSERT_EQ('.', buf);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks write access to pipe through /proc/self/fd . */
e1199815SMickaël Salaün	proc_fd = open_proc_fd(_metadata, pipe_fds[1], O_WRONLY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, proc_fd);
371183faSMickaël Salaün	ASSERT_EQ(1, write(proc_fd, ".", 1))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to write through /proc/self/fd/%d: %s",
e1199815SMickaël Salaün		       pipe_fds[1], strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(0, close(proc_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks read access to pipe through /proc/self/fd . */
e1199815SMickaël Salaün	proc_fd = open_proc_fd(_metadata, pipe_fds[0], O_RDONLY | O_CLOEXEC);
e1199815SMickaël Salaün	ASSERT_LE(0, proc_fd);
e1199815SMickaël Salaün	buf = '\0';
371183faSMickaël Salaün	ASSERT_EQ(1, read(proc_fd, &buf, 1))
371183faSMickaël Salaün	{
e1199815SMickaël Salaün		TH_LOG("Failed to read through /proc/self/fd/%d: %s",
e1199815SMickaël Salaün		       pipe_fds[1], strerror(errno));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	ASSERT_EQ(0, close(proc_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, close(pipe_fds[0]));
e1199815SMickaël Salaün	ASSERT_EQ(0, close(pipe_fds[1]));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
225351abSGünther Noack/* Invokes truncate(2) and returns its errno or 0. */
225351abSGünther Noackstatic int test_truncate(const char *const path)
225351abSGünther Noack{
225351abSGünther Noack	if (truncate(path, 10) < 0)
225351abSGünther Noack		return errno;
225351abSGünther Noack	return 0;
225351abSGünther Noack}
225351abSGünther Noack
225351abSGünther Noack/*
225351abSGünther Noack * Invokes creat(2) and returns its errno or 0.
225351abSGünther Noack * Closes the opened file descriptor on success.
225351abSGünther Noack */
225351abSGünther Noackstatic int test_creat(const char *const path)
225351abSGünther Noack{
225351abSGünther Noack	int fd = creat(path, 0600);
225351abSGünther Noack
225351abSGünther Noack	if (fd < 0)
225351abSGünther Noack		return errno;
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Mixing error codes from close(2) and creat(2) should not lead to any
225351abSGünther Noack	 * (access type) confusion for this test.
225351abSGünther Noack	 */
225351abSGünther Noack	if (close(fd) < 0)
225351abSGünther Noack		return errno;
225351abSGünther Noack	return 0;
225351abSGünther Noack}
225351abSGünther Noack
225351abSGünther Noack/*
225351abSGünther Noack * Exercises file truncation when it's not restricted,
225351abSGünther Noack * as it was the case before LANDLOCK_ACCESS_FS_TRUNCATE existed.
225351abSGünther Noack */
225351abSGünther NoackTEST_F_FORK(layout1, truncate_unhandled)
225351abSGünther Noack{
225351abSGünther Noack	const char *const file_r = file1_s1d1;
225351abSGünther Noack	const char *const file_w = file2_s1d1;
225351abSGünther Noack	const char *const file_none = file1_s1d2;
225351abSGünther Noack	const struct rule rules[] = {
225351abSGünther Noack		{
225351abSGünther Noack			.path = file_r,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_READ_FILE,
225351abSGünther Noack		},
225351abSGünther Noack		{
225351abSGünther Noack			.path = file_w,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
225351abSGünther Noack		},
225351abSGünther Noack		/* Implicitly: No rights for file_none. */
225351abSGünther Noack		{},
225351abSGünther Noack	};
225351abSGünther Noack
225351abSGünther Noack	const __u64 handled = LANDLOCK_ACCESS_FS_READ_FILE |
225351abSGünther Noack			      LANDLOCK_ACCESS_FS_WRITE_FILE;
225351abSGünther Noack	int ruleset_fd;
225351abSGünther Noack
225351abSGünther Noack	/* Enable Landlock. */
225351abSGünther Noack	ruleset_fd = create_ruleset(_metadata, handled, rules);
225351abSGünther Noack
225351abSGünther Noack	ASSERT_LE(0, ruleset_fd);
225351abSGünther Noack	enforce_ruleset(_metadata, ruleset_fd);
225351abSGünther Noack	ASSERT_EQ(0, close(ruleset_fd));
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Checks read right: truncate and open with O_TRUNC work, unless the
225351abSGünther Noack	 * file is attempted to be opened for writing.
225351abSGünther Noack	 */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_r));
225351abSGünther Noack	EXPECT_EQ(0, test_open(file_r, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_r, O_WRONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_creat(file_r));
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Checks write right: truncate and open with O_TRUNC work, unless the
225351abSGünther Noack	 * file is attempted to be opened for reading.
225351abSGünther Noack	 */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_w));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_w, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(0, test_open(file_w, O_WRONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(0, test_creat(file_w));
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Checks "no rights" case: truncate works but all open attempts fail,
225351abSGünther Noack	 * including creat.
