LCOV - code coverage report
Current view: top level - security/selinux - hooks.c (source / functions) Hit Total Coverage
Test: combined.info Lines: 1091 2901 37.6 %
Date: 2022-03-28 13:20:08 Functions: 117 236 49.6 %
Branches: 387 1815 21.3 %

           Branch data     Line data    Source code
       1                 :            : // SPDX-License-Identifier: GPL-2.0-only
       2                 :            : /*
       3                 :            :  *  NSA Security-Enhanced Linux (SELinux) security module
       4                 :            :  *
       5                 :            :  *  This file contains the SELinux hook function implementations.
       6                 :            :  *
       7                 :            :  *  Authors:  Stephen Smalley, <sds@tycho.nsa.gov>
       8                 :            :  *            Chris Vance, <cvance@nai.com>
       9                 :            :  *            Wayne Salamon, <wsalamon@nai.com>
      10                 :            :  *            James Morris <jmorris@redhat.com>
      11                 :            :  *
      12                 :            :  *  Copyright (C) 2001,2002 Networks Associates Technology, Inc.
      13                 :            :  *  Copyright (C) 2003-2008 Red Hat, Inc., James Morris <jmorris@redhat.com>
      14                 :            :  *                                         Eric Paris <eparis@redhat.com>
      15                 :            :  *  Copyright (C) 2004-2005 Trusted Computer Solutions, Inc.
      16                 :            :  *                          <dgoeddel@trustedcs.com>
      17                 :            :  *  Copyright (C) 2006, 2007, 2009 Hewlett-Packard Development Company, L.P.
      18                 :            :  *      Paul Moore <paul@paul-moore.com>
      19                 :            :  *  Copyright (C) 2007 Hitachi Software Engineering Co., Ltd.
      20                 :            :  *                     Yuichi Nakamura <ynakam@hitachisoft.jp>
      21                 :            :  *  Copyright (C) 2016 Mellanox Technologies
      22                 :            :  */
      23                 :            : 
      24                 :            : #include <linux/init.h>
      25                 :            : #include <linux/kd.h>
      26                 :            : #include <linux/kernel.h>
      27                 :            : #include <linux/tracehook.h>
      28                 :            : #include <linux/errno.h>
      29                 :            : #include <linux/sched/signal.h>
      30                 :            : #include <linux/sched/task.h>
      31                 :            : #include <linux/lsm_hooks.h>
      32                 :            : #include <linux/xattr.h>
      33                 :            : #include <linux/capability.h>
      34                 :            : #include <linux/unistd.h>
      35                 :            : #include <linux/mm.h>
      36                 :            : #include <linux/mman.h>
      37                 :            : #include <linux/slab.h>
      38                 :            : #include <linux/pagemap.h>
      39                 :            : #include <linux/proc_fs.h>
      40                 :            : #include <linux/swap.h>
      41                 :            : #include <linux/spinlock.h>
      42                 :            : #include <linux/syscalls.h>
      43                 :            : #include <linux/dcache.h>
      44                 :            : #include <linux/file.h>
      45                 :            : #include <linux/fdtable.h>
      46                 :            : #include <linux/namei.h>
      47                 :            : #include <linux/mount.h>
      48                 :            : #include <linux/fs_context.h>
      49                 :            : #include <linux/fs_parser.h>
      50                 :            : #include <linux/netfilter_ipv4.h>
      51                 :            : #include <linux/netfilter_ipv6.h>
      52                 :            : #include <linux/tty.h>
      53                 :            : #include <net/icmp.h>
      54                 :            : #include <net/ip.h>               /* for local_port_range[] */
      55                 :            : #include <net/tcp.h>              /* struct or_callable used in sock_rcv_skb */
      56                 :            : #include <net/inet_connection_sock.h>
      57                 :            : #include <net/net_namespace.h>
      58                 :            : #include <net/netlabel.h>
      59                 :            : #include <linux/uaccess.h>
      60                 :            : #include <asm/ioctls.h>
      61                 :            : #include <linux/atomic.h>
      62                 :            : #include <linux/bitops.h>
      63                 :            : #include <linux/interrupt.h>
      64                 :            : #include <linux/netdevice.h>      /* for network interface checks */
      65                 :            : #include <net/netlink.h>
      66                 :            : #include <linux/tcp.h>
      67                 :            : #include <linux/udp.h>
      68                 :            : #include <linux/dccp.h>
      69                 :            : #include <linux/sctp.h>
      70                 :            : #include <net/sctp/structs.h>
      71                 :            : #include <linux/quota.h>
      72                 :            : #include <linux/un.h>             /* for Unix socket types */
      73                 :            : #include <net/af_unix.h>  /* for Unix socket types */
      74                 :            : #include <linux/parser.h>
      75                 :            : #include <linux/nfs_mount.h>
      76                 :            : #include <net/ipv6.h>
      77                 :            : #include <linux/hugetlb.h>
      78                 :            : #include <linux/personality.h>
      79                 :            : #include <linux/audit.h>
      80                 :            : #include <linux/string.h>
      81                 :            : #include <linux/mutex.h>
      82                 :            : #include <linux/posix-timers.h>
      83                 :            : #include <linux/syslog.h>
      84                 :            : #include <linux/user_namespace.h>
      85                 :            : #include <linux/export.h>
      86                 :            : #include <linux/msg.h>
      87                 :            : #include <linux/shm.h>
      88                 :            : #include <linux/bpf.h>
      89                 :            : #include <linux/kernfs.h>
      90                 :            : #include <linux/stringhash.h>     /* for hashlen_string() */
      91                 :            : #include <uapi/linux/mount.h>
      92                 :            : #include <linux/fsnotify.h>
      93                 :            : #include <linux/fanotify.h>
      94                 :            : 
      95                 :            : #include "avc.h"
      96                 :            : #include "objsec.h"
      97                 :            : #include "netif.h"
      98                 :            : #include "netnode.h"
      99                 :            : #include "netport.h"
     100                 :            : #include "ibpkey.h"
     101                 :            : #include "xfrm.h"
     102                 :            : #include "netlabel.h"
     103                 :            : #include "audit.h"
     104                 :            : #include "avc_ss.h"
     105                 :            : 
     106                 :            : struct selinux_state selinux_state;
     107                 :            : 
     108                 :            : /* SECMARK reference count */
     109                 :            : static atomic_t selinux_secmark_refcount = ATOMIC_INIT(0);
     110                 :            : 
     111                 :            : #ifdef CONFIG_SECURITY_SELINUX_DEVELOP
     112                 :            : static int selinux_enforcing_boot __initdata;
     113                 :            : 
     114                 :          0 : static int __init enforcing_setup(char *str)
     115                 :            : {
     116                 :          0 :         unsigned long enforcing;
     117         [ #  # ]:          0 :         if (!kstrtoul(str, 0, &enforcing))
     118                 :          0 :                 selinux_enforcing_boot = enforcing ? 1 : 0;
     119                 :          0 :         return 1;
     120                 :            : }
     121                 :            : __setup("enforcing=", enforcing_setup);
     122                 :            : #else
     123                 :            : #define selinux_enforcing_boot 1
     124                 :            : #endif
     125                 :            : 
     126                 :            : int selinux_enabled_boot __initdata = 1;
     127                 :            : #ifdef CONFIG_SECURITY_SELINUX_BOOTPARAM
     128                 :          0 : static int __init selinux_enabled_setup(char *str)
     129                 :            : {
     130                 :          0 :         unsigned long enabled;
     131         [ #  # ]:          0 :         if (!kstrtoul(str, 0, &enabled))
     132                 :          0 :                 selinux_enabled_boot = enabled ? 1 : 0;
     133                 :          0 :         return 1;
     134                 :            : }
     135                 :            : __setup("selinux=", selinux_enabled_setup);
     136                 :            : #endif
     137                 :            : 
     138                 :            : static unsigned int selinux_checkreqprot_boot =
     139                 :            :         CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE;
     140                 :            : 
     141                 :          0 : static int __init checkreqprot_setup(char *str)
     142                 :            : {
     143                 :          0 :         unsigned long checkreqprot;
     144                 :            : 
     145         [ #  # ]:          0 :         if (!kstrtoul(str, 0, &checkreqprot))
     146                 :          0 :                 selinux_checkreqprot_boot = checkreqprot ? 1 : 0;
     147                 :          0 :         return 1;
     148                 :            : }
     149                 :            : __setup("checkreqprot=", checkreqprot_setup);
     150                 :            : 
     151                 :            : /**
     152                 :            :  * selinux_secmark_enabled - Check to see if SECMARK is currently enabled
     153                 :            :  *
     154                 :            :  * Description:
     155                 :            :  * This function checks the SECMARK reference counter to see if any SECMARK
     156                 :            :  * targets are currently configured, if the reference counter is greater than
     157                 :            :  * zero SECMARK is considered to be enabled.  Returns true (1) if SECMARK is
     158                 :            :  * enabled, false (0) if SECMARK is disabled.  If the always_check_network
     159                 :            :  * policy capability is enabled, SECMARK is always considered enabled.
     160                 :            :  *
     161                 :            :  */
     162                 :          0 : static int selinux_secmark_enabled(void)
     163                 :            : {
     164   [ #  #  #  #  :          0 :         return (selinux_policycap_alwaysnetwork() ||
          #  #  #  #  #  
                      # ]
     165                 :            :                 atomic_read(&selinux_secmark_refcount));
     166                 :            : }
     167                 :            : 
     168                 :            : /**
     169                 :            :  * selinux_peerlbl_enabled - Check to see if peer labeling is currently enabled
     170                 :            :  *
     171                 :            :  * Description:
     172                 :            :  * This function checks if NetLabel or labeled IPSEC is enabled.  Returns true
     173                 :            :  * (1) if any are enabled or false (0) if neither are enabled.  If the
     174                 :            :  * always_check_network policy capability is enabled, peer labeling
     175                 :            :  * is always considered enabled.
     176                 :            :  *
     177                 :            :  */
     178                 :          0 : static int selinux_peerlbl_enabled(void)
     179                 :            : {
     180   [ #  #  #  #  :          0 :         return (selinux_policycap_alwaysnetwork() ||
             #  #  #  # ]
     181   [ #  #  #  #  :          0 :                 netlbl_enabled() || selinux_xfrm_enabled());
             #  #  #  # ]
     182                 :            : }
     183                 :            : 
     184                 :          0 : static int selinux_netcache_avc_callback(u32 event)
     185                 :            : {
     186         [ #  # ]:          0 :         if (event == AVC_CALLBACK_RESET) {
     187                 :          0 :                 sel_netif_flush();
     188                 :          0 :                 sel_netnode_flush();
     189                 :          0 :                 sel_netport_flush();
     190                 :          0 :                 synchronize_net();
     191                 :            :         }
     192                 :          0 :         return 0;
     193                 :            : }
     194                 :            : 
     195                 :          0 : static int selinux_lsm_notifier_avc_callback(u32 event)
     196                 :            : {
     197         [ #  # ]:          0 :         if (event == AVC_CALLBACK_RESET) {
     198                 :          0 :                 sel_ib_pkey_flush();
     199                 :          0 :                 call_blocking_lsm_notifier(LSM_POLICY_CHANGE, NULL);
     200                 :            :         }
     201                 :            : 
     202                 :          0 :         return 0;
     203                 :            : }
     204                 :            : 
     205                 :            : /*
     206                 :            :  * initialise the security for the init task
     207                 :            :  */
     208                 :         30 : static void cred_init_security(void)
     209                 :            : {
     210                 :         30 :         struct cred *cred = (struct cred *) current->real_cred;
     211                 :         30 :         struct task_security_struct *tsec;
     212                 :            : 
     213                 :         30 :         tsec = selinux_cred(cred);
     214                 :         30 :         tsec->osid = tsec->sid = SECINITSID_KERNEL;
     215                 :            : }
     216                 :            : 
     217                 :            : /*
     218                 :            :  * get the security ID of a set of credentials
     219                 :            :  */
     220                 :   19952046 : static inline u32 cred_sid(const struct cred *cred)
     221                 :            : {
     222                 :   19952046 :         const struct task_security_struct *tsec;
     223                 :            : 
     224                 :     153395 :         tsec = selinux_cred(cred);
     225                 :         90 :         return tsec->sid;
     226                 :            : }
     227                 :            : 
     228                 :            : /*
     229                 :            :  * get the objective security ID of a task
     230                 :            :  */
     231                 :     153395 : static inline u32 task_sid(const struct task_struct *task)
     232                 :            : {
     233                 :     153395 :         u32 sid;
     234                 :            : 
     235                 :          0 :         rcu_read_lock();
     236                 :     153395 :         sid = cred_sid(__task_cred(task));
     237                 :     153395 :         rcu_read_unlock();
     238                 :       2952 :         return sid;
     239                 :            : }
     240                 :            : 
     241                 :            : static int inode_doinit_with_dentry(struct inode *inode, struct dentry *opt_dentry);
     242                 :            : 
     243                 :            : /*
     244                 :            :  * Try reloading inode security labels that have been marked as invalid.  The
     245                 :            :  * @may_sleep parameter indicates when sleeping and thus reloading labels is
     246                 :            :  * allowed; when set to false, returns -ECHILD when the label is
     247                 :            :  * invalid.  The @dentry parameter should be set to a dentry of the inode.
     248                 :            :  */
     249                 :   12972286 : static int __inode_security_revalidate(struct inode *inode,
     250                 :            :                                        struct dentry *dentry,
     251                 :            :                                        bool may_sleep)
     252                 :            : {
     253         [ +  - ]:   12972286 :         struct inode_security_struct *isec = selinux_inode(inode);
     254                 :            : 
     255         [ +  + ]:   12972286 :         might_sleep_if(may_sleep);
     256                 :            : 
     257         [ -  + ]:   12972286 :         if (selinux_initialized(&selinux_state) &&
     258         [ #  # ]:          0 :             isec->initialized != LABEL_INITIALIZED) {
     259         [ #  # ]:          0 :                 if (!may_sleep)
     260                 :            :                         return -ECHILD;
     261                 :            : 
     262                 :            :                 /*
     263                 :            :                  * Try reloading the inode security label.  This will fail if
     264                 :            :                  * @opt_dentry is NULL and no dentry for this inode can be
     265                 :            :                  * found; in that case, continue using the old label.
     266                 :            :                  */
     267                 :          0 :                 inode_doinit_with_dentry(inode, dentry);
     268                 :            :         }
     269                 :            :         return 0;
     270                 :            : }
     271                 :            : 
     272                 :      39043 : static struct inode_security_struct *inode_security_novalidate(struct inode *inode)
     273                 :            : {
     274   [ +  -  +  -  :      39043 :         return selinux_inode(inode);
          +  -  +  -  +  
                      - ]
     275                 :            : }
     276                 :            : 
     277                 :    9714598 : static struct inode_security_struct *inode_security_rcu(struct inode *inode, bool rcu)
     278                 :            : {
     279                 :    9714598 :         int error;
     280                 :            : 
     281                 :    9714598 :         error = __inode_security_revalidate(inode, NULL, !rcu);
     282         [ -  + ]:    9714598 :         if (error)
     283                 :          0 :                 return ERR_PTR(error);
     284         [ +  - ]:    9714598 :         return selinux_inode(inode);
     285                 :            : }
     286                 :            : 
     287                 :            : /*
     288                 :            :  * Get the security label of an inode.
     289                 :            :  */
     290                 :    1815419 : static struct inode_security_struct *inode_security(struct inode *inode)
     291                 :            : {
     292                 :     771014 :         __inode_security_revalidate(inode, NULL, true);
     293   [ +  -  -  -  :    1815419 :         return selinux_inode(inode);
          +  -  +  -  +  
          -  -  -  +  -  
          +  -  +  -  +  
             -  +  -  +  
                      - ]
     294                 :            : }
     295                 :            : 
     296                 :          0 : static struct inode_security_struct *backing_inode_security_novalidate(struct dentry *dentry)
     297                 :            : {
     298                 :          0 :         struct inode *inode = d_backing_inode(dentry);
     299                 :            : 
     300         [ #  # ]:          0 :         return selinux_inode(inode);
     301                 :            : }
     302                 :            : 
     303                 :            : /*
     304                 :            :  * Get the security label of a dentry's backing inode.
     305                 :            :  */
     306                 :      11286 : static struct inode_security_struct *backing_inode_security(struct dentry *dentry)
     307                 :            : {
     308                 :      11286 :         struct inode *inode = d_backing_inode(dentry);
     309                 :            : 
     310                 :      11286 :         __inode_security_revalidate(inode, dentry, true);
     311   [ -  -  -  -  :      11286 :         return selinux_inode(inode);
          -  -  -  -  +  
          -  +  -  +  -  
          -  -  -  -  -  
                -  -  - ]
     312                 :            : }
     313                 :            : 
     314                 :      54297 : static void inode_free_security(struct inode *inode)
     315                 :            : {
     316         [ +  - ]:      54297 :         struct inode_security_struct *isec = selinux_inode(inode);
     317                 :      54297 :         struct superblock_security_struct *sbsec;
     318                 :            : 
     319         [ +  - ]:      54297 :         if (!isec)
     320                 :            :                 return;
     321                 :      54297 :         sbsec = inode->i_sb->s_security;
     322                 :            :         /*
     323                 :            :          * As not all inode security structures are in a list, we check for
     324                 :            :          * empty list outside of the lock to make sure that we won't waste
     325                 :            :          * time taking a lock doing nothing.
     326                 :            :          *
     327                 :            :          * The list_del_init() function can be safely called more than once.
     328                 :            :          * It should not be possible for this function to be called with
     329                 :            :          * concurrent list_add(), but for better safety against future changes
     330                 :            :          * in the code, we use list_empty_careful() here.