225351abSGünther Noack	 */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_none));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_none, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_none, O_WRONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_creat(file_none));
225351abSGünther Noack}
225351abSGünther Noack
225351abSGünther NoackTEST_F_FORK(layout1, truncate)
225351abSGünther Noack{
225351abSGünther Noack	const char *const file_rwt = file1_s1d1;
225351abSGünther Noack	const char *const file_rw = file2_s1d1;
225351abSGünther Noack	const char *const file_rt = file1_s1d2;
225351abSGünther Noack	const char *const file_t = file2_s1d2;
225351abSGünther Noack	const char *const file_none = file1_s1d3;
225351abSGünther Noack	const char *const dir_t = dir_s2d1;
225351abSGünther Noack	const char *const file_in_dir_t = file1_s2d1;
225351abSGünther Noack	const char *const dir_w = dir_s3d1;
225351abSGünther Noack	const char *const file_in_dir_w = file1_s3d1;
225351abSGünther Noack	const struct rule rules[] = {
225351abSGünther Noack		{
225351abSGünther Noack			.path = file_rwt,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_READ_FILE |
225351abSGünther Noack				  LANDLOCK_ACCESS_FS_WRITE_FILE |
225351abSGünther Noack				  LANDLOCK_ACCESS_FS_TRUNCATE,
225351abSGünther Noack		},
225351abSGünther Noack		{
225351abSGünther Noack			.path = file_rw,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_READ_FILE |
225351abSGünther Noack				  LANDLOCK_ACCESS_FS_WRITE_FILE,
225351abSGünther Noack		},
225351abSGünther Noack		{
225351abSGünther Noack			.path = file_rt,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_READ_FILE |
225351abSGünther Noack				  LANDLOCK_ACCESS_FS_TRUNCATE,
225351abSGünther Noack		},
225351abSGünther Noack		{
225351abSGünther Noack			.path = file_t,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_TRUNCATE,
225351abSGünther Noack		},
225351abSGünther Noack		/* Implicitly: No access rights for file_none. */
225351abSGünther Noack		{
225351abSGünther Noack			.path = dir_t,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_TRUNCATE,
225351abSGünther Noack		},
225351abSGünther Noack		{
225351abSGünther Noack			.path = dir_w,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
225351abSGünther Noack		},
225351abSGünther Noack		{},
225351abSGünther Noack	};
225351abSGünther Noack	const __u64 handled = LANDLOCK_ACCESS_FS_READ_FILE |
225351abSGünther Noack			      LANDLOCK_ACCESS_FS_WRITE_FILE |
225351abSGünther Noack			      LANDLOCK_ACCESS_FS_TRUNCATE;
225351abSGünther Noack	int ruleset_fd;
225351abSGünther Noack
225351abSGünther Noack	/* Enable Landlock. */
225351abSGünther Noack	ruleset_fd = create_ruleset(_metadata, handled, rules);
225351abSGünther Noack
225351abSGünther Noack	ASSERT_LE(0, ruleset_fd);
225351abSGünther Noack	enforce_ruleset(_metadata, ruleset_fd);
225351abSGünther Noack	ASSERT_EQ(0, close(ruleset_fd));
225351abSGünther Noack
225351abSGünther Noack	/* Checks read, write and truncate rights: truncation works. */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_rwt));
225351abSGünther Noack	EXPECT_EQ(0, test_open(file_rwt, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(0, test_open(file_rwt, O_WRONLY | O_TRUNC));
225351abSGünther Noack
225351abSGünther Noack	/* Checks read and write rights: no truncate variant works. */
225351abSGünther Noack	EXPECT_EQ(EACCES, test_truncate(file_rw));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_rw, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_rw, O_WRONLY | O_TRUNC));
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Checks read and truncate rights: truncation works.
225351abSGünther Noack	 *
225351abSGünther Noack	 * Note: Files can get truncated using open() even with O_RDONLY.
225351abSGünther Noack	 */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_rt));
225351abSGünther Noack	EXPECT_EQ(0, test_open(file_rt, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_rt, O_WRONLY | O_TRUNC));
225351abSGünther Noack
225351abSGünther Noack	/* Checks truncate right: truncate works, but can't open file. */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_t));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_t, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_t, O_WRONLY | O_TRUNC));
225351abSGünther Noack
225351abSGünther Noack	/* Checks "no rights" case: No form of truncation works. */
225351abSGünther Noack	EXPECT_EQ(EACCES, test_truncate(file_none));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_none, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_none, O_WRONLY | O_TRUNC));
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Checks truncate right on directory: truncate works on contained
225351abSGünther Noack	 * files.
225351abSGünther Noack	 */
225351abSGünther Noack	EXPECT_EQ(0, test_truncate(file_in_dir_t));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_in_dir_t, O_RDONLY | O_TRUNC));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_open(file_in_dir_t, O_WRONLY | O_TRUNC));
225351abSGünther Noack
225351abSGünther Noack	/*
225351abSGünther Noack	 * Checks creat in dir_w: This requires the truncate right when
225351abSGünther Noack	 * overwriting an existing file, but does not require it when the file
225351abSGünther Noack	 * is new.
225351abSGünther Noack	 */
225351abSGünther Noack	EXPECT_EQ(EACCES, test_creat(file_in_dir_w));
225351abSGünther Noack
225351abSGünther Noack	ASSERT_EQ(0, unlink(file_in_dir_w));
225351abSGünther Noack	EXPECT_EQ(0, test_creat(file_in_dir_w));
225351abSGünther Noack}
225351abSGünther Noack
225351abSGünther Noack/* Invokes ftruncate(2) and returns its errno or 0. */
225351abSGünther Noackstatic int test_ftruncate(int fd)
225351abSGünther Noack{
225351abSGünther Noack	if (ftruncate(fd, 10) < 0)
225351abSGünther Noack		return errno;
225351abSGünther Noack	return 0;
225351abSGünther Noack}
225351abSGünther Noack
225351abSGünther NoackTEST_F_FORK(layout1, ftruncate)
225351abSGünther Noack{
225351abSGünther Noack	/*
225351abSGünther Noack	 * This test opens a new file descriptor at different stages of
225351abSGünther Noack	 * Landlock restriction:
225351abSGünther Noack	 *
225351abSGünther Noack	 * without restriction:                    ftruncate works
225351abSGünther Noack	 * something else but truncate restricted: ftruncate works
225351abSGünther Noack	 * truncate restricted and permitted:      ftruncate works
225351abSGünther Noack	 * truncate restricted and not permitted:  ftruncate fails
225351abSGünther Noack	 *
225351abSGünther Noack	 * Whether this works or not is expected to depend on the time when the
225351abSGünther Noack	 * FD was opened, not to depend on the time when ftruncate() was
225351abSGünther Noack	 * called.
225351abSGünther Noack	 */
225351abSGünther Noack	const char *const path = file1_s1d1;
225351abSGünther Noack	const __u64 handled1 = LANDLOCK_ACCESS_FS_READ_FILE |
225351abSGünther Noack			       LANDLOCK_ACCESS_FS_WRITE_FILE;
225351abSGünther Noack	const struct rule layer1[] = {
225351abSGünther Noack		{
225351abSGünther Noack			.path = path,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
225351abSGünther Noack		},
225351abSGünther Noack		{},
225351abSGünther Noack	};
225351abSGünther Noack	const __u64 handled2 = LANDLOCK_ACCESS_FS_TRUNCATE;
225351abSGünther Noack	const struct rule layer2[] = {
225351abSGünther Noack		{
225351abSGünther Noack			.path = path,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_TRUNCATE,
225351abSGünther Noack		},
225351abSGünther Noack		{},
225351abSGünther Noack	};
225351abSGünther Noack	const __u64 handled3 = LANDLOCK_ACCESS_FS_TRUNCATE |
225351abSGünther Noack			       LANDLOCK_ACCESS_FS_WRITE_FILE;
225351abSGünther Noack	const struct rule layer3[] = {
225351abSGünther Noack		{
225351abSGünther Noack			.path = path,
225351abSGünther Noack			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
225351abSGünther Noack		},
225351abSGünther Noack		{},
225351abSGünther Noack	};
225351abSGünther Noack	int fd_layer0, fd_layer1, fd_layer2, fd_layer3, ruleset_fd;
225351abSGünther Noack
225351abSGünther Noack	fd_layer0 = open(path, O_WRONLY);
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer0));
225351abSGünther Noack
225351abSGünther Noack	ruleset_fd = create_ruleset(_metadata, handled1, layer1);
225351abSGünther Noack	ASSERT_LE(0, ruleset_fd);
225351abSGünther Noack	enforce_ruleset(_metadata, ruleset_fd);
225351abSGünther Noack	ASSERT_EQ(0, close(ruleset_fd));
225351abSGünther Noack
225351abSGünther Noack	fd_layer1 = open(path, O_WRONLY);
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer0));
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer1));
225351abSGünther Noack
225351abSGünther Noack	ruleset_fd = create_ruleset(_metadata, handled2, layer2);
225351abSGünther Noack	ASSERT_LE(0, ruleset_fd);
225351abSGünther Noack	enforce_ruleset(_metadata, ruleset_fd);
225351abSGünther Noack	ASSERT_EQ(0, close(ruleset_fd));
225351abSGünther Noack
225351abSGünther Noack	fd_layer2 = open(path, O_WRONLY);
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer0));
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer1));
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer2));
225351abSGünther Noack
225351abSGünther Noack	ruleset_fd = create_ruleset(_metadata, handled3, layer3);
225351abSGünther Noack	ASSERT_LE(0, ruleset_fd);
225351abSGünther Noack	enforce_ruleset(_metadata, ruleset_fd);
225351abSGünther Noack	ASSERT_EQ(0, close(ruleset_fd));
225351abSGünther Noack
225351abSGünther Noack	fd_layer3 = open(path, O_WRONLY);
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer0));
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer1));
225351abSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd_layer2));
225351abSGünther Noack	EXPECT_EQ(EACCES, test_ftruncate(fd_layer3));
225351abSGünther Noack
225351abSGünther Noack	ASSERT_EQ(0, close(fd_layer0));
225351abSGünther Noack	ASSERT_EQ(0, close(fd_layer1));
225351abSGünther Noack	ASSERT_EQ(0, close(fd_layer2));
225351abSGünther Noack	ASSERT_EQ(0, close(fd_layer3));
225351abSGünther Noack}
225351abSGünther Noack
4598d9abSMickaël Salaün/* clang-format off */
41729af2SGünther NoackFIXTURE(ftruncate) {};
41729af2SGünther Noack/* clang-format on */
41729af2SGünther Noack
41729af2SGünther NoackFIXTURE_SETUP(ftruncate)
41729af2SGünther Noack{
41729af2SGünther Noack	prepare_layout(_metadata);
41729af2SGünther Noack	create_file(_metadata, file1_s1d1);
41729af2SGünther Noack}
41729af2SGünther Noack
41729af2SGünther NoackFIXTURE_TEARDOWN(ftruncate)
41729af2SGünther Noack{
41729af2SGünther Noack	EXPECT_EQ(0, remove_path(file1_s1d1));
41729af2SGünther Noack	cleanup_layout(_metadata);
41729af2SGünther Noack}
41729af2SGünther Noack
41729af2SGünther NoackFIXTURE_VARIANT(ftruncate)
41729af2SGünther Noack{
41729af2SGünther Noack	const __u64 handled;
41729af2SGünther Noack	const __u64 permitted;
41729af2SGünther Noack	const int expected_open_result;
41729af2SGünther Noack	const int expected_ftruncate_result;
41729af2SGünther Noack};
41729af2SGünther Noack
41729af2SGünther Noack/* clang-format off */
41729af2SGünther NoackFIXTURE_VARIANT_ADD(ftruncate, w_w) {
41729af2SGünther Noack	/* clang-format on */
41729af2SGünther Noack	.handled = LANDLOCK_ACCESS_FS_WRITE_FILE,
41729af2SGünther Noack	.permitted = LANDLOCK_ACCESS_FS_WRITE_FILE,
41729af2SGünther Noack	.expected_open_result = 0,
41729af2SGünther Noack	.expected_ftruncate_result = 0,
41729af2SGünther Noack};
41729af2SGünther Noack
41729af2SGünther Noack/* clang-format off */
41729af2SGünther NoackFIXTURE_VARIANT_ADD(ftruncate, t_t) {
41729af2SGünther Noack	/* clang-format on */
41729af2SGünther Noack	.handled = LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.permitted = LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.expected_open_result = 0,
41729af2SGünther Noack	.expected_ftruncate_result = 0,
41729af2SGünther Noack};
41729af2SGünther Noack
41729af2SGünther Noack/* clang-format off */
41729af2SGünther NoackFIXTURE_VARIANT_ADD(ftruncate, wt_w) {
41729af2SGünther Noack	/* clang-format on */
41729af2SGünther Noack	.handled = LANDLOCK_ACCESS_FS_WRITE_FILE | LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.permitted = LANDLOCK_ACCESS_FS_WRITE_FILE,
41729af2SGünther Noack	.expected_open_result = 0,