     331                 :            :          */
     332         [ +  + ]:      54297 :         if (!list_empty_careful(&isec->list)) {
     333                 :      12306 :                 spin_lock(&sbsec->isec_lock);
     334                 :      12306 :                 list_del_init(&isec->list);
     335                 :      12306 :                 spin_unlock(&sbsec->isec_lock);
     336                 :            :         }
     337                 :            : }
     338                 :            : 
     339                 :         60 : static void superblock_free_security(struct super_block *sb)
     340                 :            : {
     341                 :         60 :         struct superblock_security_struct *sbsec = sb->s_security;
     342                 :         60 :         sb->s_security = NULL;
     343                 :         60 :         kfree(sbsec);
     344                 :            : }
     345                 :            : 
     346                 :            : struct selinux_mnt_opts {
     347                 :            :         const char *fscontext, *context, *rootcontext, *defcontext;
     348                 :            : };
     349                 :            : 
     350                 :          0 : static void selinux_free_mnt_opts(void *mnt_opts)
     351                 :            : {
     352                 :          0 :         struct selinux_mnt_opts *opts = mnt_opts;
     353                 :          0 :         kfree(opts->fscontext);
     354                 :          0 :         kfree(opts->context);
     355                 :          0 :         kfree(opts->rootcontext);
     356                 :          0 :         kfree(opts->defcontext);
     357                 :          0 :         kfree(opts);
     358                 :          0 : }
     359                 :            : 
     360                 :            : enum {
     361                 :            :         Opt_error = -1,
     362                 :            :         Opt_context = 0,
     363                 :            :         Opt_defcontext = 1,
     364                 :            :         Opt_fscontext = 2,
     365                 :            :         Opt_rootcontext = 3,
     366                 :            :         Opt_seclabel = 4,
     367                 :            : };
     368                 :            : 
     369                 :            : #define A(s, has_arg) {#s, sizeof(#s) - 1, Opt_##s, has_arg}
     370                 :            : static struct {
     371                 :            :         const char *name;
     372                 :            :         int len;
     373                 :            :         int opt;
     374                 :            :         bool has_arg;
     375                 :            : } tokens[] = {
     376                 :            :         A(context, true),
     377                 :            :         A(fscontext, true),
     378                 :            :         A(defcontext, true),
     379                 :            :         A(rootcontext, true),
     380                 :            :         A(seclabel, false),
     381                 :            : };
     382                 :            : #undef A
     383                 :            : 
     384                 :        690 : static int match_opt_prefix(char *s, int l, char **arg)
     385                 :            : {
     386                 :        690 :         int i;
     387                 :            : 
     388         [ +  + ]:       4140 :         for (i = 0; i < ARRAY_SIZE(tokens); i++) {
     389                 :       3450 :                 size_t len = tokens[i].len;
     390   [ +  +  +  - ]:       3450 :                 if (len > l || memcmp(s, tokens[i].name, len))
     391                 :       3450 :                         continue;
     392         [ #  # ]:          0 :                 if (tokens[i].has_arg) {
     393   [ #  #  #  # ]:          0 :                         if (len == l || s[len] != '=')
     394                 :          0 :                                 continue;
     395                 :          0 :                         *arg = s + len + 1;
     396         [ #  # ]:          0 :                 } else if (len != l)
     397                 :          0 :                         continue;
     398                 :          0 :                 return tokens[i].opt;
     399                 :            :         }
     400                 :            :         return Opt_error;
     401                 :            : }
     402                 :            : 
     403                 :            : #define SEL_MOUNT_FAIL_MSG "SELinux:  duplicate or incompatible mount options\n"
     404                 :            : 
     405                 :            : static int may_context_mount_sb_relabel(u32 sid,
     406                 :            :                         struct superblock_security_struct *sbsec,
     407                 :            :                         const struct cred *cred)
     408                 :            : {
     409                 :            :         const struct task_security_struct *tsec = selinux_cred(cred);
     410                 :            :         int rc;
     411                 :            : 
     412                 :            :         rc = avc_has_perm(&selinux_state,
     413                 :            :                           tsec->sid, sbsec->sid, SECCLASS_FILESYSTEM,
     414                 :            :                           FILESYSTEM__RELABELFROM, NULL);
     415                 :            :         if (rc)
     416                 :            :                 return rc;
     417                 :            : 
     418                 :            :         rc = avc_has_perm(&selinux_state,
     419                 :            :                           tsec->sid, sid, SECCLASS_FILESYSTEM,
     420                 :            :                           FILESYSTEM__RELABELTO, NULL);
     421                 :            :         return rc;
     422                 :            : }
     423                 :            : 
     424                 :            : static int may_context_mount_inode_relabel(u32 sid,
     425                 :            :                         struct superblock_security_struct *sbsec,
     426                 :            :                         const struct cred *cred)
     427                 :            : {
     428                 :            :         const struct task_security_struct *tsec = selinux_cred(cred);
     429                 :            :         int rc;
     430                 :            :         rc = avc_has_perm(&selinux_state,
     431                 :            :                           tsec->sid, sbsec->sid, SECCLASS_FILESYSTEM,
     432                 :            :                           FILESYSTEM__RELABELFROM, NULL);
     433                 :            :         if (rc)
     434                 :            :                 return rc;
     435                 :            : 
     436                 :            :         rc = avc_has_perm(&selinux_state,
     437                 :            :                           sid, sbsec->sid, SECCLASS_FILESYSTEM,
     438                 :            :                           FILESYSTEM__ASSOCIATE, NULL);
     439                 :            :         return rc;
     440                 :            : }
     441                 :            : 
     442                 :            : static int selinux_is_genfs_special_handling(struct super_block *sb)
     443                 :            : {
     444                 :            :         /* Special handling. Genfs but also in-core setxattr handler */
     445                 :            :         return  !strcmp(sb->s_type->name, "sysfs") ||
     446                 :            :                 !strcmp(sb->s_type->name, "pstore") ||
     447                 :            :                 !strcmp(sb->s_type->name, "debugfs") ||
     448                 :            :                 !strcmp(sb->s_type->name, "tracefs") ||
     449                 :            :                 !strcmp(sb->s_type->name, "rootfs") ||
     450                 :            :                 (selinux_policycap_cgroupseclabel() &&
     451                 :            :                  (!strcmp(sb->s_type->name, "cgroup") ||
     452                 :            :                   !strcmp(sb->s_type->name, "cgroup2")));
     453                 :            : }
     454                 :            : 
     455                 :          0 : static int selinux_is_sblabel_mnt(struct super_block *sb)
     456                 :            : {
     457                 :          0 :         struct superblock_security_struct *sbsec = sb->s_security;
     458                 :            : 
     459                 :            :         /*
     460                 :            :          * IMPORTANT: Double-check logic in this function when adding a new
     461                 :            :          * SECURITY_FS_USE_* definition!
     462                 :            :          */
     463                 :          0 :         BUILD_BUG_ON(SECURITY_FS_USE_MAX != 7);
     464                 :            : 
     465      [ #  #  # ]:          0 :         switch (sbsec->behavior) {
     466                 :            :         case SECURITY_FS_USE_XATTR:
     467                 :            :         case SECURITY_FS_USE_TRANS:
     468                 :            :         case SECURITY_FS_USE_TASK:
     469                 :            :         case SECURITY_FS_USE_NATIVE:
     470                 :            :                 return 1;
     471                 :            : 
     472                 :          0 :         case SECURITY_FS_USE_GENFS:
     473                 :          0 :                 return selinux_is_genfs_special_handling(sb);
     474                 :            : 
     475                 :            :         /* Never allow relabeling on context mounts */
     476                 :          0 :         case SECURITY_FS_USE_MNTPOINT:
     477                 :            :         case SECURITY_FS_USE_NONE:
     478                 :            :         default:
     479                 :          0 :                 return 0;
     480                 :            :         }
     481                 :            : }
     482                 :            : 
     483                 :          0 : static int sb_finish_set_opts(struct super_block *sb)
     484                 :            : {
     485                 :          0 :         struct superblock_security_struct *sbsec = sb->s_security;
     486                 :          0 :         struct dentry *root = sb->s_root;
     487         [ #  # ]:          0 :         struct inode *root_inode = d_backing_inode(root);
     488                 :          0 :         int rc = 0;
     489                 :            : 
     490         [ #  # ]:          0 :         if (sbsec->behavior == SECURITY_FS_USE_XATTR) {
     491                 :            :                 /* Make sure that the xattr handler exists and that no
     492                 :            :                    error other than -ENODATA is returned by getxattr on
     493                 :            :                    the root directory.  -ENODATA is ok, as this may be
     494                 :            :                    the first boot of the SELinux kernel before we have
     495                 :            :                    assigned xattr values to the filesystem. */
     496         [ #  # ]:          0 :                 if (!(root_inode->i_opflags & IOP_XATTR)) {
     497                 :          0 :                         pr_warn("SELinux: (dev %s, type %s) has no "
     498                 :            :                                "xattr support\n", sb->s_id, sb->s_type->name);
     499                 :          0 :                         rc = -EOPNOTSUPP;
     500                 :          0 :                         goto out;
     501                 :            :                 }
     502                 :            : 
     503                 :          0 :                 rc = __vfs_getxattr(root, root_inode, XATTR_NAME_SELINUX, NULL, 0);
     504         [ #  # ]:          0 :                 if (rc < 0 && rc != -ENODATA) {
     505         [ #  # ]:          0 :                         if (rc == -EOPNOTSUPP)
     506                 :          0 :                                 pr_warn("SELinux: (dev %s, type "
     507                 :            :                                        "%s) has no security xattr handler\n",
     508                 :            :                                        sb->s_id, sb->s_type->name);
     509                 :            :                         else
     510                 :          0 :                                 pr_warn("SELinux: (dev %s, type "
     511                 :            :                                        "%s) getxattr errno %d\n", sb->s_id,
     512                 :            :                                        sb->s_type->name, -rc);
     513                 :          0 :                         goto out;
     514                 :            :                 }
     515                 :            :         }
     516                 :            : 
     517                 :          0 :         sbsec->flags |= SE_SBINITIALIZED;
     518                 :            : 
     519                 :            :         /*
     520                 :            :          * Explicitly set or clear SBLABEL_MNT.  It's not sufficient to simply
     521                 :            :          * leave the flag untouched because sb_clone_mnt_opts might be handing
     522                 :            :          * us a superblock that needs the flag to be cleared.
     523                 :            :          */
     524         [ #  # ]:          0 :         if (selinux_is_sblabel_mnt(sb))
     525                 :          0 :                 sbsec->flags |= SBLABEL_MNT;
     526                 :            :         else
     527                 :          0 :                 sbsec->flags &= ~SBLABEL_MNT;
     528                 :            : 
     529                 :            :         /* Initialize the root inode. */
     530                 :          0 :         rc = inode_doinit_with_dentry(root_inode, root);
     531                 :            : 
     532                 :            :         /* Initialize any other inodes associated with the superblock, e.g.
     533                 :            :            inodes created prior to initial policy load or inodes created
     534                 :            :            during get_sb by a pseudo filesystem that directly
     535                 :            :            populates itself. */
     536                 :          0 :         spin_lock(&sbsec->isec_lock);
     537         [ #  # ]:          0 :         while (!list_empty(&sbsec->isec_head)) {
     538                 :          0 :                 struct inode_security_struct *isec =
     539                 :          0 :                                 list_first_entry(&sbsec->isec_head,
     540                 :            :                                            struct inode_security_struct, list);
     541                 :          0 :                 struct inode *inode = isec->inode;
     542                 :          0 :                 list_del_init(&isec->list);
     543                 :          0 :                 spin_unlock(&sbsec->isec_lock);
     544                 :          0 :                 inode = igrab(inode);
     545         [ #  # ]:          0 :                 if (inode) {
     546         [ #  # ]:          0 :                         if (!IS_PRIVATE(inode))
     547                 :          0 :                                 inode_doinit_with_dentry(inode, NULL);
     548                 :          0 :                         iput(inode);
     549                 :            :                 }
     550                 :          0 :                 spin_lock(&sbsec->isec_lock);
     551                 :            :         }
     552                 :          0 :         spin_unlock(&sbsec->isec_lock);
     553                 :          0 : out:
     554                 :          0 :         return rc;
     555                 :            : }
     556                 :            : 
     557                 :          0 : static int bad_option(struct superblock_security_struct *sbsec, char flag,
     558                 :            :                       u32 old_sid, u32 new_sid)
     559                 :            : {
     560                 :          0 :         char mnt_flags = sbsec->flags & SE_MNTMASK;
     561                 :            : 
     562                 :            :         /* check if the old mount command had the same options */
     563                 :          0 :         if (sbsec->flags & SE_SBINITIALIZED)
     564   [ #  #  #  #  :          0 :                 if (!(sbsec->flags & flag) ||
          #  #  #  #  #  
          #  #  #  #  #  
          #  #  #  #  #  
          #  #  #  #  #  
          #  #  #  #  #  
                #  #  # ]
     565                 :            :                     (old_sid != new_sid))
     566                 :            :                         return 1;
     567                 :            : 
     568                 :            :         /* check if we were passed the same options twice,
     569                 :            :          * aka someone passed context=a,context=b
     570                 :            :          */
     571   [ #  #  #  #  :          0 :         if (!(sbsec->flags & SE_SBINITIALIZED))
          #  #  #  #  #  
          #  #  #  #  #  
                   #  # ]
     572   [ #  #  #  #  :          0 :                 if (mnt_flags & flag)
          #  #  #  #  #  
          #  #  #  #  #  
                   #  # ]
     573                 :            :                         return 1;
     574                 :            :         return 0;
     575                 :            : }
     576                 :            : 
     577                 :          0 : static int parse_sid(struct super_block *sb, const char *s, u32 *sid)
     578                 :            : {
     579                 :          0 :         int rc = security_context_str_to_sid(&selinux_state, s,
     580                 :            :                                              sid, GFP_KERNEL);
     581         [ #  # ]:          0 :         if (rc)
     582                 :          0 :                 pr_warn("SELinux: security_context_str_to_sid"
     583                 :            :                        "(%s) failed for (dev %s, type %s) errno=%d\n",
     584                 :            :                        s, sb->s_id, sb->s_type->name, rc);
     585                 :          0 :         return rc;
     586                 :            : }
     587                 :            : 
     588                 :            : /*
     589                 :            :  * Allow filesystems with binary mount data to explicitly set mount point
     590                 :            :  * labeling information.
     591                 :            :  */
     592                 :       1320 : static int selinux_set_mnt_opts(struct super_block *sb,
     593                 :            :                                 void *mnt_opts,
     594                 :            :                                 unsigned long kern_flags,
     595                 :            :                                 unsigned long *set_kern_flags)
     596                 :            : {
     597                 :       1320 :         const struct cred *cred = current_cred();
     598                 :       1320 :         struct superblock_security_struct *sbsec = sb->s_security;
     599                 :       1320 :         struct dentry *root = sbsec->sb->s_root;
     600                 :       1320 :         struct selinux_mnt_opts *opts = mnt_opts;
     601                 :       1320 :         struct inode_security_struct *root_isec;
     602                 :       1320 :         u32 fscontext_sid = 0, context_sid = 0, rootcontext_sid = 0;
     603                 :       1320 :         u32 defcontext_sid = 0;
     604                 :       1320 :         int rc = 0;
     605                 :            : 
     606                 :       1320 :         mutex_lock(&sbsec->lock);
     607                 :            : 
     608         [ +  - ]:       1320 :         if (!selinux_initialized(&selinux_state)) {
     609         [ +  - ]:       1320 :                 if (!opts) {
     610                 :            :                         /* Defer initialization until selinux_complete_init,
     611                 :            :                            after the initial policy is loaded and the security
     612                 :            :                            server is ready to handle calls. */
     613                 :       1320 :                         goto out;
     614                 :            :                 }
     615                 :          0 :                 rc = -EINVAL;
     616                 :          0 :                 pr_warn("SELinux: Unable to set superblock options "
     617                 :            :                         "before the security server is initialized\n");
     618                 :          0 :                 goto out;
     619                 :            :         }
     620         [ #  # ]:          0 :         if (kern_flags && !set_kern_flags) {
     621                 :            :                 /* Specifying internal flags without providing a place to
     622                 :            :                  * place the results is not allowed */
     623                 :          0 :                 rc = -EINVAL;
     624                 :          0 :                 goto out;
     625                 :            :         }
     626                 :            : 
     627                 :            :         /*
     628                 :            :          * Binary mount data FS will come through this function twice.  Once
     629                 :            :          * from an explicit call and once from the generic calls from the vfs.
     630                 :            :          * Since the generic VFS calls will not contain any security mount data
     631                 :            :          * we need to skip the double mount verification.
     632                 :            :          *
     633                 :            :          * This does open a hole in which we will not notice if the first
     634                 :            :          * mount using this sb set explict options and a second mount using
     635                 :            :          * this sb does not set any security options.  (The first options
     636                 :            :          * will be used for both mounts)
     637                 :            :          */
     638   [ #  #  #  # ]:          0 :         if ((sbsec->flags & SE_SBINITIALIZED) && (sb->s_type->fs_flags & FS_BINARY_MOUNTDATA)
     639         [ #  # ]:          0 :             && !opts)
     640                 :          0 :                 goto out;
     641                 :            : 
     642         [ #  # ]:          0 :         root_isec = backing_inode_security_novalidate(root);
     643                 :            : 
     644                 :            :         /*
     645                 :            :          * parse the mount options, check if they are valid sids.
     646                 :            :          * also check if someone is trying to mount the same sb more
     647                 :            :          * than once with different security options.