41729af2SGünther Noack	.expected_ftruncate_result = EACCES,
41729af2SGünther Noack};
41729af2SGünther Noack
41729af2SGünther Noack/* clang-format off */
41729af2SGünther NoackFIXTURE_VARIANT_ADD(ftruncate, wt_wt) {
41729af2SGünther Noack	/* clang-format on */
41729af2SGünther Noack	.handled = LANDLOCK_ACCESS_FS_WRITE_FILE | LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.permitted = LANDLOCK_ACCESS_FS_WRITE_FILE |
41729af2SGünther Noack		     LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.expected_open_result = 0,
41729af2SGünther Noack	.expected_ftruncate_result = 0,
41729af2SGünther Noack};
41729af2SGünther Noack
41729af2SGünther Noack/* clang-format off */
41729af2SGünther NoackFIXTURE_VARIANT_ADD(ftruncate, wt_t) {
41729af2SGünther Noack	/* clang-format on */
41729af2SGünther Noack	.handled = LANDLOCK_ACCESS_FS_WRITE_FILE | LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.permitted = LANDLOCK_ACCESS_FS_TRUNCATE,
41729af2SGünther Noack	.expected_open_result = EACCES,
41729af2SGünther Noack};
41729af2SGünther Noack
41729af2SGünther NoackTEST_F_FORK(ftruncate, open_and_ftruncate)
41729af2SGünther Noack{
41729af2SGünther Noack	const char *const path = file1_s1d1;
41729af2SGünther Noack	const struct rule rules[] = {
41729af2SGünther Noack		{
41729af2SGünther Noack			.path = path,
41729af2SGünther Noack			.access = variant->permitted,
41729af2SGünther Noack		},
41729af2SGünther Noack		{},
41729af2SGünther Noack	};
41729af2SGünther Noack	int fd, ruleset_fd;
41729af2SGünther Noack
41729af2SGünther Noack	/* Enable Landlock. */
41729af2SGünther Noack	ruleset_fd = create_ruleset(_metadata, variant->handled, rules);
41729af2SGünther Noack	ASSERT_LE(0, ruleset_fd);
41729af2SGünther Noack	enforce_ruleset(_metadata, ruleset_fd);
41729af2SGünther Noack	ASSERT_EQ(0, close(ruleset_fd));
41729af2SGünther Noack
41729af2SGünther Noack	fd = open(path, O_WRONLY);
41729af2SGünther Noack	EXPECT_EQ(variant->expected_open_result, (fd < 0 ? errno : 0));
41729af2SGünther Noack	if (fd >= 0) {
41729af2SGünther Noack		EXPECT_EQ(variant->expected_ftruncate_result,
41729af2SGünther Noack			  test_ftruncate(fd));
41729af2SGünther Noack		ASSERT_EQ(0, close(fd));
41729af2SGünther Noack	}
41729af2SGünther Noack}
41729af2SGünther Noack
a1a202a5SGünther NoackTEST_F_FORK(ftruncate, open_and_ftruncate_in_different_processes)
a1a202a5SGünther Noack{
a1a202a5SGünther Noack	int child, fd, status;
a1a202a5SGünther Noack	int socket_fds[2];
a1a202a5SGünther Noack
a1a202a5SGünther Noack	ASSERT_EQ(0, socketpair(AF_UNIX, SOCK_STREAM | SOCK_CLOEXEC, 0,
a1a202a5SGünther Noack				socket_fds));
a1a202a5SGünther Noack
a1a202a5SGünther Noack	child = fork();
a1a202a5SGünther Noack	ASSERT_LE(0, child);
a1a202a5SGünther Noack	if (child == 0) {
a1a202a5SGünther Noack		/*
a1a202a5SGünther Noack		 * Enables Landlock in the child process, open a file descriptor
a1a202a5SGünther Noack		 * where truncation is forbidden and send it to the
a1a202a5SGünther Noack		 * non-landlocked parent process.
a1a202a5SGünther Noack		 */
a1a202a5SGünther Noack		const char *const path = file1_s1d1;
a1a202a5SGünther Noack		const struct rule rules[] = {
a1a202a5SGünther Noack			{
a1a202a5SGünther Noack				.path = path,
a1a202a5SGünther Noack				.access = variant->permitted,
a1a202a5SGünther Noack			},
a1a202a5SGünther Noack			{},
a1a202a5SGünther Noack		};
a1a202a5SGünther Noack		int fd, ruleset_fd;
a1a202a5SGünther Noack
a1a202a5SGünther Noack		ruleset_fd = create_ruleset(_metadata, variant->handled, rules);
a1a202a5SGünther Noack		ASSERT_LE(0, ruleset_fd);
a1a202a5SGünther Noack		enforce_ruleset(_metadata, ruleset_fd);
a1a202a5SGünther Noack		ASSERT_EQ(0, close(ruleset_fd));
a1a202a5SGünther Noack
a1a202a5SGünther Noack		fd = open(path, O_WRONLY);
a1a202a5SGünther Noack		ASSERT_EQ(variant->expected_open_result, (fd < 0 ? errno : 0));
a1a202a5SGünther Noack
a1a202a5SGünther Noack		if (fd >= 0) {
a1a202a5SGünther Noack			ASSERT_EQ(0, send_fd(socket_fds[0], fd));
a1a202a5SGünther Noack			ASSERT_EQ(0, close(fd));
a1a202a5SGünther Noack		}
a1a202a5SGünther Noack
a1a202a5SGünther Noack		ASSERT_EQ(0, close(socket_fds[0]));
a1a202a5SGünther Noack
a1a202a5SGünther Noack		_exit(_metadata->passed ? EXIT_SUCCESS : EXIT_FAILURE);
a1a202a5SGünther Noack		return;
a1a202a5SGünther Noack	}
a1a202a5SGünther Noack
a1a202a5SGünther Noack	if (variant->expected_open_result == 0) {
a1a202a5SGünther Noack		fd = recv_fd(socket_fds[1]);
a1a202a5SGünther Noack		ASSERT_LE(0, fd);
a1a202a5SGünther Noack
a1a202a5SGünther Noack		EXPECT_EQ(variant->expected_ftruncate_result,
a1a202a5SGünther Noack			  test_ftruncate(fd));
a1a202a5SGünther Noack		ASSERT_EQ(0, close(fd));
a1a202a5SGünther Noack	}
a1a202a5SGünther Noack
a1a202a5SGünther Noack	ASSERT_EQ(child, waitpid(child, &status, 0));
a1a202a5SGünther Noack	ASSERT_EQ(1, WIFEXITED(status));
a1a202a5SGünther Noack	ASSERT_EQ(EXIT_SUCCESS, WEXITSTATUS(status));
a1a202a5SGünther Noack
a1a202a5SGünther Noack	ASSERT_EQ(0, close(socket_fds[0]));
a1a202a5SGünther Noack	ASSERT_EQ(0, close(socket_fds[1]));
a1a202a5SGünther Noack}
a1a202a5SGünther Noack
0d8c658bSGünther NoackTEST(memfd_ftruncate)
0d8c658bSGünther Noack{
0d8c658bSGünther Noack	int fd;
0d8c658bSGünther Noack
0d8c658bSGünther Noack	fd = memfd_create("name", MFD_CLOEXEC);
0d8c658bSGünther Noack	ASSERT_LE(0, fd);
0d8c658bSGünther Noack
0d8c658bSGünther Noack	/*
0d8c658bSGünther Noack	 * Checks that ftruncate is permitted on file descriptors that are
0d8c658bSGünther Noack	 * created in ways other than open(2).
0d8c658bSGünther Noack	 */
0d8c658bSGünther Noack	EXPECT_EQ(0, test_ftruncate(fd));
0d8c658bSGünther Noack
0d8c658bSGünther Noack	ASSERT_EQ(0, close(fd));
0d8c658bSGünther Noack}
0d8c658bSGünther Noack
41729af2SGünther Noack/* clang-format off */
4598d9abSMickaël SalaünFIXTURE(layout1_bind) {};
4598d9abSMickaël Salaün/* clang-format on */
e1199815SMickaël Salaün
e1199815SMickaël SalaünFIXTURE_SETUP(layout1_bind)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	prepare_layout(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	create_layout1(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	ASSERT_EQ(0, mount(dir_s1d2, dir_s2d2, NULL, MS_BIND, NULL));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünFIXTURE_TEARDOWN(layout1_bind)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, umount(dir_s2d2));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	remove_layout1(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	cleanup_layout(_metadata);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic const char bind_dir_s1d3[] = TMP_DIR "/s2d1/s2d2/s1d3";
e1199815SMickaël Salaünstatic const char bind_file1_s1d3[] = TMP_DIR "/s2d1/s2d2/s1d3/f1";
e1199815SMickaël Salaün
e1199815SMickaël Salaün/*
e1199815SMickaël Salaün * layout1_bind hierarchy:
e1199815SMickaël Salaün *
e1199815SMickaël Salaün * tmp
e1199815SMickaël Salaün * ├── s1d1
e1199815SMickaël Salaün * │   ├── f1
e1199815SMickaël Salaün * │   ├── f2
e1199815SMickaël Salaün * │   └── s1d2
e1199815SMickaël Salaün * │       ├── f1
e1199815SMickaël Salaün * │       ├── f2
e1199815SMickaël Salaün * │       └── s1d3
e1199815SMickaël Salaün * │           ├── f1
e1199815SMickaël Salaün * │           └── f2
e1199815SMickaël Salaün * ├── s2d1
e1199815SMickaël Salaün * │   ├── f1
e1199815SMickaël Salaün * │   └── s2d2
e1199815SMickaël Salaün * │       ├── f1
e1199815SMickaël Salaün * │       ├── f2
e1199815SMickaël Salaün * │       └── s1d3
e1199815SMickaël Salaün * │           ├── f1
e1199815SMickaël Salaün * │           └── f2
e1199815SMickaël Salaün * └── s3d1
e1199815SMickaël Salaün *     └── s3d2
e1199815SMickaël Salaün *         └── s3d3
e1199815SMickaël Salaün */
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1_bind, no_restriction)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(ENOENT, test_open(dir_s2d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(ENOENT, test_open(file1_s2d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(bind_dir_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(bind_file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s3d1, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout1_bind, same_content_same_file)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Sets access right on parent directories of both source and
e1199815SMickaël Salaün	 * destination mount points.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	const struct rule layer1_parent[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d1,
e1199815SMickaël Salaün			.access = ACCESS_RO,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s2d1,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Sets access rights on the same bind-mounted directories.  The result
e1199815SMickaël Salaün	 * should be ACCESS_RW for both directories, but not both hierarchies
e1199815SMickaël Salaün	 * because of the first layer.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	const struct rule layer2_mount_point[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s2d2,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* Only allow read-access to the s1d3 hierarchies. */
e1199815SMickaël Salaün	const struct rule layer3_source[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = dir_s1d3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* Removes all access rights. */
e1199815SMickaël Salaün	const struct rule layer4_destination[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = bind_file1_s1d3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Sets rules for the parent directories. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer1_parent);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks source hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks destination hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d1, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d2, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Sets rules for the mount points. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer2_mount_point);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks source hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks destination hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s2d1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s2d1, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s2d1, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s2d2, O_RDWR));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(dir_s2d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(bind_dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Sets a (shared) rule only on the source. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer3_source);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks source hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d2, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks destination hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s2d2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s2d2, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(dir_s2d2, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(bind_file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(bind_file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(bind_dir_s1d3, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Sets a (shared) rule only on the destination. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer4_destination);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks source hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks destination hierarchy. */
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(bind_file1_s1d3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(EACCES, test_open(bind_file1_s1d3, O_WRONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
f4056b92SMickaël SalaünTEST_F_FORK(layout1_bind, reparent_cross_mount)
f4056b92SMickaël Salaün{
f4056b92SMickaël Salaün	const struct rule layer1[] = {
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			/* dir_s2d1 is beneath the dir_s2d2 mount point. */
f4056b92SMickaël Salaün			.path = dir_s2d1,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_REFER,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{
f4056b92SMickaël Salaün			.path = bind_dir_s1d3,
f4056b92SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_EXECUTE,
f4056b92SMickaël Salaün		},
f4056b92SMickaël Salaün		{},