     648                 :            :          */
     649         [ #  # ]:          0 :         if (opts) {
     650         [ #  # ]:          0 :                 if (opts->fscontext) {
     651                 :          0 :                         rc = parse_sid(sb, opts->fscontext, &fscontext_sid);
     652         [ #  # ]:          0 :                         if (rc)
     653                 :          0 :                                 goto out;
     654         [ #  # ]:          0 :                         if (bad_option(sbsec, FSCONTEXT_MNT, sbsec->sid,
     655                 :            :                                         fscontext_sid))
     656                 :          0 :                                 goto out_double_mount;
     657                 :          0 :                         sbsec->flags |= FSCONTEXT_MNT;
     658                 :            :                 }
     659         [ #  # ]:          0 :                 if (opts->context) {
     660                 :          0 :                         rc = parse_sid(sb, opts->context, &context_sid);
     661         [ #  # ]:          0 :                         if (rc)
     662                 :          0 :                                 goto out;
     663         [ #  # ]:          0 :                         if (bad_option(sbsec, CONTEXT_MNT, sbsec->mntpoint_sid,
     664                 :            :                                         context_sid))
     665                 :          0 :                                 goto out_double_mount;
     666                 :          0 :                         sbsec->flags |= CONTEXT_MNT;
     667                 :            :                 }
     668         [ #  # ]:          0 :                 if (opts->rootcontext) {
     669                 :          0 :                         rc = parse_sid(sb, opts->rootcontext, &rootcontext_sid);
     670         [ #  # ]:          0 :                         if (rc)
     671                 :          0 :                                 goto out;
     672         [ #  # ]:          0 :                         if (bad_option(sbsec, ROOTCONTEXT_MNT, root_isec->sid,
     673                 :            :                                         rootcontext_sid))
     674                 :          0 :                                 goto out_double_mount;
     675                 :          0 :                         sbsec->flags |= ROOTCONTEXT_MNT;
     676                 :            :                 }
     677         [ #  # ]:          0 :                 if (opts->defcontext) {
     678                 :          0 :                         rc = parse_sid(sb, opts->defcontext, &defcontext_sid);
     679         [ #  # ]:          0 :                         if (rc)
     680                 :          0 :                                 goto out;
     681         [ #  # ]:          0 :                         if (bad_option(sbsec, DEFCONTEXT_MNT, sbsec->def_sid,
     682                 :            :                                         defcontext_sid))
     683                 :          0 :                                 goto out_double_mount;
     684                 :          0 :                         sbsec->flags |= DEFCONTEXT_MNT;
     685                 :            :                 }
     686                 :            :         }
     687                 :            : 
     688         [ #  # ]:          0 :         if (sbsec->flags & SE_SBINITIALIZED) {
     689                 :            :                 /* previously mounted with options, but not on this attempt? */
     690   [ #  #  #  # ]:          0 :                 if ((sbsec->flags & SE_MNTMASK) && !opts)
     691                 :          0 :                         goto out_double_mount;
     692                 :          0 :                 rc = 0;
     693                 :          0 :                 goto out;
     694                 :            :         }
     695                 :            : 
     696         [ #  # ]:          0 :         if (strcmp(sb->s_type->name, "proc") == 0)
     697                 :          0 :                 sbsec->flags |= SE_SBPROC | SE_SBGENFS;
     698                 :            : 
     699         [ #  # ]:          0 :         if (!strcmp(sb->s_type->name, "debugfs") ||
     700         [ #  # ]:          0 :             !strcmp(sb->s_type->name, "tracefs") ||
     701         [ #  # ]:          0 :             !strcmp(sb->s_type->name, "binder") ||
     702         [ #  # ]:          0 :             !strcmp(sb->s_type->name, "pstore"))
     703                 :          0 :                 sbsec->flags |= SE_SBGENFS;
     704                 :            : 
     705         [ #  # ]:          0 :         if (!strcmp(sb->s_type->name, "sysfs") ||
     706         [ #  # ]:          0 :             !strcmp(sb->s_type->name, "cgroup") ||
     707         [ #  # ]:          0 :             !strcmp(sb->s_type->name, "cgroup2"))
     708                 :          0 :                 sbsec->flags |= SE_SBGENFS | SE_SBGENFS_XATTR;
     709                 :            : 
     710         [ #  # ]:          0 :         if (!sbsec->behavior) {
     711                 :            :                 /*
     712                 :            :                  * Determine the labeling behavior to use for this
     713                 :            :                  * filesystem type.
     714                 :            :                  */
     715                 :          0 :                 rc = security_fs_use(&selinux_state, sb);
     716         [ #  # ]:          0 :                 if (rc) {
     717                 :          0 :                         pr_warn("%s: security_fs_use(%s) returned %d\n",
     718                 :            :                                         __func__, sb->s_type->name, rc);
     719                 :          0 :                         goto out;
     720                 :            :                 }
     721                 :            :         }
     722                 :            : 
     723                 :            :         /*
     724                 :            :          * If this is a user namespace mount and the filesystem type is not
     725                 :            :          * explicitly whitelisted, then no contexts are allowed on the command
     726                 :            :          * line and security labels must be ignored.
     727                 :            :          */
     728         [ #  # ]:          0 :         if (sb->s_user_ns != &init_user_ns &&
     729         [ #  # ]:          0 :             strcmp(sb->s_type->name, "tmpfs") &&
     730         [ #  # ]:          0 :             strcmp(sb->s_type->name, "ramfs") &&
     731         [ #  # ]:          0 :             strcmp(sb->s_type->name, "devpts")) {
     732   [ #  #  #  #  :          0 :                 if (context_sid || fscontext_sid || rootcontext_sid ||
             #  #  #  # ]
     733                 :            :                     defcontext_sid) {
     734                 :          0 :                         rc = -EACCES;
     735                 :          0 :                         goto out;
     736                 :            :                 }
     737         [ #  # ]:          0 :                 if (sbsec->behavior == SECURITY_FS_USE_XATTR) {
     738                 :          0 :                         sbsec->behavior = SECURITY_FS_USE_MNTPOINT;
     739                 :          0 :                         rc = security_transition_sid(&selinux_state,
     740                 :            :                                                      current_sid(),
     741                 :            :                                                      current_sid(),
     742                 :            :                                                      SECCLASS_FILE, NULL,
     743                 :            :                                                      &sbsec->mntpoint_sid);
     744         [ #  # ]:          0 :                         if (rc)
     745                 :          0 :                                 goto out;
     746                 :            :                 }
     747                 :          0 :                 goto out_set_opts;
     748                 :            :         }
     749                 :            : 
     750                 :            :         /* sets the context of the superblock for the fs being mounted. */
     751         [ #  # ]:          0 :         if (fscontext_sid) {
     752                 :          0 :                 rc = may_context_mount_sb_relabel(fscontext_sid, sbsec, cred);
     753         [ #  # ]:          0 :                 if (rc)
     754                 :          0 :                         goto out;
     755                 :            : 
     756                 :          0 :                 sbsec->sid = fscontext_sid;
     757                 :            :         }
     758                 :            : 
     759                 :            :         /*
     760                 :            :          * Switch to using mount point labeling behavior.
     761                 :            :          * sets the label used on all file below the mountpoint, and will set
     762                 :            :          * the superblock context if not already set.
     763                 :            :          */
     764   [ #  #  #  # ]:          0 :         if (kern_flags & SECURITY_LSM_NATIVE_LABELS && !context_sid) {
     765                 :          0 :                 sbsec->behavior = SECURITY_FS_USE_NATIVE;
     766                 :          0 :                 *set_kern_flags |= SECURITY_LSM_NATIVE_LABELS;
     767                 :            :         }
     768                 :            : 
     769         [ #  # ]:          0 :         if (context_sid) {
     770         [ #  # ]:          0 :                 if (!fscontext_sid) {
     771                 :          0 :                         rc = may_context_mount_sb_relabel(context_sid, sbsec,
     772                 :            :                                                           cred);
     773         [ #  # ]:          0 :                         if (rc)
     774                 :          0 :                                 goto out;
     775                 :          0 :                         sbsec->sid = context_sid;
     776                 :            :                 } else {
     777                 :          0 :                         rc = may_context_mount_inode_relabel(context_sid, sbsec,
     778                 :            :                                                              cred);
     779         [ #  # ]:          0 :                         if (rc)
     780                 :          0 :                                 goto out;
     781                 :            :                 }
     782         [ #  # ]:          0 :                 if (!rootcontext_sid)
     783                 :          0 :                         rootcontext_sid = context_sid;
     784                 :            : 
     785                 :          0 :                 sbsec->mntpoint_sid = context_sid;
     786                 :          0 :                 sbsec->behavior = SECURITY_FS_USE_MNTPOINT;
     787                 :            :         }
     788                 :            : 
     789         [ #  # ]:          0 :         if (rootcontext_sid) {
     790                 :          0 :                 rc = may_context_mount_inode_relabel(rootcontext_sid, sbsec,
     791                 :            :                                                      cred);
     792         [ #  # ]:          0 :                 if (rc)
     793                 :          0 :                         goto out;
     794                 :            : 
     795                 :          0 :                 root_isec->sid = rootcontext_sid;
     796                 :          0 :                 root_isec->initialized = LABEL_INITIALIZED;
     797                 :            :         }
     798                 :            : 
     799         [ #  # ]:          0 :         if (defcontext_sid) {
     800         [ #  # ]:          0 :                 if (sbsec->behavior != SECURITY_FS_USE_XATTR &&
     801                 :            :                         sbsec->behavior != SECURITY_FS_USE_NATIVE) {
     802                 :          0 :                         rc = -EINVAL;
     803                 :          0 :                         pr_warn("SELinux: defcontext option is "
     804                 :            :                                "invalid for this filesystem type\n");
     805                 :          0 :                         goto out;
     806                 :            :                 }
     807                 :            : 
     808         [ #  # ]:          0 :                 if (defcontext_sid != sbsec->def_sid) {
     809                 :          0 :                         rc = may_context_mount_inode_relabel(defcontext_sid,
     810                 :            :                                                              sbsec, cred);
     811         [ #  # ]:          0 :                         if (rc)
     812                 :          0 :                                 goto out;
     813                 :            :                 }
     814                 :            : 
     815                 :          0 :                 sbsec->def_sid = defcontext_sid;
     816                 :            :         }
     817                 :            : 
     818                 :          0 : out_set_opts:
     819                 :          0 :         rc = sb_finish_set_opts(sb);
     820                 :       1320 : out:
     821                 :       1320 :         mutex_unlock(&sbsec->lock);
     822                 :       1320 :         return rc;
     823                 :          0 : out_double_mount:
     824                 :          0 :         rc = -EINVAL;
     825                 :          0 :         pr_warn("SELinux: mount invalid.  Same superblock, different "
     826                 :            :                "security settings for (dev %s, type %s)\n", sb->s_id,
     827                 :            :                sb->s_type->name);
     828                 :          0 :         goto out;
     829                 :            : }
     830                 :            : 
     831                 :            : static int selinux_cmp_sb_context(const struct super_block *oldsb,
     832                 :            :                                     const struct super_block *newsb)
     833                 :            : {
     834                 :            :         struct superblock_security_struct *old = oldsb->s_security;
     835                 :            :         struct superblock_security_struct *new = newsb->s_security;
     836                 :            :         char oldflags = old->flags & SE_MNTMASK;
     837                 :            :         char newflags = new->flags & SE_MNTMASK;
     838                 :            : 
     839                 :            :         if (oldflags != newflags)
     840                 :            :                 goto mismatch;
     841                 :            :         if ((oldflags & FSCONTEXT_MNT) && old->sid != new->sid)
     842                 :            :                 goto mismatch;
     843                 :            :         if ((oldflags & CONTEXT_MNT) && old->mntpoint_sid != new->mntpoint_sid)
     844                 :            :                 goto mismatch;
     845                 :            :         if ((oldflags & DEFCONTEXT_MNT) && old->def_sid != new->def_sid)
     846                 :            :                 goto mismatch;
     847                 :            :         if (oldflags & ROOTCONTEXT_MNT) {
     848                 :            :                 struct inode_security_struct *oldroot = backing_inode_security(oldsb->s_root);
     849                 :            :                 struct inode_security_struct *newroot = backing_inode_security(newsb->s_root);
     850                 :            :                 if (oldroot->sid != newroot->sid)
     851                 :            :                         goto mismatch;
     852                 :            :         }
     853                 :            :         return 0;
     854                 :            : mismatch:
     855                 :            :         pr_warn("SELinux: mount invalid.  Same superblock, "
     856                 :            :                             "different security settings for (dev %s, "
     857                 :            :                             "type %s)\n", newsb->s_id, newsb->s_type->name);
     858                 :            :         return -EBUSY;
     859                 :            : }
     860                 :            : 
     861                 :          0 : static int selinux_sb_clone_mnt_opts(const struct super_block *oldsb,
     862                 :            :                                         struct super_block *newsb,
     863                 :            :                                         unsigned long kern_flags,
     864                 :            :                                         unsigned long *set_kern_flags)
     865                 :            : {
     866                 :          0 :         int rc = 0;
     867                 :          0 :         const struct superblock_security_struct *oldsbsec = oldsb->s_security;
     868                 :          0 :         struct superblock_security_struct *newsbsec = newsb->s_security;
     869                 :            : 
     870                 :          0 :         int set_fscontext =     (oldsbsec->flags & FSCONTEXT_MNT);
     871                 :          0 :         int set_context =       (oldsbsec->flags & CONTEXT_MNT);
     872                 :          0 :         int set_rootcontext =   (oldsbsec->flags & ROOTCONTEXT_MNT);
     873                 :            : 
     874                 :            :         /*
     875                 :            :          * if the parent was able to be mounted it clearly had no special lsm
     876                 :            :          * mount options.  thus we can safely deal with this superblock later
     877                 :            :          */
     878         [ #  # ]:          0 :         if (!selinux_initialized(&selinux_state))
     879                 :            :                 return 0;
     880                 :            : 
     881                 :            :         /*
     882                 :            :          * Specifying internal flags without providing a place to
     883                 :            :          * place the results is not allowed.
     884                 :            :          */
     885         [ #  # ]:          0 :         if (kern_flags && !set_kern_flags)
     886                 :            :                 return -EINVAL;
     887                 :            : 
     888                 :            :         /* how can we clone if the old one wasn't set up?? */
     889         [ #  # ]:          0 :         BUG_ON(!(oldsbsec->flags & SE_SBINITIALIZED));
     890                 :            : 
     891                 :            :         /* if fs is reusing a sb, make sure that the contexts match */
     892         [ #  # ]:          0 :         if (newsbsec->flags & SE_SBINITIALIZED) {
     893   [ #  #  #  # ]:          0 :                 if ((kern_flags & SECURITY_LSM_NATIVE_LABELS) && !set_context)
     894                 :          0 :                         *set_kern_flags |= SECURITY_LSM_NATIVE_LABELS;
     895                 :          0 :                 return selinux_cmp_sb_context(oldsb, newsb);
     896                 :            :         }
     897                 :            : 
     898                 :          0 :         mutex_lock(&newsbsec->lock);
     899                 :            : 
     900                 :          0 :         newsbsec->flags = oldsbsec->flags;
     901                 :            : 
     902                 :          0 :         newsbsec->sid = oldsbsec->sid;
     903                 :          0 :         newsbsec->def_sid = oldsbsec->def_sid;
     904                 :          0 :         newsbsec->behavior = oldsbsec->behavior;
     905                 :            : 
     906         [ #  # ]:          0 :         if (newsbsec->behavior == SECURITY_FS_USE_NATIVE &&
     907   [ #  #  #  # ]:          0 :                 !(kern_flags & SECURITY_LSM_NATIVE_LABELS) && !set_context) {
     908                 :          0 :                 rc = security_fs_use(&selinux_state, newsb);
     909         [ #  # ]:          0 :                 if (rc)
     910                 :          0 :                         goto out;
     911                 :            :         }
     912                 :            : 
     913   [ #  #  #  # ]:          0 :         if (kern_flags & SECURITY_LSM_NATIVE_LABELS && !set_context) {
     914                 :          0 :                 newsbsec->behavior = SECURITY_FS_USE_NATIVE;
     915                 :          0 :                 *set_kern_flags |= SECURITY_LSM_NATIVE_LABELS;
     916                 :            :         }
     917                 :            : 
     918         [ #  # ]:          0 :         if (set_context) {
     919                 :          0 :                 u32 sid = oldsbsec->mntpoint_sid;
     920                 :            : 
     921         [ #  # ]:          0 :                 if (!set_fscontext)
     922                 :          0 :                         newsbsec->sid = sid;
     923         [ #  # ]:          0 :                 if (!set_rootcontext) {
     924                 :          0 :                         struct inode_security_struct *newisec = backing_inode_security(newsb->s_root);
     925                 :          0 :                         newisec->sid = sid;
     926                 :            :                 }
     927                 :          0 :                 newsbsec->mntpoint_sid = sid;
     928                 :            :         }
     929         [ #  # ]:          0 :         if (set_rootcontext) {
     930                 :          0 :                 const struct inode_security_struct *oldisec = backing_inode_security(oldsb->s_root);
     931                 :          0 :                 struct inode_security_struct *newisec = backing_inode_security(newsb->s_root);
     932                 :            : 
     933                 :          0 :                 newisec->sid = oldisec->sid;
     934                 :            :         }
     935                 :            : 
     936                 :          0 :         sb_finish_set_opts(newsb);
     937                 :          0 : out:
     938                 :          0 :         mutex_unlock(&newsbsec->lock);
     939                 :          0 :         return rc;
     940                 :            : }
     941                 :            : 
     942                 :          0 : static int selinux_add_opt(int token, const char *s, void **mnt_opts)
     943                 :            : {
     944                 :          0 :         struct selinux_mnt_opts *opts = *mnt_opts;
     945                 :            : 
     946         [ #  # ]:          0 :         if (token == Opt_seclabel)      /* eaten and completely ignored */
     947                 :            :                 return 0;
     948                 :            : 
     949         [ #  # ]:          0 :         if (!opts) {
     950                 :          0 :                 opts = kzalloc(sizeof(struct selinux_mnt_opts), GFP_KERNEL);
     951         [ #  # ]:          0 :                 if (!opts)
     952                 :            :                         return -ENOMEM;
     953                 :          0 :                 *mnt_opts = opts;
     954                 :            :         }
     955         [ #  # ]:          0 :         if (!s)
     956                 :            :                 return -ENOMEM;
     957   [ #  #  #  #  :          0 :         switch (token) {
                      # ]
     958                 :          0 :         case Opt_context:
     959   [ #  #  #  # ]:          0 :                 if (opts->context || opts->defcontext)
     960                 :          0 :                         goto Einval;
     961                 :          0 :                 opts->context = s;
     962                 :          0 :                 break;
     963                 :          0 :         case Opt_fscontext:
     964         [ #  # ]:          0 :                 if (opts->fscontext)
     965                 :          0 :                         goto Einval;
     966                 :          0 :                 opts->fscontext = s;
     967                 :          0 :                 break;
     968                 :          0 :         case Opt_rootcontext:
     969         [ #  # ]:          0 :                 if (opts->rootcontext)
     970                 :          0 :                         goto Einval;
     971                 :          0 :                 opts->rootcontext = s;
     972                 :          0 :                 break;
     973                 :          0 :         case Opt_defcontext:
     974   [ #  #  #  # ]:          0 :                 if (opts->context || opts->defcontext)
     975                 :          0 :                         goto Einval;
     976                 :          0 :                 opts->defcontext = s;
     977                 :          0 :                 break;
     978                 :            :         }
     979                 :            :         return 0;
     980                 :          0 : Einval:
     981                 :          0 :         pr_warn(SEL_MOUNT_FAIL_MSG);
     982                 :          0 :         return -EINVAL;
     983                 :            : }
     984                 :            : 
     985                 :          0 : static int selinux_add_mnt_opt(const char *option, const char *val, int len,
     986                 :            :                                void **mnt_opts)
     987                 :            : {
     988                 :          0 :         int token = Opt_error;
     989                 :          0 :         int rc, i;
     990                 :            : 
     991         [ #  # ]:          0 :         for (i = 0; i < ARRAY_SIZE(tokens); i++) {
     992         [ #  # ]:          0 :                 if (strcmp(option, tokens[i].name) == 0) {
     993                 :          0 :                         token = tokens[i].opt;
     994                 :          0 :                         break;
     995                 :            :                 }
     996                 :            :         }
     997                 :            : 
     998         [ #  # ]:          0 :         if (token == Opt_error)
     999                 :            :                 return -EINVAL;
    1000                 :            : 
    1001         [ #  # ]:          0 :         if (token != Opt_seclabel) {
    1002                 :          0 :                 val = kmemdup_nul(val, len, GFP_KERNEL);
    1003         [ #  # ]:          0 :                 if (!val) {
    1004                 :          0 :                         rc = -ENOMEM;
    1005                 :          0 :                         goto free_opt;
    1006                 :            :                 }
    1007                 :            :         }
    1008                 :          0 :         rc = selinux_add_opt(token, val, mnt_opts);
    1009         [ #  # ]:          0 :         if (unlikely(rc)) {
    1010                 :          0 :                 kfree(val);
    1011                 :          0 :                 goto free_opt;
    1012                 :            :         }
    1013                 :            :         return rc;
    1014                 :            : 
    1015                 :          0 : free_opt:
    1016         [ #  # ]:          0 :         if (*mnt_opts) {
    1017                 :          0 :                 selinux_free_mnt_opts(*mnt_opts);
    1018                 :          0 :                 *mnt_opts = NULL;
    1019                 :            :         }
    1020                 :            :         return rc;
    1021                 :            : }
    1022                 :            : 
    1023                 :          0 : static int show_sid(struct seq_file *m, u32 sid)
    1024                 :            : {
    1025                 :          0 :         char *context = NULL;
    1026                 :          0 :         u32 len;
    1027                 :          0 :         int rc;
    1028                 :            : 
    1029                 :          0 :         rc = security_sid_to_context(&selinux_state, sid,
    1030                 :            :                                              &context, &len);
    1031         [ #  # ]:          0 :         if (!rc) {
    1032   [ #  #  #  # ]:          0 :                 bool has_comma = context && strchr(context, ',');
    1033                 :            : 
    1034                 :          0 :                 seq_putc(m, '=');
    1035         [ #  # ]:          0 :                 if (has_comma)
    1036                 :          0 :                         seq_putc(m, '\"');
    1037                 :          0 :                 seq_escape(m, context, "\"\n\\");
    1038         [ #  # ]:          0 :                 if (has_comma)
    1039                 :          0 :                         seq_putc(m, '\"');
    1040                 :            :         }
    1041                 :          0 :         kfree(context);
    1042                 :          0 :         return rc;
    1043                 :            : }
    1044                 :            : 
    1045                 :     103424 : static int selinux_sb_show_options(struct seq_file *m, struct super_block *sb)
    1046                 :            : {
    1047                 :     103424 :         struct superblock_security_struct *sbsec = sb->s_security;
    1048                 :     103424 :         int rc;
    1049                 :            : 
    1050         [ -  + ]:     103424 :         if (!(sbsec->flags & SE_SBINITIALIZED))
    1051                 :            :                 return 0;
    1052                 :            : 
    1053         [ #  # ]:          0 :         if (!selinux_initialized(&selinux_state))
    1054                 :            :                 return 0;
    1055                 :            : 
    1056         [ #  # ]:          0 :         if (sbsec->flags & FSCONTEXT_MNT) {
    1057                 :          0 :                 seq_putc(m, ',');
    1058                 :          0 :                 seq_puts(m, FSCONTEXT_STR);
    1059                 :          0 :                 rc = show_sid(m, sbsec->sid);
    1060         [ #  # ]:          0 :                 if (rc)
    1061                 :            :                         return rc;
    1062                 :            :         }
    1063         [ #  # ]:          0 :         if (sbsec->flags & CONTEXT_MNT) {
    1064                 :          0 :                 seq_putc(m, ',');
    1065                 :          0 :                 seq_puts(m, CONTEXT_STR);
    1066                 :          0 :                 rc = show_sid(m, sbsec->mntpoint_sid);
    1067         [ #  # ]:          0 :                 if (rc)
    1068                 :            :                         return rc;
    1069                 :            :         }
    1070         [ #  # ]:          0 :         if (sbsec->flags & DEFCONTEXT_MNT) {
    1071                 :          0 :                 seq_putc(m, ',');
    1072                 :          0 :                 seq_puts(m, DEFCONTEXT_STR);
    1073                 :          0 :                 rc = show_sid(m, sbsec->def_sid);
    1074         [ #  # ]:          0 :                 if (rc)
    1075                 :            :                         return rc;
    1076                 :            :         }
    1077         [ #  # ]:          0 :         if (sbsec->flags & ROOTCONTEXT_MNT) {
    1078                 :          0 :                 struct dentry *root = sbsec->sb->s_root;
    1079                 :          0 :                 struct inode_security_struct *isec = backing_inode_security(root);
    1080                 :          0 :                 seq_putc(m, ',');
    1081                 :          0 :                 seq_puts(m, ROOTCONTEXT_STR);
    1082                 :          0 :                 rc = show_sid(m, isec->sid);
    1083         [ #  # ]:          0 :                 if (rc)
    1084                 :            :                         return rc;
    1085                 :            :         }
    1086         [ #  # ]:          0 :         if (sbsec->flags & SBLABEL_MNT) {
    1087                 :          0 :                 seq_putc(m, ',');
    1088                 :          0 :                 seq_puts(m, SECLABEL_STR);
    1089                 :            :         }
    1090                 :            :         return 0;
    1091                 :            : }
    1092                 :            : 
    1093                 :     754547 : static inline u16 inode_mode_to_security_class(umode_t mode)
    1094                 :            : {
    1095                 :     754547 :         switch (mode & S_IFMT) {
    1096                 :            :         case S_IFSOCK:
    1097                 :            :                 return SECCLASS_SOCK_FILE;
    1098                 :     197016 :         case S_IFLNK:
    1099                 :     197016 :                 return SECCLASS_LNK_FILE;
    1100                 :     402551 :         case S_IFREG:
    1101                 :     402551 :                 return SECCLASS_FILE;
    1102                 :       1350 :         case S_IFBLK:
    1103                 :       1350 :                 return SECCLASS_BLK_FILE;
    1104                 :     140094 :         case S_IFDIR:
    1105                 :     140094 :                 return SECCLASS_DIR;
    1106                 :      10890 :         case S_IFCHR:
    1107                 :      10890 :                 return SECCLASS_CHR_FILE;
    1108                 :       1050 :         case S_IFIFO:
    1109                 :       1050 :                 return SECCLASS_FIFO_FILE;
    1110                 :            : 
    1111                 :            :         }
    1112                 :            : 
    1113                 :          0 :         return SECCLASS_FILE;
    1114                 :            : }
    1115                 :            : 
    1116                 :        120 : static inline int default_protocol_stream(int protocol)
    1117                 :            : {
    1118                 :        120 :         return (protocol == IPPROTO_IP || protocol == IPPROTO_TCP);
    1119                 :            : }
    1120                 :            : 
    1121                 :       5440 : static inline int default_protocol_dgram(int protocol)
    1122                 :            : {
    1123                 :       5440 :         return (protocol == IPPROTO_IP || protocol == IPPROTO_UDP);
    1124                 :            : }
    1125                 :            : 
    1126                 :      18290 : static inline u16 socket_type_to_security_class(int family, int type, int protocol)
    1127                 :            : {
    1128   [ +  +  +  -  :      18290 :         int extsockclass = selinux_policycap_extsockclass();
                -  -  - ]
    1129                 :            : 
    1130   [ +  +  +  -  :      18290 :         switch (family) {
                -  -  - ]
    1131                 :      10696 :         case PF_UNIX:
    1132      [ +  -  + ]:      10696 :                 switch (type) {
    1133                 :            :                 case SOCK_STREAM:
    1134                 :            :                 case SOCK_SEQPACKET:
    1135                 :            :                         return SECCLASS_UNIX_STREAM_SOCKET;
    1136                 :       3768 :                 case SOCK_DGRAM:
    1137                 :            :                 case SOCK_RAW:
    1138                 :       3768 :                         return SECCLASS_UNIX_DGRAM_SOCKET;
    1139                 :            :                 }
    1140                 :            :                 break;
    1141                 :       5770 :         case PF_INET:
    1142                 :            :         case PF_INET6:
    1143   [ +  +  +  - ]:       5770 :                 switch (type) {
    1144                 :            :                 case SOCK_STREAM:
    1145                 :            :                 case SOCK_SEQPACKET:
    1146         [ -  + ]:        120 :                         if (default_protocol_stream(protocol))
    1147                 :            :                                 return SECCLASS_TCP_SOCKET;
    1148         [ #  # ]:          0 :                         else if (extsockclass && protocol == IPPROTO_SCTP)
    1149                 :            :                                 return SECCLASS_SCTP_SOCKET;
    1150                 :            :                         else
    1151                 :          0 :                                 return SECCLASS_RAWIP_SOCKET;
    1152                 :            :                 case SOCK_DGRAM:
    1153         [ -  + ]:       5440 :                         if (default_protocol_dgram(protocol))
    1154                 :            :                                 return SECCLASS_UDP_SOCKET;
    1155         [ #  # ]:          0 :                         else if (extsockclass && (protocol == IPPROTO_ICMP ||
    1156         [ #  # ]:          0 :                                                   protocol == IPPROTO_ICMPV6))
    1157                 :            :                                 return SECCLASS_ICMP_SOCKET;
    1158                 :            :                         else
    1159                 :          0 :                                 return SECCLASS_RAWIP_SOCKET;
    1160                 :            :                 case SOCK_DCCP:
    1161                 :            :                         return SECCLASS_DCCP_SOCKET;
    1162                 :        210 :                 default:
    1163                 :        210 :                         return SECCLASS_RAWIP_SOCKET;
    1164                 :            :                 }
    1165                 :       1824 :                 break;
    1166                 :       1824 :         case PF_NETLINK:
    1167         [ -  + ]:       1824 :                 switch (protocol) {
    1168                 :            :                 case NETLINK_ROUTE:
    1169                 :            :                         return SECCLASS_NETLINK_ROUTE_SOCKET;
    1170                 :            :                 case NETLINK_SOCK_DIAG:
    1171                 :            :                         return SECCLASS_NETLINK_TCPDIAG_SOCKET;
    1172                 :            :                 case NETLINK_NFLOG:
    1173                 :            :                         return SECCLASS_NETLINK_NFLOG_SOCKET;
    1174                 :            :                 case NETLINK_XFRM:
    1175                 :            :                         return SECCLASS_NETLINK_XFRM_SOCKET;
    1176                 :            :                 case NETLINK_SELINUX:
    1177                 :            :                         return SECCLASS_NETLINK_SELINUX_SOCKET;
    1178                 :            :                 case NETLINK_ISCSI:
    1179                 :            :                         return SECCLASS_NETLINK_ISCSI_SOCKET;
    1180                 :            :                 case NETLINK_AUDIT:
    1181                 :            :                         return SECCLASS_NETLINK_AUDIT_SOCKET;
    1182                 :            :                 case NETLINK_FIB_LOOKUP:
    1183                 :            :                         return SECCLASS_NETLINK_FIB_LOOKUP_SOCKET;
    1184                 :            :                 case NETLINK_CONNECTOR:
    1185                 :            :                         return SECCLASS_NETLINK_CONNECTOR_SOCKET;
    1186                 :            :                 case NETLINK_NETFILTER:
    1187                 :            :                         return SECCLASS_NETLINK_NETFILTER_SOCKET;
    1188                 :            :                 case NETLINK_DNRTMSG:
    1189                 :            :                         return SECCLASS_NETLINK_DNRT_SOCKET;
    1190                 :            :                 case NETLINK_KOBJECT_UEVENT:
    1191                 :            :                         return SECCLASS_NETLINK_KOBJECT_UEVENT_SOCKET;
    1192                 :            :                 case NETLINK_GENERIC:
    1193                 :            :                         return SECCLASS_NETLINK_GENERIC_SOCKET;
    1194                 :            :                 case NETLINK_SCSITRANSPORT:
    1195                 :            :                         return SECCLASS_NETLINK_SCSITRANSPORT_SOCKET;
    1196                 :            :                 case NETLINK_RDMA:
    1197                 :            :                         return SECCLASS_NETLINK_RDMA_SOCKET;
    1198                 :            :                 case NETLINK_CRYPTO:
    1199                 :            :                         return SECCLASS_NETLINK_CRYPTO_SOCKET;
    1200                 :            :                 default:
    1201                 :            :                         return SECCLASS_NETLINK_SOCKET;
    1202                 :            :                 }
    1203                 :            :         case PF_PACKET:
    1204                 :            :                 return SECCLASS_PACKET_SOCKET;
    1205                 :          0 :         case PF_KEY:
    1206                 :          0 :                 return SECCLASS_KEY_SOCKET;
    1207                 :          0 :         case PF_APPLETALK:
    1208                 :          0 :                 return SECCLASS_APPLETALK_SOCKET;
    1209                 :            :         }
    1210                 :            : 
    1211         [ #  # ]:          0 :         if (extsockclass) {
    1212         [ #  # ]:          0 :                 switch (family) {
    1213                 :            :                 case PF_AX25:
    1214                 :            :                         return SECCLASS_AX25_SOCKET;
    1215                 :            :                 case PF_IPX:
    1216                 :            :                         return SECCLASS_IPX_SOCKET;
    1217                 :            :                 case PF_NETROM:
    1218                 :            :                         return SECCLASS_NETROM_SOCKET;
    1219                 :            :                 case PF_ATMPVC:
    1220                 :            :                         return SECCLASS_ATMPVC_SOCKET;
    1221                 :            :                 case PF_X25:
    1222                 :            :                         return SECCLASS_X25_SOCKET;
    1223                 :            :                 case PF_ROSE:
    1224                 :            :                         return SECCLASS_ROSE_SOCKET;
    1225                 :            :                 case PF_DECnet:
    1226                 :            :                         return SECCLASS_DECNET_SOCKET;
    1227                 :            :                 case PF_ATMSVC:
    1228                 :            :                         return SECCLASS_ATMSVC_SOCKET;
    1229                 :            :                 case PF_RDS:
    1230                 :            :                         return SECCLASS_RDS_SOCKET;
    1231                 :            :                 case PF_IRDA:
    1232                 :            :                         return SECCLASS_IRDA_SOCKET;
    1233                 :            :                 case PF_PPPOX:
    1234                 :            :                         return SECCLASS_PPPOX_SOCKET;
    1235                 :            :                 case PF_LLC:
    1236                 :            :                         return SECCLASS_LLC_SOCKET;
    1237                 :            :                 case PF_CAN:
    1238                 :            :                         return SECCLASS_CAN_SOCKET;
    1239                 :            :                 case PF_TIPC:
    1240                 :            :                         return SECCLASS_TIPC_SOCKET;
    1241                 :            :                 case PF_BLUETOOTH:
    1242                 :            :                         return SECCLASS_BLUETOOTH_SOCKET;
    1243                 :            :                 case PF_IUCV:
    1244                 :            :                         return SECCLASS_IUCV_SOCKET;
    1245                 :            :                 case PF_RXRPC:
    1246                 :            :                         return SECCLASS_RXRPC_SOCKET;
    1247                 :            :                 case PF_ISDN:
    1248                 :            :                         return SECCLASS_ISDN_SOCKET;
    1249                 :            :                 case PF_PHONET:
    1250                 :            :                         return SECCLASS_PHONET_SOCKET;
    1251                 :            :                 case PF_IEEE802154:
    1252                 :            :                         return SECCLASS_IEEE802154_SOCKET;
    1253                 :            :                 case PF_CAIF:
    1254                 :            :                         return SECCLASS_CAIF_SOCKET;
    1255                 :            :                 case PF_ALG:
    1256                 :            :                         return SECCLASS_ALG_SOCKET;
    1257                 :            :                 case PF_NFC:
    1258                 :            :                         return SECCLASS_NFC_SOCKET;
    1259                 :            :                 case PF_VSOCK:
    1260                 :            :                         return SECCLASS_VSOCK_SOCKET;
    1261                 :            :                 case PF_KCM:
    1262                 :            :                         return SECCLASS_KCM_SOCKET;
    1263                 :            :                 case PF_QIPCRTR:
    1264                 :            :                         return SECCLASS_QIPCRTR_SOCKET;
    1265                 :            :                 case PF_SMC:
    1266                 :            :                         return SECCLASS_SMC_SOCKET;
    1267                 :            :                 case PF_XDP:
    1268                 :            :                         return SECCLASS_XDP_SOCKET;
    1269                 :            : #if PF_MAX > 45
    1270                 :            : #error New address family defined, please update this function.