f4056b92SMickaël Salaün	};
f4056b92SMickaël Salaün	int ruleset_fd = create_ruleset(
f4056b92SMickaël Salaün		_metadata,
f4056b92SMickaël Salaün		LANDLOCK_ACCESS_FS_REFER | LANDLOCK_ACCESS_FS_EXECUTE, layer1);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
f4056b92SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
f4056b92SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks basic denied move. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s1d1, file1_s1d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks real cross-mount move (Landlock is not involved). */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d1, file1_s2d2));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks move that will give more accesses. */
f4056b92SMickaël Salaün	ASSERT_EQ(-1, rename(file1_s2d2, bind_file1_s1d3));
f4056b92SMickaël Salaün	ASSERT_EQ(EXDEV, errno);
f4056b92SMickaël Salaün
f4056b92SMickaël Salaün	/* Checks legitimate downgrade move. */
f4056b92SMickaël Salaün	ASSERT_EQ(0, rename(bind_file1_s1d3, file1_s2d2));
f4056b92SMickaël Salaün}
f4056b92SMickaël Salaün
e1199815SMickaël Salaün#define LOWER_BASE TMP_DIR "/lower"
e1199815SMickaël Salaün#define LOWER_DATA LOWER_BASE "/data"
e1199815SMickaël Salaünstatic const char lower_fl1[] = LOWER_DATA "/fl1";
e1199815SMickaël Salaünstatic const char lower_dl1[] = LOWER_DATA "/dl1";
e1199815SMickaël Salaünstatic const char lower_dl1_fl2[] = LOWER_DATA "/dl1/fl2";
e1199815SMickaël Salaünstatic const char lower_fo1[] = LOWER_DATA "/fo1";
e1199815SMickaël Salaünstatic const char lower_do1[] = LOWER_DATA "/do1";
e1199815SMickaël Salaünstatic const char lower_do1_fo2[] = LOWER_DATA "/do1/fo2";
e1199815SMickaël Salaünstatic const char lower_do1_fl3[] = LOWER_DATA "/do1/fl3";
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic const char (*lower_base_files[])[] = {
e1199815SMickaël Salaün	&lower_fl1,
e1199815SMickaël Salaün	&lower_fo1,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaünstatic const char (*lower_base_directories[])[] = {
e1199815SMickaël Salaün	&lower_dl1,
e1199815SMickaël Salaün	&lower_do1,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaünstatic const char (*lower_sub_files[])[] = {
e1199815SMickaël Salaün	&lower_dl1_fl2,
e1199815SMickaël Salaün	&lower_do1_fo2,
e1199815SMickaël Salaün	&lower_do1_fl3,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaün
e1199815SMickaël Salaün#define UPPER_BASE TMP_DIR "/upper"
e1199815SMickaël Salaün#define UPPER_DATA UPPER_BASE "/data"
e1199815SMickaël Salaün#define UPPER_WORK UPPER_BASE "/work"
e1199815SMickaël Salaünstatic const char upper_fu1[] = UPPER_DATA "/fu1";
e1199815SMickaël Salaünstatic const char upper_du1[] = UPPER_DATA "/du1";
e1199815SMickaël Salaünstatic const char upper_du1_fu2[] = UPPER_DATA "/du1/fu2";
e1199815SMickaël Salaünstatic const char upper_fo1[] = UPPER_DATA "/fo1";
e1199815SMickaël Salaünstatic const char upper_do1[] = UPPER_DATA "/do1";
e1199815SMickaël Salaünstatic const char upper_do1_fo2[] = UPPER_DATA "/do1/fo2";
e1199815SMickaël Salaünstatic const char upper_do1_fu3[] = UPPER_DATA "/do1/fu3";
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic const char (*upper_base_files[])[] = {
e1199815SMickaël Salaün	&upper_fu1,
e1199815SMickaël Salaün	&upper_fo1,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaünstatic const char (*upper_base_directories[])[] = {
e1199815SMickaël Salaün	&upper_du1,
e1199815SMickaël Salaün	&upper_do1,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaünstatic const char (*upper_sub_files[])[] = {
e1199815SMickaël Salaün	&upper_du1_fu2,
e1199815SMickaël Salaün	&upper_do1_fo2,
e1199815SMickaël Salaün	&upper_do1_fu3,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaün
e1199815SMickaël Salaün#define MERGE_BASE TMP_DIR "/merge"
e1199815SMickaël Salaün#define MERGE_DATA MERGE_BASE "/data"
e1199815SMickaël Salaünstatic const char merge_fl1[] = MERGE_DATA "/fl1";
e1199815SMickaël Salaünstatic const char merge_dl1[] = MERGE_DATA "/dl1";
e1199815SMickaël Salaünstatic const char merge_dl1_fl2[] = MERGE_DATA "/dl1/fl2";
e1199815SMickaël Salaünstatic const char merge_fu1[] = MERGE_DATA "/fu1";
e1199815SMickaël Salaünstatic const char merge_du1[] = MERGE_DATA "/du1";
e1199815SMickaël Salaünstatic const char merge_du1_fu2[] = MERGE_DATA "/du1/fu2";
e1199815SMickaël Salaünstatic const char merge_fo1[] = MERGE_DATA "/fo1";
e1199815SMickaël Salaünstatic const char merge_do1[] = MERGE_DATA "/do1";
e1199815SMickaël Salaünstatic const char merge_do1_fo2[] = MERGE_DATA "/do1/fo2";
e1199815SMickaël Salaünstatic const char merge_do1_fl3[] = MERGE_DATA "/do1/fl3";
e1199815SMickaël Salaünstatic const char merge_do1_fu3[] = MERGE_DATA "/do1/fu3";
e1199815SMickaël Salaün
e1199815SMickaël Salaünstatic const char (*merge_base_files[])[] = {
e1199815SMickaël Salaün	&merge_fl1,
e1199815SMickaël Salaün	&merge_fu1,
e1199815SMickaël Salaün	&merge_fo1,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaünstatic const char (*merge_base_directories[])[] = {
e1199815SMickaël Salaün	&merge_dl1,
e1199815SMickaël Salaün	&merge_du1,
e1199815SMickaël Salaün	&merge_do1,
135464f9SMickaël Salaün	NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaünstatic const char (*merge_sub_files[])[] = {
371183faSMickaël Salaün	&merge_dl1_fl2, &merge_du1_fu2, &merge_do1_fo2,
371183faSMickaël Salaün	&merge_do1_fl3, &merge_do1_fu3, NULL,
e1199815SMickaël Salaün};
e1199815SMickaël Salaün
e1199815SMickaël Salaün/*
e1199815SMickaël Salaün * layout2_overlay hierarchy:
e1199815SMickaël Salaün *
e1199815SMickaël Salaün * tmp
e1199815SMickaël Salaün * ├── lower
e1199815SMickaël Salaün * │   └── data
e1199815SMickaël Salaün * │       ├── dl1
e1199815SMickaël Salaün * │       │   └── fl2
e1199815SMickaël Salaün * │       ├── do1
e1199815SMickaël Salaün * │       │   ├── fl3
e1199815SMickaël Salaün * │       │   └── fo2
e1199815SMickaël Salaün * │       ├── fl1
e1199815SMickaël Salaün * │       └── fo1
e1199815SMickaël Salaün * ├── merge
e1199815SMickaël Salaün * │   └── data
e1199815SMickaël Salaün * │       ├── dl1
e1199815SMickaël Salaün * │       │   └── fl2
e1199815SMickaël Salaün * │       ├── do1
e1199815SMickaël Salaün * │       │   ├── fl3
e1199815SMickaël Salaün * │       │   ├── fo2
e1199815SMickaël Salaün * │       │   └── fu3
e1199815SMickaël Salaün * │       ├── du1
e1199815SMickaël Salaün * │       │   └── fu2
e1199815SMickaël Salaün * │       ├── fl1
e1199815SMickaël Salaün * │       ├── fo1
e1199815SMickaël Salaün * │       └── fu1
e1199815SMickaël Salaün * └── upper
e1199815SMickaël Salaün *     ├── data
e1199815SMickaël Salaün *     │   ├── do1
e1199815SMickaël Salaün *     │   │   ├── fo2
e1199815SMickaël Salaün *     │   │   └── fu3
e1199815SMickaël Salaün *     │   ├── du1
e1199815SMickaël Salaün *     │   │   └── fu2
e1199815SMickaël Salaün *     │   ├── fo1