    1271                 :            : #endif
    1272                 :            :                 }
    1273                 :            :         }
    1274                 :            : 
    1275                 :            :         return SECCLASS_SOCKET;
    1276                 :            : }
    1277                 :            : 
    1278                 :          0 : static int selinux_genfs_get_sid(struct dentry *dentry,
    1279                 :            :                                  u16 tclass,
    1280                 :            :                                  u16 flags,
    1281                 :            :                                  u32 *sid)
    1282                 :            : {
    1283                 :          0 :         int rc;
    1284                 :          0 :         struct super_block *sb = dentry->d_sb;
    1285                 :          0 :         char *buffer, *path;
    1286                 :            : 
    1287                 :          0 :         buffer = (char *)__get_free_page(GFP_KERNEL);
    1288         [ #  # ]:          0 :         if (!buffer)
    1289                 :            :                 return -ENOMEM;
    1290                 :            : 
    1291                 :          0 :         path = dentry_path_raw(dentry, buffer, PAGE_SIZE);
    1292         [ #  # ]:          0 :         if (IS_ERR(path))
    1293                 :          0 :                 rc = PTR_ERR(path);
    1294                 :            :         else {
    1295         [ #  # ]:          0 :                 if (flags & SE_SBPROC) {
    1296                 :            :                         /* each process gets a /proc/PID/ entry. Strip off the
    1297                 :            :                          * PID part to get a valid selinux labeling.
    1298                 :            :                          * e.g. /proc/1/net/rpc/nfs -> /net/rpc/nfs */
    1299         [ #  # ]:          0 :                         while (path[1] >= '0' && path[1] <= '9') {
    1300                 :          0 :                                 path[1] = '/';
    1301                 :          0 :                                 path++;
    1302                 :            :                         }
    1303                 :            :                 }
    1304                 :          0 :                 rc = security_genfs_sid(&selinux_state, sb->s_type->name,
    1305                 :            :                                         path, tclass, sid);
    1306         [ #  # ]:          0 :                 if (rc == -ENOENT) {
    1307                 :            :                         /* No match in policy, mark as unlabeled. */
    1308                 :          0 :                         *sid = SECINITSID_UNLABELED;
    1309                 :          0 :                         rc = 0;
    1310                 :            :                 }
    1311                 :            :         }
    1312                 :          0 :         free_page((unsigned long)buffer);
    1313                 :          0 :         return rc;
    1314                 :            : }
    1315                 :            : 
    1316                 :          0 : static int inode_doinit_use_xattr(struct inode *inode, struct dentry *dentry,
    1317                 :            :                                   u32 def_sid, u32 *sid)
    1318                 :            : {
    1319                 :            : #define INITCONTEXTLEN 255
    1320                 :          0 :         char *context;
    1321                 :          0 :         unsigned int len;
    1322                 :          0 :         int rc;
    1323                 :            : 
    1324                 :          0 :         len = INITCONTEXTLEN;
    1325                 :          0 :         context = kmalloc(len + 1, GFP_NOFS);
    1326         [ #  # ]:          0 :         if (!context)
    1327                 :            :                 return -ENOMEM;
    1328                 :            : 
    1329                 :          0 :         context[len] = '\0';
    1330                 :          0 :         rc = __vfs_getxattr(dentry, inode, XATTR_NAME_SELINUX, context, len);
    1331         [ #  # ]:          0 :         if (rc == -ERANGE) {
    1332                 :          0 :                 kfree(context);
    1333                 :            : 
    1334                 :            :                 /* Need a larger buffer.  Query for the right size. */
    1335                 :          0 :                 rc = __vfs_getxattr(dentry, inode, XATTR_NAME_SELINUX, NULL, 0);
    1336         [ #  # ]:          0 :                 if (rc < 0)
    1337                 :            :                         return rc;
    1338                 :            : 
    1339                 :          0 :                 len = rc;
    1340         [ #  # ]:          0 :                 context = kmalloc(len + 1, GFP_NOFS);
    1341         [ #  # ]:          0 :                 if (!context)
    1342                 :            :                         return -ENOMEM;
    1343                 :            : 
    1344                 :          0 :                 context[len] = '\0';
    1345                 :          0 :                 rc = __vfs_getxattr(dentry, inode, XATTR_NAME_SELINUX,
    1346                 :            :                                     context, len);
    1347                 :            :         }
    1348         [ #  # ]:          0 :         if (rc < 0) {
    1349                 :          0 :                 kfree(context);
    1350         [ #  # ]:          0 :                 if (rc != -ENODATA) {
    1351                 :          0 :                         pr_warn("SELinux: %s:  getxattr returned %d for dev=%s ino=%ld\n",
    1352                 :            :                                 __func__, -rc, inode->i_sb->s_id, inode->i_ino);
    1353                 :          0 :                         return rc;
    1354                 :            :                 }
    1355                 :          0 :                 *sid = def_sid;
    1356                 :          0 :                 return 0;
    1357                 :            :         }
    1358                 :            : 
    1359                 :          0 :         rc = security_context_to_sid_default(&selinux_state, context, rc, sid,
    1360                 :            :                                              def_sid, GFP_NOFS);
    1361         [ #  # ]:          0 :         if (rc) {
    1362                 :          0 :                 char *dev = inode->i_sb->s_id;
    1363                 :          0 :                 unsigned long ino = inode->i_ino;
    1364                 :            : 
    1365         [ #  # ]:          0 :                 if (rc == -EINVAL) {
    1366         [ #  # ]:          0 :                         pr_notice_ratelimited("SELinux: inode=%lu on dev=%s was found to have an invalid context=%s.  This indicates you may need to relabel the inode or the filesystem in question.\n",
    1367                 :            :                                               ino, dev, context);
    1368                 :            :                 } else {
    1369                 :          0 :                         pr_warn("SELinux: %s:  context_to_sid(%s) returned %d for dev=%s ino=%ld\n",
    1370                 :            :                                 __func__, context, -rc, dev, ino);
    1371                 :            :                 }
    1372                 :            :         }
    1373                 :          0 :         kfree(context);
    1374                 :          0 :         return 0;
    1375                 :            : }
    1376                 :            : 
    1377                 :            : /* The inode's security attributes must be initialized before first use. */
    1378                 :     616889 : static int inode_doinit_with_dentry(struct inode *inode, struct dentry *opt_dentry)
    1379                 :            : {
    1380                 :     616889 :         struct superblock_security_struct *sbsec = NULL;
    1381         [ +  - ]:     616889 :         struct inode_security_struct *isec = selinux_inode(inode);
    1382                 :     616889 :         u32 task_sid, sid = 0;
    1383                 :     616889 :         u16 sclass;
    1384                 :     616889 :         struct dentry *dentry;
    1385                 :     616889 :         int rc = 0;
    1386                 :            : 
    1387         [ +  + ]:     616889 :         if (isec->initialized == LABEL_INITIALIZED)
    1388                 :            :                 return 0;
    1389                 :            : 
    1390                 :     556695 :         spin_lock(&isec->lock);
    1391         [ -  + ]:     556695 :         if (isec->initialized == LABEL_INITIALIZED)
    1392                 :          0 :                 goto out_unlock;
    1393                 :            : 
    1394         [ +  + ]:     556695 :         if (isec->sclass == SECCLASS_FILE)
    1395   [ +  +  +  +  :    1109190 :                 isec->sclass = inode_mode_to_security_class(inode->i_mode);
             +  +  -  + ]
    1396                 :            : 
    1397                 :     556695 :         sbsec = inode->i_sb->s_security;
    1398         [ +  - ]:     556695 :         if (!(sbsec->flags & SE_SBINITIALIZED)) {
    1399                 :            :                 /* Defer initialization until selinux_complete_init,
    1400                 :            :                    after the initial policy is loaded and the security
    1401                 :            :                    server is ready to handle calls. */
    1402                 :     556695 :                 spin_lock(&sbsec->isec_lock);
    1403         [ +  + ]:     556695 :                 if (list_empty(&isec->list))
    1404                 :     554781 :                         list_add(&isec->list, &sbsec->isec_head);
    1405                 :     556695 :                 spin_unlock(&sbsec->isec_lock);
    1406                 :     556695 :                 goto out_unlock;
    1407                 :            :         }
    1408                 :            : 
    1409                 :          0 :         sclass = isec->sclass;
    1410                 :          0 :         task_sid = isec->task_sid;
    1411                 :          0 :         sid = isec->sid;
    1412                 :          0 :         isec->initialized = LABEL_PENDING;
    1413                 :          0 :         spin_unlock(&isec->lock);
    1414                 :            : 
    1415   [ #  #  #  #  :          0 :         switch (sbsec->behavior) {
                   #  # ]
    1416                 :            :         case SECURITY_FS_USE_NATIVE:
    1417                 :            :                 break;
    1418                 :          0 :         case SECURITY_FS_USE_XATTR:
    1419         [ #  # ]:          0 :                 if (!(inode->i_opflags & IOP_XATTR)) {
    1420                 :          0 :                         sid = sbsec->def_sid;
    1421                 :          0 :                         break;
    1422                 :            :                 }
    1423                 :            :                 /* Need a dentry, since the xattr API requires one.
    1424                 :            :                    Life would be simpler if we could just pass the inode. */
    1425         [ #  # ]:          0 :                 if (opt_dentry) {
    1426                 :            :                         /* Called from d_instantiate or d_splice_alias. */
    1427                 :          0 :                         dentry = dget(opt_dentry);
    1428                 :            :                 } else {
    1429                 :            :                         /*
    1430                 :            :                          * Called from selinux_complete_init, try to find a dentry.
    1431                 :            :                          * Some filesystems really want a connected one, so try
    1432                 :            :                          * that first.  We could split SECURITY_FS_USE_XATTR in
    1433                 :            :                          * two, depending upon that...
    1434                 :            :                          */
    1435                 :          0 :                         dentry = d_find_alias(inode);
    1436         [ #  # ]:          0 :                         if (!dentry)
    1437                 :          0 :                                 dentry = d_find_any_alias(inode);
    1438                 :            :                 }
    1439         [ #  # ]:          0 :                 if (!dentry) {
    1440                 :            :                         /*
    1441                 :            :                          * this is can be hit on boot when a file is accessed
    1442                 :            :                          * before the policy is loaded.  When we load policy we
    1443                 :            :                          * may find inodes that have no dentry on the
    1444                 :            :                          * sbsec->isec_head list.  No reason to complain as these
    1445                 :            :                          * will get fixed up the next time we go through
    1446                 :            :                          * inode_doinit with a dentry, before these inodes could
    1447                 :            :                          * be used again by userspace.
    1448                 :            :                          */
    1449                 :          0 :                         goto out;
    1450                 :            :                 }
    1451                 :            : 
    1452                 :          0 :                 rc = inode_doinit_use_xattr(inode, dentry, sbsec->def_sid,
    1453                 :            :                                             &sid);
    1454                 :          0 :                 dput(dentry);
    1455         [ #  # ]:          0 :                 if (rc)
    1456                 :          0 :                         goto out;
    1457                 :            :                 break;
    1458                 :          0 :         case SECURITY_FS_USE_TASK:
    1459                 :          0 :                 sid = task_sid;
    1460                 :          0 :                 break;
    1461                 :          0 :         case SECURITY_FS_USE_TRANS:
    1462                 :            :                 /* Default to the fs SID. */
    1463                 :          0 :                 sid = sbsec->sid;
    1464                 :            : 
    1465                 :            :                 /* Try to obtain a transition SID. */
    1466                 :          0 :                 rc = security_transition_sid(&selinux_state, task_sid, sid,
    1467                 :            :                                              sclass, NULL, &sid);
    1468         [ #  # ]:          0 :                 if (rc)
    1469                 :          0 :                         goto out;
    1470                 :            :                 break;
    1471                 :          0 :         case SECURITY_FS_USE_MNTPOINT:
    1472                 :          0 :                 sid = sbsec->mntpoint_sid;
    1473                 :          0 :                 break;
    1474                 :          0 :         default:
    1475                 :            :                 /* Default to the fs superblock SID. */
    1476                 :          0 :                 sid = sbsec->sid;
    1477                 :            : 
    1478   [ #  #  #  # ]:          0 :                 if ((sbsec->flags & SE_SBGENFS) && !S_ISLNK(inode->i_mode)) {
    1479                 :            :                         /* We must have a dentry to determine the label on
    1480                 :            :                          * procfs inodes */
    1481         [ #  # ]:          0 :                         if (opt_dentry) {
    1482                 :            :                                 /* Called from d_instantiate or
    1483                 :            :                                  * d_splice_alias. */
    1484                 :          0 :                                 dentry = dget(opt_dentry);
    1485                 :            :                         } else {
    1486                 :            :                                 /* Called from selinux_complete_init, try to
    1487                 :            :                                  * find a dentry.  Some filesystems really want
    1488                 :            :                                  * a connected one, so try that first.
    1489                 :            :                                  */
    1490                 :          0 :                                 dentry = d_find_alias(inode);
    1491         [ #  # ]:          0 :                                 if (!dentry)
    1492                 :          0 :                                         dentry = d_find_any_alias(inode);
    1493                 :            :                         }
    1494                 :            :                         /*
    1495                 :            :                          * This can be hit on boot when a file is accessed
    1496                 :            :                          * before the policy is loaded.  When we load policy we
    1497                 :            :                          * may find inodes that have no dentry on the
    1498                 :            :                          * sbsec->isec_head list.  No reason to complain as
    1499                 :            :                          * these will get fixed up the next time we go through
    1500                 :            :                          * inode_doinit() with a dentry, before these inodes
    1501                 :            :                          * could be used again by userspace.
    1502                 :            :                          */
    1503         [ #  # ]:          0 :                         if (!dentry)
    1504                 :          0 :                                 goto out;
    1505                 :          0 :                         rc = selinux_genfs_get_sid(dentry, sclass,
    1506                 :          0 :                                                    sbsec->flags, &sid);
    1507         [ #  # ]:          0 :                         if (rc) {
    1508                 :          0 :                                 dput(dentry);
    1509                 :          0 :                                 goto out;
    1510                 :            :                         }
    1511                 :            : 
    1512         [ #  # ]:          0 :                         if ((sbsec->flags & SE_SBGENFS_XATTR) &&
    1513         [ #  # ]:          0 :                             (inode->i_opflags & IOP_XATTR)) {
    1514                 :          0 :                                 rc = inode_doinit_use_xattr(inode, dentry,
    1515                 :            :                                                             sid, &sid);
    1516         [ #  # ]:          0 :                                 if (rc) {
    1517                 :          0 :                                         dput(dentry);
    1518                 :          0 :                                         goto out;
    1519                 :            :                                 }
    1520                 :            :                         }
    1521                 :          0 :                         dput(dentry);
    1522                 :            :                 }
    1523                 :            :                 break;
    1524                 :            :         }
    1525                 :            : 
    1526                 :          0 : out:
    1527                 :          0 :         spin_lock(&isec->lock);
    1528         [ #  # ]:          0 :         if (isec->initialized == LABEL_PENDING) {
    1529   [ #  #  #  # ]:          0 :                 if (!sid || rc) {
    1530                 :          0 :                         isec->initialized = LABEL_INVALID;
    1531                 :          0 :                         goto out_unlock;
    1532                 :            :                 }
    1533                 :            : 
    1534                 :          0 :                 isec->initialized = LABEL_INITIALIZED;
    1535                 :          0 :                 isec->sid = sid;
    1536                 :            :         }
    1537                 :            : 
    1538                 :          0 : out_unlock:
    1539                 :     556695 :         spin_unlock(&isec->lock);
    1540                 :     556695 :         return rc;
    1541                 :            : }
    1542                 :            : 
    1543                 :            : /* Convert a Linux signal to an access vector. */
    1544                 :         60 : static inline u32 signal_to_av(int sig)
    1545                 :            : {
    1546                 :         60 :         u32 perm = 0;
    1547                 :            : 
    1548                 :         60 :         switch (sig) {
    1549                 :            :         case SIGCHLD:
    1550                 :            :                 /* Commonly granted from child to parent. */
    1551                 :            :                 perm = PROCESS__SIGCHLD;
    1552                 :            :                 break;
    1553                 :            :         case SIGKILL:
    1554                 :            :                 /* Cannot be caught or ignored */
    1555                 :            :                 perm = PROCESS__SIGKILL;
    1556                 :            :                 break;
    1557                 :            :         case SIGSTOP:
    1558                 :            :                 /* Cannot be caught or ignored */
    1559                 :            :                 perm = PROCESS__SIGSTOP;
    1560                 :            :                 break;
    1561                 :            :         default:
    1562                 :            :                 /* All other signals. */
    1563                 :            :                 perm = PROCESS__SIGNAL;
    1564                 :            :                 break;
    1565                 :            :         }
    1566                 :            : 
    1567                 :            :         return perm;
    1568                 :            : }
    1569                 :            : 
    1570                 :            : #if CAP_LAST_CAP > 63
    1571                 :            : #error Fix SELinux to handle capabilities > 63.
    1572                 :            : #endif
    1573                 :            : 
    1574                 :            : /* Check whether a task is allowed to use a capability. */
    1575                 :    1620116 : static int cred_has_capability(const struct cred *cred,
    1576                 :            :                                int cap, unsigned int opts, bool initns)
    1577                 :            : {
    1578                 :    1620116 :         struct common_audit_data ad;
    1579                 :    1620116 :         struct av_decision avd;
    1580                 :    1620116 :         u16 sclass;
    1581      [ +  +  - ]:    1620116 :         u32 sid = cred_sid(cred);
    1582                 :    1620116 :         u32 av = CAP_TO_MASK(cap);
    1583                 :    1620116 :         int rc;
    1584                 :            : 
    1585                 :    1620116 :         ad.type = LSM_AUDIT_DATA_CAP;
    1586                 :    1620116 :         ad.u.cap = cap;
    1587                 :            : 
    1588      [ +  +  - ]:    1620116 :         switch (CAP_TO_INDEX(cap)) {
    1589                 :    1620026 :         case 0:
    1590         [ -  + ]:    1620026 :                 sclass = initns ? SECCLASS_CAPABILITY : SECCLASS_CAP_USERNS;
    1591                 :            :                 break;
    1592                 :         90 :         case 1:
    1593         [ -  + ]:         90 :                 sclass = initns ? SECCLASS_CAPABILITY2 : SECCLASS_CAP2_USERNS;
    1594                 :            :                 break;
    1595                 :          0 :         default:
    1596                 :          0 :                 pr_err("SELinux:  out of range capability %d\n", cap);
    1597                 :          0 :                 BUG();
    1598                 :            :                 return -EINVAL;
    1599                 :            :         }
    1600                 :            : 
    1601                 :    1620116 :         rc = avc_has_perm_noaudit(&selinux_state,
    1602                 :            :                                   sid, sid, sclass, av, 0, &avd);
    1603         [ +  + ]:    1620116 :         if (!(opts & CAP_OPT_NOAUDIT)) {
    1604                 :      73392 :                 int rc2 = avc_audit(&selinux_state,
    1605                 :            :                                     sid, sid, sclass, av, &avd, rc, &ad, 0);
    1606         [ -  + ]:      73392 :                 if (rc2)
    1607                 :          0 :                         return rc2;
    1608                 :            :         }
    1609                 :            :         return rc;
    1610                 :            : }
    1611                 :            : 
    1612                 :            : /* Check whether a task has a particular permission to an inode.
    1613                 :            :    The 'adp' parameter is optional and allows other audit
    1614                 :            :    data to be passed (e.g. the dentry). */
    1615                 :    4954372 : static int inode_has_perm(const struct cred *cred,
    1616                 :            :                           struct inode *inode,
    1617                 :            :                           u32 perms,
    1618                 :            :                           struct common_audit_data *adp)
    1619                 :            : {
    1620                 :    4954372 :         struct inode_security_struct *isec;
    1621                 :    4954372 :         u32 sid;
    1622                 :            : 
    1623         [ +  + ]:    4954372 :         validate_creds(cred);
    1624                 :            : 
    1625         [ +  + ]:    4954372 :         if (unlikely(IS_PRIVATE(inode)))
    1626                 :            :                 return 0;
    1627                 :            : 
    1628         [ +  - ]:    4951152 :         sid = cred_sid(cred);
    1629         [ +  - ]:    4951152 :         isec = selinux_inode(inode);
    1630                 :            : 
    1631                 :    4951152 :         return avc_has_perm(&selinux_state,
    1632                 :    4951152 :                             sid, isec->sid, isec->sclass, perms, adp);
    1633                 :            : }
    1634                 :            : 
    1635                 :            : /* Same as inode_has_perm, but pass explicit audit data containing
    1636                 :            :    the dentry to help the auditing code to more easily generate the
    1637                 :            :    pathname if needed. */
    1638                 :      73315 : static inline int dentry_has_perm(const struct cred *cred,
    1639                 :            :                                   struct dentry *dentry,
    1640                 :            :                                   u32 av)
    1641                 :            : {
    1642                 :      73315 :         struct inode *inode = d_backing_inode(dentry);
    1643                 :      73315 :         struct common_audit_data ad;
    1644                 :            : 
    1645                 :      73315 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    1646                 :      73315 :         ad.u.dentry = dentry;
    1647                 :      73315 :         __inode_security_revalidate(inode, dentry, true);
    1648                 :      73315 :         return inode_has_perm(cred, inode, av, &ad);
    1649                 :            : }
    1650                 :            : 
    1651                 :            : /* Same as inode_has_perm, but pass explicit audit data containing
    1652                 :            :    the path to help the auditing code to more easily generate the
    1653                 :            :    pathname if needed. */
    1654                 :    1357668 : static inline int path_has_perm(const struct cred *cred,
    1655                 :            :                                 const struct path *path,
    1656                 :            :                                 u32 av)
    1657                 :            : {
    1658                 :    1357668 :         struct inode *inode = d_backing_inode(path->dentry);
    1659                 :    1357668 :         struct common_audit_data ad;
    1660                 :            : 
    1661                 :    1357668 :         ad.type = LSM_AUDIT_DATA_PATH;
    1662                 :    1357668 :         ad.u.path = *path;
    1663                 :    1357668 :         __inode_security_revalidate(inode, path->dentry, true);
    1664                 :    1357668 :         return inode_has_perm(cred, inode, av, &ad);
    1665                 :            : }
    1666                 :            : 
    1667                 :            : /* Same as path_has_perm, but uses the inode from the file struct. */
    1668                 :     770894 : static inline int file_path_has_perm(const struct cred *cred,
    1669                 :            :                                      struct file *file,
    1670                 :            :                                      u32 av)
    1671                 :            : {
    1672                 :     770894 :         struct common_audit_data ad;
    1673                 :            : 
    1674                 :     770894 :         ad.type = LSM_AUDIT_DATA_FILE;
    1675                 :     770894 :         ad.u.file = file;
    1676                 :     770894 :         return inode_has_perm(cred, file_inode(file), av, &ad);
    1677                 :            : }
    1678                 :            : 
    1679                 :            : #ifdef CONFIG_BPF_SYSCALL
    1680                 :            : static int bpf_fd_pass(struct file *file, u32 sid);
    1681                 :            : #endif
    1682                 :            : 
    1683                 :            : /* Check whether a task can use an open file descriptor to
    1684                 :            :    access an inode in a given way.  Check access to the
    1685                 :            :    descriptor itself, and then use dentry_has_perm to
    1686                 :            :    check a particular permission to the file.
    1687                 :            :    Access to the descriptor is implicitly granted if it
    1688                 :            :    has the same SID as the process.  If av is zero, then
    1689                 :            :    access to the file is not checked, e.g. for cases
    1690                 :            :    where only the descriptor is affected like seek. */
    1691                 :    1652917 : static int file_has_perm(const struct cred *cred,
    1692                 :            :                          struct file *file,
    1693                 :            :                          u32 av)
    1694                 :            : {
    1695         [ -  + ]:    1652917 :         struct file_security_struct *fsec = selinux_file(file);
    1696         [ -  + ]:    1652917 :         struct inode *inode = file_inode(file);
    1697                 :    1652917 :         struct common_audit_data ad;
    1698         [ -  + ]:    1652917 :         u32 sid = cred_sid(cred);
    1699                 :    1652917 :         int rc;
    1700                 :            : 
    1701                 :    1652917 :         ad.type = LSM_AUDIT_DATA_FILE;
    1702                 :    1652917 :         ad.u.file = file;
    1703                 :            : 
    1704         [ -  + ]:    1652917 :         if (sid != fsec->sid) {
    1705                 :          0 :                 rc = avc_has_perm(&selinux_state,
    1706                 :            :                                   sid, fsec->sid,
    1707                 :            :                                   SECCLASS_FD,
    1708                 :            :                                   FD__USE,
    1709                 :            :                                   &ad);
    1710         [ #  # ]:          0 :                 if (rc)
    1711                 :          0 :                         goto out;
    1712                 :            :         }
    1713                 :            : 
    1714                 :            : #ifdef CONFIG_BPF_SYSCALL
    1715                 :            :         rc = bpf_fd_pass(file, cred_sid(cred));
    1716                 :            :         if (rc)
    1717                 :            :                 return rc;
    1718                 :            : #endif
    1719                 :            : 
    1720                 :            :         /* av is zero if only checking access to the descriptor. */
    1721                 :    1652917 :         rc = 0;
    1722         [ +  + ]:    1652917 :         if (av)
    1723                 :    1609933 :                 rc = inode_has_perm(cred, inode, av, &ad);
    1724                 :            : 
    1725                 :      42984 : out:
    1726                 :    1652917 :         return rc;
    1727                 :            : }
    1728                 :            : 
    1729                 :            : /*
    1730                 :            :  * Determine the label for an inode that might be unioned.
    1731                 :            :  */
    1732                 :            : static int
    1733                 :      98136 : selinux_determine_inode_label(const struct task_security_struct *tsec,
    1734                 :            :                                  struct inode *dir,
    1735                 :            :                                  const struct qstr *name, u16 tclass,
    1736                 :            :                                  u32 *_new_isid)
    1737                 :            : {
    1738                 :      98136 :         const struct superblock_security_struct *sbsec = dir->i_sb->s_security;
    1739                 :            : 
    1740         [ -  + ]:      98136 :         if ((sbsec->flags & SE_SBINITIALIZED) &&
    1741         [ #  # ]:          0 :             (sbsec->behavior == SECURITY_FS_USE_MNTPOINT)) {
    1742                 :          0 :                 *_new_isid = sbsec->mntpoint_sid;
    1743         [ -  + ]:      98136 :         } else if ((sbsec->flags & SBLABEL_MNT) &&
    1744         [ #  # ]:          0 :                    tsec->create_sid) {
    1745                 :          0 :                 *_new_isid = tsec->create_sid;
    1746                 :            :         } else {
    1747                 :      98136 :                 const struct inode_security_struct *dsec = inode_security(dir);
    1748                 :      98136 :                 return security_transition_sid(&selinux_state, tsec->sid,
    1749                 :            :                                                dsec->sid, tclass,
    1750                 :            :                                                name, _new_isid);
    1751                 :            :         }
    1752                 :            : 
    1753                 :            :         return 0;
    1754                 :            : }
    1755                 :            : 
    1756                 :            : /* Check whether a task can create a file. */
    1757                 :      50124 : static int may_create(struct inode *dir,
    1758                 :            :                       struct dentry *dentry,
    1759                 :            :                       u16 tclass)
    1760                 :            : {
    1761                 :      50124 :         const struct task_security_struct *tsec = selinux_cred(current_cred());
    1762                 :      50124 :         struct inode_security_struct *dsec;
    1763                 :      50124 :         struct superblock_security_struct *sbsec;
    1764                 :      50124 :         u32 sid, newsid;
    1765                 :      50124 :         struct common_audit_data ad;
    1766                 :      50124 :         int rc;
    1767                 :            : 
    1768                 :      50124 :         dsec = inode_security(dir);
    1769                 :      50124 :         sbsec = dir->i_sb->s_security;
    1770                 :            : 
    1771                 :      50124 :         sid = tsec->sid;
    1772                 :            : 
    1773                 :      50124 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    1774                 :      50124 :         ad.u.dentry = dentry;
    1775                 :            : 
    1776                 :      50124 :         rc = avc_has_perm(&selinux_state,
    1777                 :            :                           sid, dsec->sid, SECCLASS_DIR,
    1778                 :            :                           DIR__ADD_NAME | DIR__SEARCH,
    1779                 :            :                           &ad);
    1780         [ +  - ]:      50124 :         if (rc)
    1781                 :            :                 return rc;
    1782                 :            : 
    1783                 :      50124 :         rc = selinux_determine_inode_label(tsec, dir, &dentry->d_name, tclass,
    1784                 :            :                                            &newsid);
    1785         [ +  - ]:      50124 :         if (rc)
    1786                 :            :                 return rc;
    1787                 :            : 
    1788                 :      50124 :         rc = avc_has_perm(&selinux_state,
    1789                 :            :                           sid, newsid, tclass, FILE__CREATE, &ad);
    1790         [ +  - ]:      50124 :         if (rc)
    1791                 :            :                 return rc;
    1792                 :            : 
    1793                 :      50124 :         return avc_has_perm(&selinux_state,
    1794                 :            :                             newsid, sbsec->sid,
    1795                 :            :                             SECCLASS_FILESYSTEM,
    1796                 :            :                             FILESYSTEM__ASSOCIATE, &ad);
    1797                 :            : }
    1798                 :            : 
    1799                 :            : #define MAY_LINK        0
    1800                 :            : #define MAY_UNLINK      1
    1801                 :            : #define MAY_RMDIR       2
    1802                 :            : 
    1803                 :            : /* Check whether a task can link, unlink, or rmdir a file/directory. */
    1804                 :       3624 : static int may_link(struct inode *dir,
    1805                 :            :                     struct dentry *dentry,
    1806                 :            :                     int kind)
    1807                 :            : 
    1808                 :            : {
    1809                 :       3624 :         struct inode_security_struct *dsec, *isec;
    1810                 :       3624 :         struct common_audit_data ad;
    1811                 :       3624 :         u32 sid = current_sid();
    1812                 :       3624 :         u32 av;
    1813                 :       3624 :         int rc;
    1814                 :            : 
    1815                 :       3624 :         dsec = inode_security(dir);
    1816                 :       3624 :         isec = backing_inode_security(dentry);
    1817                 :            : 
    1818                 :       3624 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    1819                 :       3624 :         ad.u.dentry = dentry;
    1820                 :            : 
    1821                 :       3624 :         av = DIR__SEARCH;
    1822         [ -  + ]:       3624 :         av |= (kind ? DIR__REMOVE_NAME : DIR__ADD_NAME);
    1823                 :       3624 :         rc = avc_has_perm(&selinux_state,
    1824                 :            :                           sid, dsec->sid, SECCLASS_DIR, av, &ad);
    1825         [ +  - ]:       3624 :         if (rc)
    1826                 :            :                 return rc;
    1827                 :            : 
    1828         [ +  - ]:       3624 :         switch (kind) {
    1829                 :            :         case MAY_LINK:
    1830                 :            :                 av = FILE__LINK;
    1831                 :            :                 break;
    1832                 :            :         case MAY_UNLINK:
    1833                 :            :                 av = FILE__UNLINK;
    1834                 :            :                 break;
    1835                 :            :         case MAY_RMDIR:
    1836                 :            :                 av = DIR__RMDIR;
    1837                 :            :                 break;
    1838                 :          0 :         default:
    1839                 :          0 :                 pr_warn("SELinux: %s:  unrecognized kind %d\n",
    1840                 :            :                         __func__, kind);
    1841                 :          0 :                 return 0;
    1842                 :            :         }
    1843                 :            : 
    1844                 :       3624 :         rc = avc_has_perm(&selinux_state,
    1845                 :       3624 :                           sid, isec->sid, isec->sclass, av, &ad);
    1846                 :       3624 :         return rc;
    1847                 :            : }
    1848                 :            : 
    1849                 :       7026 : static inline int may_rename(struct inode *old_dir,
    1850                 :            :                              struct dentry *old_dentry,
    1851                 :            :                              struct inode *new_dir,
    1852                 :            :                              struct dentry *new_dentry)
    1853                 :            : {
    1854                 :       7026 :         struct inode_security_struct *old_dsec, *new_dsec, *old_isec, *new_isec;
    1855                 :       7026 :         struct common_audit_data ad;
    1856                 :       7026 :         u32 sid = current_sid();
    1857                 :       7026 :         u32 av;
    1858                 :       7026 :         int old_is_dir, new_is_dir;
    1859                 :       7026 :         int rc;
    1860                 :            : 
    1861                 :       7026 :         old_dsec = inode_security(old_dir);
    1862                 :       7026 :         old_isec = backing_inode_security(old_dentry);
    1863         [ +  - ]:       7026 :         old_is_dir = d_is_dir(old_dentry);
    1864                 :       7026 :         new_dsec = inode_security(new_dir);
    1865                 :            : 
    1866                 :       7026 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    1867                 :            : 
    1868                 :       7026 :         ad.u.dentry = old_dentry;
    1869                 :       7026 :         rc = avc_has_perm(&selinux_state,
    1870                 :            :                           sid, old_dsec->sid, SECCLASS_DIR,
    1871                 :            :                           DIR__REMOVE_NAME | DIR__SEARCH, &ad);
    1872         [ +  - ]:       7026 :         if (rc)
    1873                 :            :                 return rc;
    1874                 :       7026 :         rc = avc_has_perm(&selinux_state,
    1875                 :            :                           sid, old_isec->sid,
    1876                 :       7026 :                           old_isec->sclass, FILE__RENAME, &ad);
    1877         [ +  - ]:       7026 :         if (rc)
    1878                 :            :                 return rc;
    1879         [ -  + ]:       7026 :         if (old_is_dir && new_dir != old_dir) {
    1880                 :          0 :                 rc = avc_has_perm(&selinux_state,
    1881                 :            :                                   sid, old_isec->sid,
    1882                 :          0 :                                   old_isec->sclass, DIR__REPARENT, &ad);
    1883         [ #  # ]:          0 :                 if (rc)
    1884                 :            :                         return rc;
    1885                 :            :         }
    1886                 :            : 
    1887                 :       7026 :         ad.u.dentry = new_dentry;
    1888                 :       7026 :         av = DIR__ADD_NAME | DIR__SEARCH;
    1889         [ +  + ]:       7026 :         if (d_is_positive(new_dentry))
    1890                 :        636 :                 av |= DIR__REMOVE_NAME;
    1891                 :       7026 :         rc = avc_has_perm(&selinux_state,
    1892                 :            :                           sid, new_dsec->sid, SECCLASS_DIR, av, &ad);
    1893         [ +  - ]:       7026 :         if (rc)
    1894                 :            :                 return rc;
    1895         [ +  + ]:       7026 :         if (d_is_positive(new_dentry)) {
    1896                 :        636 :                 new_isec = backing_inode_security(new_dentry);
    1897         [ +  - ]:        636 :                 new_is_dir = d_is_dir(new_dentry);
    1898                 :        636 :                 rc = avc_has_perm(&selinux_state,
    1899                 :            :                                   sid, new_isec->sid,
    1900                 :        636 :                                   new_isec->sclass,
    1901                 :            :                                   (new_is_dir ? DIR__RMDIR : FILE__UNLINK), &ad);
    1902         [ -  + ]:        636 :                 if (rc)
    1903                 :          0 :                         return rc;
    1904                 :            :         }
    1905                 :            : 
    1906                 :            :         return 0;
    1907                 :            : }
    1908                 :            : 
    1909                 :            : /* Check whether a task can perform a filesystem operation. */
    1910                 :      28864 : static int superblock_has_perm(const struct cred *cred,
    1911                 :            :                                struct super_block *sb,
    1912                 :            :                                u32 perms,
    1913                 :            :                                struct common_audit_data *ad)
    1914                 :            : {
    1915                 :      28864 :         struct superblock_security_struct *sbsec;
    1916                 :          0 :         u32 sid = cred_sid(cred);
    1917                 :            : 
    1918                 :      28864 :         sbsec = sb->s_security;
    1919                 :      28864 :         return avc_has_perm(&selinux_state,
    1920                 :            :                             sid, sbsec->sid, SECCLASS_FILESYSTEM, perms, ad);
    1921                 :            : }
    1922                 :            : 
    1923                 :            : /* Convert a Linux mode and permission mask to an access vector. */
    1924                 :    9499949 : static inline u32 file_mask_to_av(int mode, int mask)
    1925                 :            : {
    1926                 :    9499949 :         u32 av = 0;
    1927                 :            : 
    1928         [ +  + ]:    9499949 :         if (!S_ISDIR(mode)) {
    1929         [ +  + ]:     999253 :                 if (mask & MAY_EXEC)
    1930                 :      91920 :                         av |= FILE__EXECUTE;
    1931         [ +  + ]:     999253 :                 if (mask & MAY_READ)
    1932                 :     857921 :                         av |= FILE__READ;
    1933                 :            : 
    1934         [ +  + ]:     999253 :                 if (mask & MAY_APPEND)
    1935                 :        240 :                         av |= FILE__APPEND;
    1936         [ +  + ]:     999013 :                 else if (mask & MAY_WRITE)
    1937                 :      49772 :                         av |= FILE__WRITE;
    1938                 :            : 
    1939                 :            :         } else {
    1940         [ +  + ]:    8500696 :                 if (mask & MAY_EXEC)
    1941                 :    8451303 :                         av |= DIR__SEARCH;
    1942         [ +  + ]:    8500696 :                 if (mask & MAY_WRITE)
    1943                 :      68340 :                         av |= DIR__WRITE;
    1944         [ +  + ]:    8500696 :                 if (mask & MAY_READ)
    1945                 :      49093 :                         av |= DIR__READ;
    1946                 :            :         }
    1947                 :            : 
    1948                 :    9499949 :         return av;
    1949                 :            : }
    1950                 :            : 
    1951                 :            : /* Convert a Linux file to an access vector. */
    1952                 :     771680 : static inline u32 file_to_av(struct file *file)
    1953                 :            : {
    1954                 :     771680 :         u32 av = 0;
    1955                 :            : 
    1956                 :     771680 :         if (file->f_mode & FMODE_READ)
    1957                 :     725522 :                 av |= FILE__READ;
    1958   [ +  -  -  -  :     771680 :         if (file->f_mode & FMODE_WRITE) {
             -  -  +  + ]
    1959   [ -  +  -  -  :      53904 :                 if (file->f_flags & O_APPEND)
             -  -  +  + ]
    1960                 :        510 :                         av |= FILE__APPEND;
    1961                 :            :                 else
    1962                 :      53394 :                         av |= FILE__WRITE;
    1963                 :            :         }
    1964                 :     771680 :         if (!av) {
    1965                 :            :                 /*
    1966                 :            :                  * Special file opened with flags 3 for ioctl-only use.