e1199815SMickaël Salaün *     │   └── fu1
e1199815SMickaël Salaün *     └── work
e1199815SMickaël Salaün *         └── work
e1199815SMickaël Salaün */
e1199815SMickaël Salaün
4598d9abSMickaël Salaün/* clang-format off */
4598d9abSMickaël SalaünFIXTURE(layout2_overlay) {};
4598d9abSMickaël Salaün/* clang-format on */
e1199815SMickaël Salaün
e1199815SMickaël SalaünFIXTURE_SETUP(layout2_overlay)
e1199815SMickaël Salaün{
366617a6SJeff Xu	if (!supports_overlayfs())
366617a6SJeff Xu		SKIP(return, "overlayfs is not supported");
366617a6SJeff Xu
e1199815SMickaël Salaün	prepare_layout(_metadata);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	create_directory(_metadata, LOWER_BASE);
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	/* Creates tmpfs mount points to get deterministic overlayfs. */
e1199815SMickaël Salaün	ASSERT_EQ(0, mount("tmp", LOWER_BASE, "tmpfs", 0, "size=4m,mode=700"));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	create_file(_metadata, lower_fl1);
e1199815SMickaël Salaün	create_file(_metadata, lower_dl1_fl2);
e1199815SMickaël Salaün	create_file(_metadata, lower_fo1);
e1199815SMickaël Salaün	create_file(_metadata, lower_do1_fo2);
e1199815SMickaël Salaün	create_file(_metadata, lower_do1_fl3);
e1199815SMickaël Salaün
e1199815SMickaël Salaün	create_directory(_metadata, UPPER_BASE);
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	ASSERT_EQ(0, mount("tmp", UPPER_BASE, "tmpfs", 0, "size=4m,mode=700"));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	create_file(_metadata, upper_fu1);
e1199815SMickaël Salaün	create_file(_metadata, upper_du1_fu2);
e1199815SMickaël Salaün	create_file(_metadata, upper_fo1);
e1199815SMickaël Salaün	create_file(_metadata, upper_do1_fo2);
e1199815SMickaël Salaün	create_file(_metadata, upper_do1_fu3);
e1199815SMickaël Salaün	ASSERT_EQ(0, mkdir(UPPER_WORK, 0700));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	create_directory(_metadata, MERGE_DATA);
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	set_cap(_metadata, CAP_DAC_OVERRIDE);
e1199815SMickaël Salaün	ASSERT_EQ(0, mount("overlay", MERGE_DATA, "overlay", 0,
371183faSMickaël Salaün			   "lowerdir=" LOWER_DATA ",upperdir=" UPPER_DATA
e1199815SMickaël Salaün			   ",workdir=" UPPER_WORK));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_DAC_OVERRIDE);
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünFIXTURE_TEARDOWN(layout2_overlay)
e1199815SMickaël Salaün{
366617a6SJeff Xu	if (!supports_overlayfs())
366617a6SJeff Xu		SKIP(return, "overlayfs is not supported");
366617a6SJeff Xu
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(lower_do1_fl3));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(lower_dl1_fl2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(lower_fl1));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(lower_do1_fo2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(lower_fo1));
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, umount(LOWER_BASE));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(LOWER_BASE));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(upper_do1_fu3));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(upper_du1_fu2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(upper_fu1));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(upper_do1_fo2));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(upper_fo1));
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(UPPER_WORK "/work"));
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, umount(UPPER_BASE));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(UPPER_BASE));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	set_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, umount(MERGE_DATA));
e1199815SMickaël Salaün	clear_cap(_metadata, CAP_SYS_ADMIN);
e1199815SMickaël Salaün	EXPECT_EQ(0, remove_path(MERGE_DATA));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	cleanup_layout(_metadata);
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout2_overlay, no_restriction)
e1199815SMickaël Salaün{
366617a6SJeff Xu	if (!supports_overlayfs())
366617a6SJeff Xu		SKIP(return, "overlayfs is not supported");
366617a6SJeff Xu
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_fl1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_dl1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_dl1_fl2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_fo1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_do1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_do1_fo2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(lower_do1_fl3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_fu1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_du1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_du1_fu2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_fo1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_do1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_do1_fo2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(upper_do1_fu3, O_RDONLY));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_fl1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_dl1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_dl1_fl2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_fu1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_du1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_du1_fu2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_fo1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_do1, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_do1_fo2, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_do1_fl3, O_RDONLY));
e1199815SMickaël Salaün	ASSERT_EQ(0, test_open(merge_do1_fu3, O_RDONLY));
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël Salaün#define for_each_path(path_list, path_entry, i)               \
e1199815SMickaël Salaün	for (i = 0, path_entry = *path_list[i]; path_list[i]; \
e1199815SMickaël Salaün	     path_entry = *path_list[++i])
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_F_FORK(layout2_overlay, same_content_different_file)
e1199815SMickaël Salaün{
e1199815SMickaël Salaün	/* Sets access right on parent directories of both layers. */
e1199815SMickaël Salaün	const struct rule layer1_base[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = LOWER_BASE,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = UPPER_BASE,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = MERGE_BASE,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer2_data[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = LOWER_DATA,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = UPPER_DATA,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = MERGE_DATA,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* Sets access right on directories inside both layers. */