    1967                 :            :                  */
    1968                 :            :                 av = FILE__IOCTL;
    1969                 :            :         }
    1970                 :            : 
    1971                 :     771680 :         return av;
    1972                 :            : }
    1973                 :            : 
    1974                 :            : /*
    1975                 :            :  * Convert a file to an access vector and include the correct open
    1976                 :            :  * open permission.
    1977                 :            :  */
    1978                 :     770894 : static inline u32 open_file_to_av(struct file *file)
    1979                 :            : {
    1980         [ +  + ]:     770894 :         u32 av = file_to_av(file);
    1981         [ -  + ]:     770894 :         struct inode *inode = file_inode(file);
    1982                 :            : 
    1983         [ -  + ]:     770894 :         if (selinux_policycap_openperm() &&
    1984         [ #  # ]:          0 :             inode->i_sb->s_magic != SOCKFS_MAGIC)
    1985                 :          0 :                 av |= FILE__OPEN;
    1986                 :            : 
    1987                 :     770894 :         return av;
    1988                 :            : }
    1989                 :            : 
    1990                 :            : /* Hook functions begin here. */
    1991                 :            : 
    1992                 :          0 : static int selinux_binder_set_context_mgr(struct task_struct *mgr)
    1993                 :            : {
    1994                 :          0 :         u32 mysid = current_sid();
    1995                 :          0 :         u32 mgrsid = task_sid(mgr);
    1996                 :            : 
    1997                 :          0 :         return avc_has_perm(&selinux_state,
    1998                 :            :                             mysid, mgrsid, SECCLASS_BINDER,
    1999                 :            :                             BINDER__SET_CONTEXT_MGR, NULL);
    2000                 :            : }
    2001                 :            : 
    2002                 :          0 : static int selinux_binder_transaction(struct task_struct *from,
    2003                 :            :                                       struct task_struct *to)
    2004                 :            : {
    2005                 :          0 :         u32 mysid = current_sid();
    2006                 :          0 :         u32 fromsid = task_sid(from);
    2007                 :          0 :         u32 tosid = task_sid(to);
    2008                 :          0 :         int rc;
    2009                 :            : 
    2010         [ #  # ]:          0 :         if (mysid != fromsid) {
    2011                 :          0 :                 rc = avc_has_perm(&selinux_state,
    2012                 :            :                                   mysid, fromsid, SECCLASS_BINDER,
    2013                 :            :                                   BINDER__IMPERSONATE, NULL);
    2014         [ #  # ]:          0 :                 if (rc)
    2015                 :            :                         return rc;
    2016                 :            :         }
    2017                 :            : 
    2018                 :          0 :         return avc_has_perm(&selinux_state,
    2019                 :            :                             fromsid, tosid, SECCLASS_BINDER, BINDER__CALL,
    2020                 :            :                             NULL);
    2021                 :            : }
    2022                 :            : 
    2023                 :          0 : static int selinux_binder_transfer_binder(struct task_struct *from,
    2024                 :            :                                           struct task_struct *to)
    2025                 :            : {
    2026                 :          0 :         u32 fromsid = task_sid(from);
    2027                 :          0 :         u32 tosid = task_sid(to);
    2028                 :            : 
    2029                 :          0 :         return avc_has_perm(&selinux_state,
    2030                 :            :                             fromsid, tosid, SECCLASS_BINDER, BINDER__TRANSFER,
    2031                 :            :                             NULL);
    2032                 :            : }
    2033                 :            : 
    2034                 :          0 : static int selinux_binder_transfer_file(struct task_struct *from,
    2035                 :            :                                         struct task_struct *to,
    2036                 :            :                                         struct file *file)
    2037                 :            : {
    2038                 :          0 :         u32 sid = task_sid(to);
    2039         [ #  # ]:          0 :         struct file_security_struct *fsec = selinux_file(file);
    2040                 :          0 :         struct dentry *dentry = file->f_path.dentry;
    2041                 :          0 :         struct inode_security_struct *isec;
    2042                 :          0 :         struct common_audit_data ad;
    2043                 :          0 :         int rc;
    2044                 :            : 
    2045                 :          0 :         ad.type = LSM_AUDIT_DATA_PATH;
    2046                 :          0 :         ad.u.path = file->f_path;
    2047                 :            : 
    2048         [ #  # ]:          0 :         if (sid != fsec->sid) {
    2049                 :          0 :                 rc = avc_has_perm(&selinux_state,
    2050                 :            :                                   sid, fsec->sid,
    2051                 :            :                                   SECCLASS_FD,
    2052                 :            :                                   FD__USE,
    2053                 :            :                                   &ad);
    2054         [ #  # ]:          0 :                 if (rc)
    2055                 :            :                         return rc;
    2056                 :            :         }
    2057                 :            : 
    2058                 :            : #ifdef CONFIG_BPF_SYSCALL
    2059                 :            :         rc = bpf_fd_pass(file, sid);
    2060                 :            :         if (rc)
    2061                 :            :                 return rc;
    2062                 :            : #endif
    2063                 :            : 
    2064         [ #  # ]:          0 :         if (unlikely(IS_PRIVATE(d_backing_inode(dentry))))
    2065                 :            :                 return 0;
    2066                 :            : 
    2067                 :          0 :         isec = backing_inode_security(dentry);
    2068         [ #  # ]:          0 :         return avc_has_perm(&selinux_state,
    2069                 :          0 :                             sid, isec->sid, isec->sclass, file_to_av(file),
    2070                 :            :                             &ad);
    2071                 :            : }
    2072                 :            : 
    2073                 :       3327 : static int selinux_ptrace_access_check(struct task_struct *child,
    2074                 :            :                                      unsigned int mode)
    2075                 :            : {
    2076                 :       3327 :         u32 sid = current_sid();
    2077                 :       3327 :         u32 csid = task_sid(child);
    2078                 :            : 
    2079         [ +  - ]:       3327 :         if (mode & PTRACE_MODE_READ)
    2080                 :       3327 :                 return avc_has_perm(&selinux_state,
    2081                 :            :                                     sid, csid, SECCLASS_FILE, FILE__READ, NULL);
    2082                 :            : 
    2083                 :          0 :         return avc_has_perm(&selinux_state,
    2084                 :            :                             sid, csid, SECCLASS_PROCESS, PROCESS__PTRACE, NULL);
    2085                 :            : }
    2086                 :            : 
    2087                 :          0 : static int selinux_ptrace_traceme(struct task_struct *parent)
    2088                 :            : {
    2089                 :          0 :         return avc_has_perm(&selinux_state,
    2090                 :            :                             task_sid(parent), current_sid(), SECCLASS_PROCESS,
    2091                 :            :                             PROCESS__PTRACE, NULL);
    2092                 :            : }
    2093                 :            : 
    2094                 :        930 : static int selinux_capget(struct task_struct *target, kernel_cap_t *effective,
    2095                 :            :                           kernel_cap_t *inheritable, kernel_cap_t *permitted)
    2096                 :            : {
    2097                 :       1860 :         return avc_has_perm(&selinux_state,
    2098                 :            :                             current_sid(), task_sid(target), SECCLASS_PROCESS,
    2099                 :            :                             PROCESS__GETCAP, NULL);
    2100                 :            : }
    2101                 :            : 
    2102                 :         90 : static int selinux_capset(struct cred *new, const struct cred *old,
    2103                 :            :                           const kernel_cap_t *effective,
    2104                 :            :                           const kernel_cap_t *inheritable,
    2105                 :            :                           const kernel_cap_t *permitted)
    2106                 :            : {
    2107                 :         90 :         return avc_has_perm(&selinux_state,
    2108                 :            :                             cred_sid(old), cred_sid(new), SECCLASS_PROCESS,
    2109                 :            :                             PROCESS__SETCAP, NULL);
    2110                 :            : }
    2111                 :            : 
    2112                 :            : /*
    2113                 :            :  * (This comment used to live with the selinux_task_setuid hook,
    2114                 :            :  * which was removed).
    2115                 :            :  *
    2116                 :            :  * Since setuid only affects the current process, and since the SELinux
    2117                 :            :  * controls are not based on the Linux identity attributes, SELinux does not
    2118                 :            :  * need to control this operation.  However, SELinux does control the use of
    2119                 :            :  * the CAP_SETUID and CAP_SETGID capabilities using the capable hook.
    2120                 :            :  */
    2121                 :            : 
    2122                 :      74532 : static int selinux_capable(const struct cred *cred, struct user_namespace *ns,
    2123                 :            :                            int cap, unsigned int opts)
    2124                 :            : {
    2125                 :      74532 :         return cred_has_capability(cred, cap, opts, ns == &init_user_ns);
    2126                 :            : }
    2127                 :            : 
    2128                 :          0 : static int selinux_quotactl(int cmds, int type, int id, struct super_block *sb)
    2129                 :            : {
    2130         [ #  # ]:          0 :         const struct cred *cred = current_cred();
    2131                 :          0 :         int rc = 0;
    2132                 :            : 
    2133         [ #  # ]:          0 :         if (!sb)
    2134                 :            :                 return 0;
    2135                 :            : 
    2136      [ #  #  # ]:          0 :         switch (cmds) {
    2137                 :          0 :         case Q_SYNC:
    2138                 :            :         case Q_QUOTAON:
    2139                 :            :         case Q_QUOTAOFF:
    2140                 :            :         case Q_SETINFO:
    2141                 :            :         case Q_SETQUOTA:
    2142                 :          0 :                 rc = superblock_has_perm(cred, sb, FILESYSTEM__QUOTAMOD, NULL);
    2143                 :          0 :                 break;
    2144                 :          0 :         case Q_GETFMT:
    2145                 :            :         case Q_GETINFO:
    2146                 :            :         case Q_GETQUOTA:
    2147                 :          0 :                 rc = superblock_has_perm(cred, sb, FILESYSTEM__QUOTAGET, NULL);
    2148                 :          0 :                 break;
    2149                 :            :         default:
    2150                 :            :                 rc = 0;  /* let the kernel handle invalid cmds */
    2151                 :            :                 break;
    2152                 :            :         }
    2153                 :            :         return rc;
    2154                 :            : }
    2155                 :            : 
    2156                 :          0 : static int selinux_quota_on(struct dentry *dentry)
    2157                 :            : {
    2158                 :          0 :         const struct cred *cred = current_cred();
    2159                 :            : 
    2160                 :          0 :         return dentry_has_perm(cred, dentry, FILE__QUOTAON);
    2161                 :            : }
    2162                 :            : 
    2163                 :        498 : static int selinux_syslog(int type)
    2164                 :            : {
    2165      [ +  -  + ]:        498 :         switch (type) {
    2166                 :            :         case SYSLOG_ACTION_READ_ALL:    /* Read last kernel messages */
    2167                 :            :         case SYSLOG_ACTION_SIZE_BUFFER: /* Return size of the log buffer */
    2168                 :         30 :                 return avc_has_perm(&selinux_state,
    2169                 :            :                                     current_sid(), SECINITSID_KERNEL,
    2170                 :            :                                     SECCLASS_SYSTEM, SYSTEM__SYSLOG_READ, NULL);
    2171                 :            :         case SYSLOG_ACTION_CONSOLE_OFF: /* Disable logging to console */
    2172                 :            :         case SYSLOG_ACTION_CONSOLE_ON:  /* Enable logging to console */
    2173                 :            :         /* Set level of messages printed to console */
    2174                 :            :         case SYSLOG_ACTION_CONSOLE_LEVEL:
    2175                 :          0 :                 return avc_has_perm(&selinux_state,
    2176                 :            :                                     current_sid(), SECINITSID_KERNEL,
    2177                 :            :                                     SECCLASS_SYSTEM, SYSTEM__SYSLOG_CONSOLE,
    2178                 :            :                                     NULL);
    2179                 :            :         }
    2180                 :            :         /* All other syslog types */
    2181                 :        468 :         return avc_has_perm(&selinux_state,
    2182                 :            :                             current_sid(), SECINITSID_KERNEL,
    2183                 :            :                             SECCLASS_SYSTEM, SYSTEM__SYSLOG_MOD, NULL);
    2184                 :            : }
    2185                 :            : 
    2186                 :            : /*
    2187                 :            :  * Check that a process has enough memory to allocate a new virtual
    2188                 :            :  * mapping. 0 means there is enough memory for the allocation to
    2189                 :            :  * succeed and -ENOMEM implies there is not.
    2190                 :            :  *
    2191                 :            :  * Do not audit the selinux permission check, as this is applied to all
    2192                 :            :  * processes that allocate mappings.
    2193                 :            :  */
    2194                 :    1545584 : static int selinux_vm_enough_memory(struct mm_struct *mm, long pages)
    2195                 :            : {
    2196                 :    1545584 :         int rc, cap_sys_admin = 0;
    2197                 :            : 
    2198                 :    1545584 :         rc = cred_has_capability(current_cred(), CAP_SYS_ADMIN,
    2199                 :            :                                  CAP_OPT_NOAUDIT, true);
    2200         [ +  - ]:    1545584 :         if (rc == 0)
    2201                 :    1545584 :                 cap_sys_admin = 1;
    2202                 :            : 
    2203                 :    1545584 :         return cap_sys_admin;
    2204                 :            : }
    2205                 :            : 
    2206                 :            : /* binprm security operations */
    2207                 :            : 
    2208                 :          0 : static u32 ptrace_parent_sid(void)
    2209                 :            : {
    2210                 :          0 :         u32 sid = 0;
    2211                 :          0 :         struct task_struct *tracer;
    2212                 :            : 
    2213                 :          0 :         rcu_read_lock();
    2214   [ #  #  #  # ]:          0 :         tracer = ptrace_parent(current);
    2215   [ #  #  #  # ]:          0 :         if (tracer)
    2216                 :          0 :                 sid = task_sid(tracer);
    2217                 :          0 :         rcu_read_unlock();
    2218                 :            : 
    2219                 :          0 :         return sid;
    2220                 :            : }
    2221                 :            : 
    2222                 :            : static int check_nnp_nosuid(const struct linux_binprm *bprm,
    2223                 :            :                             const struct task_security_struct *old_tsec,
    2224                 :            :                             const struct task_security_struct *new_tsec)
    2225                 :            : {
    2226                 :            :         int nnp = (bprm->unsafe & LSM_UNSAFE_NO_NEW_PRIVS);
    2227                 :            :         int nosuid = !mnt_may_suid(bprm->file->f_path.mnt);
    2228                 :            :         int rc;
    2229                 :            :         u32 av;
    2230                 :            : 
    2231                 :            :         if (!nnp && !nosuid)
    2232                 :            :                 return 0; /* neither NNP nor nosuid */
    2233                 :            : 
    2234                 :            :         if (new_tsec->sid == old_tsec->sid)
    2235                 :            :                 return 0; /* No change in credentials */
    2236                 :            : 
    2237                 :            :         /*
    2238                 :            :          * If the policy enables the nnp_nosuid_transition policy capability,
    2239                 :            :          * then we permit transitions under NNP or nosuid if the
    2240                 :            :          * policy allows the corresponding permission between
    2241                 :            :          * the old and new contexts.
    2242                 :            :          */
    2243                 :            :         if (selinux_policycap_nnp_nosuid_transition()) {
    2244                 :            :                 av = 0;
    2245                 :            :                 if (nnp)
    2246                 :            :                         av |= PROCESS2__NNP_TRANSITION;
    2247                 :            :                 if (nosuid)
    2248                 :            :                         av |= PROCESS2__NOSUID_TRANSITION;
    2249                 :            :                 rc = avc_has_perm(&selinux_state,
    2250                 :            :                                   old_tsec->sid, new_tsec->sid,
    2251                 :            :                                   SECCLASS_PROCESS2, av, NULL);
    2252                 :            :                 if (!rc)
    2253                 :            :                         return 0;
    2254                 :            :         }
    2255                 :            : 
    2256                 :            :         /*
    2257                 :            :          * We also permit NNP or nosuid transitions to bounded SIDs,
    2258                 :            :          * i.e. SIDs that are guaranteed to only be allowed a subset
    2259                 :            :          * of the permissions of the current SID.