e1199815SMickaël Salaün	const struct rule layer3_subdirs[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = lower_dl1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = lower_do1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = upper_du1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = upper_do1,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_dl1,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_du1,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_do1,
e1199815SMickaël Salaün			.access = ACCESS_RW,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	/* Tighten access rights to the files. */
e1199815SMickaël Salaün	const struct rule layer4_files[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = lower_dl1_fl2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = lower_do1_fo2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = lower_do1_fl3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = upper_du1_fu2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = upper_do1_fo2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = upper_do1_fu3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_dl1_fl2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_du1_fu2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_do1_fo2,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_do1_fl3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = merge_do1_fu3,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	const struct rule layer5_merge_only[] = {
e1199815SMickaël Salaün		{
e1199815SMickaël Salaün			.path = MERGE_DATA,
e1199815SMickaël Salaün			.access = LANDLOCK_ACCESS_FS_READ_FILE |
e1199815SMickaël Salaün				  LANDLOCK_ACCESS_FS_WRITE_FILE,
e1199815SMickaël Salaün		},
135464f9SMickaël Salaün		{},
e1199815SMickaël Salaün	};
e1199815SMickaël Salaün	int ruleset_fd;
e1199815SMickaël Salaün	size_t i;
e1199815SMickaël Salaün	const char *path_entry;
e1199815SMickaël Salaün
366617a6SJeff Xu	if (!supports_overlayfs())
366617a6SJeff Xu		SKIP(return, "overlayfs is not supported");
366617a6SJeff Xu
e1199815SMickaël Salaün	/* Sets rules on base directories (i.e. outside overlay scope). */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer1_base);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks lower layer. */
e1199815SMickaël Salaün	for_each_path(lower_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_WRONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(lower_base_directories, path_entry, i) {
371183faSMickaël Salaün		ASSERT_EQ(EACCES,
371183faSMickaël Salaün			  test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(lower_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_WRONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks upper layer. */
e1199815SMickaël Salaün	for_each_path(upper_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_WRONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(upper_base_directories, path_entry, i) {
371183faSMickaël Salaün		ASSERT_EQ(EACCES,
371183faSMickaël Salaün			  test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(upper_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_WRONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/*
e1199815SMickaël Salaün	 * Checks that access rights are independent from the lower and upper
e1199815SMickaël Salaün	 * layers: write access to upper files viewed through the merge point
e1199815SMickaël Salaün	 * is still allowed, and write access to lower file viewed (and copied)
e1199815SMickaël Salaün	 * through the merge point is still allowed.
e1199815SMickaël Salaün	 */
e1199815SMickaël Salaün	for_each_path(merge_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_base_directories, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Sets rules on data directories (i.e. inside overlay scope). */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer2_data);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks merge. */
e1199815SMickaël Salaün	for_each_path(merge_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_base_directories, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Same checks with tighter rules. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer3_subdirs);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks changes for lower layer. */
e1199815SMickaël Salaün	for_each_path(lower_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks changes for upper layer. */
e1199815SMickaël Salaün	for_each_path(upper_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks all merge accesses. */
e1199815SMickaël Salaün	for_each_path(merge_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_base_directories, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Sets rules directly on overlayed files. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer4_files);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks unchanged accesses on lower layer. */
e1199815SMickaël Salaün	for_each_path(lower_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_WRONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks unchanged accesses on upper layer. */
e1199815SMickaël Salaün	for_each_path(upper_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_WRONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks all merge accesses. */
e1199815SMickaël Salaün	for_each_path(merge_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_base_directories, path_entry, i) {
371183faSMickaël Salaün		ASSERT_EQ(EACCES,
371183faSMickaël Salaün			  test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Only allowes access to the merge hierarchy. */
e1199815SMickaël Salaün	ruleset_fd = create_ruleset(_metadata, ACCESS_RW, layer5_merge_only);
e1199815SMickaël Salaün	ASSERT_LE(0, ruleset_fd);
e1199815SMickaël Salaün	enforce_ruleset(_metadata, ruleset_fd);
e1199815SMickaël Salaün	ASSERT_EQ(0, close(ruleset_fd));
e1199815SMickaël Salaün
e1199815SMickaël Salaün	/* Checks new accesses on lower layer. */
e1199815SMickaël Salaün	for_each_path(lower_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks new accesses on upper layer. */
e1199815SMickaël Salaün	for_each_path(upper_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDONLY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	/* Checks all merge accesses. */
e1199815SMickaël Salaün	for_each_path(merge_base_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(EACCES, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_base_directories, path_entry, i) {
371183faSMickaël Salaün		ASSERT_EQ(EACCES,
371183faSMickaël Salaün			  test_open(path_entry, O_RDONLY | O_DIRECTORY));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün	for_each_path(merge_sub_files, path_entry, i) {
e1199815SMickaël Salaün		ASSERT_EQ(0, test_open(path_entry, O_RDWR));
e1199815SMickaël Salaün	}
e1199815SMickaël Salaün}
e1199815SMickaël Salaün
e1199815SMickaël SalaünTEST_HARNESS_MAIN