    2260                 :            :          */
    2261                 :            :         rc = security_bounded_transition(&selinux_state, old_tsec->sid,
    2262                 :            :                                          new_tsec->sid);
    2263                 :            :         if (!rc)
    2264                 :            :                 return 0;
    2265                 :            : 
    2266                 :            :         /*
    2267                 :            :          * On failure, preserve the errno values for NNP vs nosuid.
    2268                 :            :          * NNP:  Operation not permitted for caller.
    2269                 :            :          * nosuid:  Permission denied to file.
    2270                 :            :          */
    2271                 :            :         if (nnp)
    2272                 :            :                 return -EPERM;
    2273                 :            :         return -EACCES;
    2274                 :            : }
    2275                 :            : 
    2276                 :      45486 : static int selinux_bprm_set_creds(struct linux_binprm *bprm)
    2277                 :            : {
    2278                 :      45486 :         const struct task_security_struct *old_tsec;
    2279                 :      45486 :         struct task_security_struct *new_tsec;
    2280                 :      45486 :         struct inode_security_struct *isec;
    2281                 :      45486 :         struct common_audit_data ad;
    2282         [ +  + ]:      45486 :         struct inode *inode = file_inode(bprm->file);
    2283                 :      45486 :         int rc;
    2284                 :            : 
    2285                 :            :         /* SELinux context only depends on initial program or script and not
    2286                 :            :          * the script interpreter */
    2287         [ +  + ]:      45486 :         if (bprm->called_set_creds)
    2288                 :            :                 return 0;
    2289                 :            : 
    2290                 :      45210 :         old_tsec = selinux_cred(current_cred());
    2291                 :      45210 :         new_tsec = selinux_cred(bprm->cred);
    2292                 :      45210 :         isec = inode_security(inode);
    2293                 :            : 
    2294                 :            :         /* Default to the current task SID. */
    2295                 :      45210 :         new_tsec->sid = old_tsec->sid;
    2296                 :      45210 :         new_tsec->osid = old_tsec->sid;
    2297                 :            : 
    2298                 :            :         /* Reset fs, key, and sock SIDs on execve. */
    2299                 :      45210 :         new_tsec->create_sid = 0;
    2300                 :      45210 :         new_tsec->keycreate_sid = 0;
    2301                 :      45210 :         new_tsec->sockcreate_sid = 0;
    2302                 :            : 
    2303         [ -  + ]:      45210 :         if (old_tsec->exec_sid) {
    2304                 :          0 :                 new_tsec->sid = old_tsec->exec_sid;
    2305                 :            :                 /* Reset exec SID on execve. */
    2306                 :          0 :                 new_tsec->exec_sid = 0;
    2307                 :            : 
    2308                 :            :                 /* Fail on NNP or nosuid if not an allowed transition. */
    2309                 :          0 :                 rc = check_nnp_nosuid(bprm, old_tsec, new_tsec);
    2310         [ #  # ]:          0 :                 if (rc)
    2311                 :            :                         return rc;
    2312                 :            :         } else {
    2313                 :            :                 /* Check for a default transition on this program. */
    2314                 :      45210 :                 rc = security_transition_sid(&selinux_state, old_tsec->sid,
    2315                 :            :                                              isec->sid, SECCLASS_PROCESS, NULL,
    2316                 :            :                                              &new_tsec->sid);
    2317         [ +  - ]:      45210 :                 if (rc)
    2318                 :            :                         return rc;
    2319                 :            : 
    2320                 :            :                 /*
    2321                 :            :                  * Fallback to old SID on NNP or nosuid if not an allowed
    2322                 :            :                  * transition.
    2323                 :            :                  */
    2324                 :      45210 :                 rc = check_nnp_nosuid(bprm, old_tsec, new_tsec);
    2325         [ -  + ]:      45210 :                 if (rc)
    2326                 :          0 :                         new_tsec->sid = old_tsec->sid;
    2327                 :            :         }
    2328                 :            : 
    2329                 :      45210 :         ad.type = LSM_AUDIT_DATA_FILE;
    2330                 :      45210 :         ad.u.file = bprm->file;
    2331                 :            : 
    2332         [ +  - ]:      45210 :         if (new_tsec->sid == old_tsec->sid) {
    2333                 :      45210 :                 rc = avc_has_perm(&selinux_state,
    2334                 :            :                                   old_tsec->sid, isec->sid,
    2335                 :            :                                   SECCLASS_FILE, FILE__EXECUTE_NO_TRANS, &ad);
    2336         [ -  + ]:      45210 :                 if (rc)
    2337                 :          0 :                         return rc;
    2338                 :            :         } else {
    2339                 :            :                 /* Check permissions for the transition. */
    2340                 :          0 :                 rc = avc_has_perm(&selinux_state,
    2341                 :            :                                   old_tsec->sid, new_tsec->sid,
    2342                 :            :                                   SECCLASS_PROCESS, PROCESS__TRANSITION, &ad);
    2343         [ #  # ]:          0 :                 if (rc)
    2344                 :            :                         return rc;
    2345                 :            : 
    2346                 :          0 :                 rc = avc_has_perm(&selinux_state,
    2347                 :            :                                   new_tsec->sid, isec->sid,
    2348                 :            :                                   SECCLASS_FILE, FILE__ENTRYPOINT, &ad);
    2349         [ #  # ]:          0 :                 if (rc)
    2350                 :            :                         return rc;
    2351                 :            : 
    2352                 :            :                 /* Check for shared state */
    2353         [ #  # ]:          0 :                 if (bprm->unsafe & LSM_UNSAFE_SHARE) {
    2354                 :          0 :                         rc = avc_has_perm(&selinux_state,
    2355                 :            :                                           old_tsec->sid, new_tsec->sid,
    2356                 :            :                                           SECCLASS_PROCESS, PROCESS__SHARE,
    2357                 :            :                                           NULL);
    2358         [ #  # ]:          0 :                         if (rc)
    2359                 :            :                                 return -EPERM;
    2360                 :            :                 }
    2361                 :            : 
    2362                 :            :                 /* Make sure that anyone attempting to ptrace over a task that
    2363                 :            :                  * changes its SID has the appropriate permit */
    2364         [ #  # ]:          0 :                 if (bprm->unsafe & LSM_UNSAFE_PTRACE) {
    2365                 :          0 :                         u32 ptsid = ptrace_parent_sid();
    2366         [ #  # ]:          0 :                         if (ptsid != 0) {
    2367                 :          0 :                                 rc = avc_has_perm(&selinux_state,
    2368                 :            :                                                   ptsid, new_tsec->sid,
    2369                 :            :                                                   SECCLASS_PROCESS,
    2370                 :            :                                                   PROCESS__PTRACE, NULL);
    2371         [ #  # ]:          0 :                                 if (rc)
    2372                 :            :                                         return -EPERM;
    2373                 :            :                         }
    2374                 :            :                 }
    2375                 :            : 
    2376                 :            :                 /* Clear any possibly unsafe personality bits on exec: */
    2377                 :          0 :                 bprm->per_clear |= PER_CLEAR_ON_SETID;
    2378                 :            : 
    2379                 :            :                 /* Enable secure mode for SIDs transitions unless
    2380                 :            :                    the noatsecure permission is granted between
    2381                 :            :                    the two SIDs, i.e. ahp returns 0. */
    2382                 :          0 :                 rc = avc_has_perm(&selinux_state,
    2383                 :            :                                   old_tsec->sid, new_tsec->sid,
    2384                 :            :                                   SECCLASS_PROCESS, PROCESS__NOATSECURE,
    2385                 :            :                                   NULL);
    2386                 :          0 :                 bprm->secureexec |= !!rc;
    2387                 :            :         }
    2388                 :            : 
    2389                 :            :         return 0;
    2390                 :            : }
    2391                 :            : 
    2392                 :          0 : static int match_file(const void *p, struct file *file, unsigned fd)
    2393                 :            : {
    2394   [ #  #  #  # ]:          0 :         return file_has_perm(p, file, file_to_av(file)) ? fd + 1 : 0;
    2395                 :            : }
    2396                 :            : 
    2397                 :            : /* Derived from fs/exec.c:flush_old_files. */
    2398                 :          0 : static inline void flush_unauthorized_files(const struct cred *cred,
    2399                 :            :                                             struct files_struct *files)
    2400                 :            : {
    2401                 :          0 :         struct file *file, *devnull = NULL;
    2402                 :          0 :         struct tty_struct *tty;
    2403                 :          0 :         int drop_tty = 0;
    2404                 :          0 :         unsigned n;
    2405                 :            : 
    2406                 :          0 :         tty = get_current_tty();
    2407         [ #  # ]:          0 :         if (tty) {
    2408                 :          0 :                 spin_lock(&tty->files_lock);
    2409         [ #  # ]:          0 :                 if (!list_empty(&tty->tty_files)) {
    2410                 :          0 :                         struct tty_file_private *file_priv;
    2411                 :            : 
    2412                 :            :                         /* Revalidate access to controlling tty.
    2413                 :            :                            Use file_path_has_perm on the tty path directly
    2414                 :            :                            rather than using file_has_perm, as this particular
    2415                 :            :                            open file may belong to another process and we are
    2416                 :            :                            only interested in the inode-based check here. */
    2417                 :          0 :                         file_priv = list_first_entry(&tty->tty_files,
    2418                 :            :                                                 struct tty_file_private, list);
    2419                 :          0 :                         file = file_priv->file;
    2420         [ #  # ]:          0 :                         if (file_path_has_perm(cred, file, FILE__READ | FILE__WRITE))
    2421                 :          0 :                                 drop_tty = 1;
    2422                 :            :                 }
    2423                 :          0 :                 spin_unlock(&tty->files_lock);
    2424                 :          0 :                 tty_kref_put(tty);
    2425                 :            :         }
    2426                 :            :         /* Reset controlling tty. */
    2427         [ #  # ]:          0 :         if (drop_tty)
    2428                 :          0 :                 no_tty();
    2429                 :            : 
    2430                 :            :         /* Revalidate access to inherited open files. */
    2431                 :          0 :         n = iterate_fd(files, 0, match_file, cred);
    2432         [ #  # ]:          0 :         if (!n) /* none found? */
    2433                 :            :                 return;
    2434                 :            : 
    2435                 :          0 :         devnull = dentry_open(&selinux_null, O_RDWR, cred);
    2436         [ #  # ]:          0 :         if (IS_ERR(devnull))
    2437                 :          0 :                 devnull = NULL;
    2438                 :            :         /* replace all the matching ones with this */
    2439                 :          0 :         do {
    2440                 :          0 :                 replace_fd(n - 1, devnull, 0);
    2441         [ #  # ]:          0 :         } while ((n = iterate_fd(files, n, match_file, cred)) != 0);
    2442         [ #  # ]:          0 :         if (devnull)
    2443                 :          0 :                 fput(devnull);
    2444                 :            : }
    2445                 :            : 
    2446                 :            : /*
    2447                 :            :  * Prepare a process for imminent new credential changes due to exec
    2448                 :            :  */
    2449                 :      45210 : static void selinux_bprm_committing_creds(struct linux_binprm *bprm)
    2450                 :            : {
    2451                 :      45210 :         struct task_security_struct *new_tsec;
    2452                 :      45210 :         struct rlimit *rlim, *initrlim;
    2453                 :      45210 :         int rc, i;
    2454                 :            : 
    2455         [ -  + ]:      45210 :         new_tsec = selinux_cred(bprm->cred);
    2456         [ -  + ]:      45210 :         if (new_tsec->sid == new_tsec->osid)
    2457                 :            :                 return;
    2458                 :            : 
    2459                 :            :         /* Close files for which the new task SID is not authorized. */
    2460                 :          0 :         flush_unauthorized_files(bprm->cred, current->files);
    2461                 :            : 
    2462                 :            :         /* Always clear parent death signal on SID transitions. */
    2463                 :          0 :         current->pdeath_signal = 0;
    2464                 :            : 
    2465                 :            :         /* Check whether the new SID can inherit resource limits from the old
    2466                 :            :          * SID.  If not, reset all soft limits to the lower of the current
    2467                 :            :          * task's hard limit and the init task's soft limit.
    2468                 :            :          *
    2469                 :            :          * Note that the setting of hard limits (even to lower them) can be
    2470                 :            :          * controlled by the setrlimit check.  The inclusion of the init task's
    2471                 :            :          * soft limit into the computation is to avoid resetting soft limits
    2472                 :            :          * higher than the default soft limit for cases where the default is
    2473                 :            :          * lower than the hard limit, e.g. RLIMIT_CORE or RLIMIT_STACK.
    2474                 :            :          */
    2475                 :          0 :         rc = avc_has_perm(&selinux_state,
    2476                 :            :                           new_tsec->osid, new_tsec->sid, SECCLASS_PROCESS,
    2477                 :            :                           PROCESS__RLIMITINH, NULL);
    2478         [ #  # ]:          0 :         if (rc) {
    2479                 :            :                 /* protect against do_prlimit() */
    2480                 :          0 :                 task_lock(current);
    2481         [ #  # ]:          0 :                 for (i = 0; i < RLIM_NLIMITS; i++) {
    2482                 :          0 :                         rlim = current->signal->rlim + i;
    2483                 :          0 :                         initrlim = init_task.signal->rlim + i;
    2484                 :          0 :                         rlim->rlim_cur = min(rlim->rlim_max, initrlim->rlim_cur);
    2485                 :            :                 }
    2486                 :          0 :                 task_unlock(current);
    2487                 :          0 :                 if (IS_ENABLED(CONFIG_POSIX_TIMERS))
    2488                 :          0 :                         update_rlimit_cpu(current, rlimit(RLIMIT_CPU));
    2489                 :            :         }
    2490                 :            : }
    2491                 :            : 
    2492                 :            : /*
    2493                 :            :  * Clean up the process immediately after the installation of new credentials
    2494                 :            :  * due to exec
    2495                 :            :  */
    2496                 :      45210 : static void selinux_bprm_committed_creds(struct linux_binprm *bprm)
    2497                 :            : {
    2498         [ -  + ]:      45210 :         const struct task_security_struct *tsec = selinux_cred(current_cred());
    2499                 :      45210 :         u32 osid, sid;
    2500                 :      45210 :         int rc;
    2501                 :            : 
    2502                 :      45210 :         osid = tsec->osid;
    2503                 :      45210 :         sid = tsec->sid;
    2504                 :            : 
    2505         [ -  + ]:      45210 :         if (sid == osid)
    2506                 :            :                 return;
    2507                 :            : 
    2508                 :            :         /* Check whether the new SID can inherit signal state from the old SID.
    2509                 :            :          * If not, clear itimers to avoid subsequent signal generation and
    2510                 :            :          * flush and unblock signals.
    2511                 :            :          *
    2512                 :            :          * This must occur _after_ the task SID has been updated so that any
    2513                 :            :          * kill done after the flush will be checked against the new SID.
    2514                 :            :          */
    2515                 :          0 :         rc = avc_has_perm(&selinux_state,
    2516                 :            :                           osid, sid, SECCLASS_PROCESS, PROCESS__SIGINH, NULL);
    2517         [ #  # ]:          0 :         if (rc) {
    2518                 :          0 :                 clear_itimer();
    2519                 :            : 
    2520                 :          0 :                 spin_lock_irq(&current->sighand->siglock);
    2521         [ #  # ]:          0 :                 if (!fatal_signal_pending(current)) {
    2522                 :          0 :                         flush_sigqueue(&current->pending);
    2523                 :          0 :                         flush_sigqueue(&current->signal->shared_pending);
    2524                 :          0 :                         flush_signal_handlers(current, 1);
    2525                 :          0 :                         sigemptyset(&current->blocked);
    2526                 :          0 :                         recalc_sigpending();
    2527                 :            :                 }
    2528                 :          0 :                 spin_unlock_irq(&current->sighand->siglock);
    2529                 :            :         }
    2530                 :            : 
    2531                 :            :         /* Wake up the parent if it is waiting so that it can recheck
    2532                 :            :          * wait permission to the new task SID. */
    2533                 :          0 :         read_lock(&tasklist_lock);
    2534                 :          0 :         __wake_up_parent(current, current->real_parent);
    2535                 :          0 :         read_unlock(&tasklist_lock);
    2536                 :            : }
    2537                 :            : 
    2538                 :            : /* superblock security operations */
    2539                 :            : 
    2540                 :       1110 : static int selinux_sb_alloc_security(struct super_block *sb)
    2541                 :            : {
    2542                 :       1110 :         struct superblock_security_struct *sbsec;
    2543                 :            : 
    2544                 :       1110 :         sbsec = kzalloc(sizeof(struct superblock_security_struct), GFP_KERNEL);
    2545         [ +  - ]:       1110 :         if (!sbsec)
    2546                 :            :                 return -ENOMEM;
    2547                 :            : 
    2548                 :       1110 :         mutex_init(&sbsec->lock);
    2549                 :       1110 :         INIT_LIST_HEAD(&sbsec->isec_head);
    2550                 :       1110 :         spin_lock_init(&sbsec->isec_lock);
    2551                 :       1110 :         sbsec->sb = sb;
    2552                 :       1110 :         sbsec->sid = SECINITSID_UNLABELED;
    2553                 :       1110 :         sbsec->def_sid = SECINITSID_FILE;
    2554                 :       1110 :         sbsec->mntpoint_sid = SECINITSID_UNLABELED;
    2555                 :       1110 :         sb->s_security = sbsec;
    2556                 :            : 
    2557                 :       1110 :         return 0;
    2558                 :            : }
    2559                 :            : 
    2560                 :         60 : static void selinux_sb_free_security(struct super_block *sb)
    2561                 :            : {
    2562                 :         60 :         superblock_free_security(sb);
    2563                 :         60 : }
    2564                 :            : 
    2565                 :        690 : static inline int opt_len(const char *s)
    2566                 :            : {
    2567                 :        690 :         bool open_quote = false;
    2568                 :        690 :         int len;
    2569                 :        690 :         char c;
    2570                 :            : 
    2571         [ +  + ]:       5940 :         for (len = 0; (c = s[len]) != '\0'; len++) {
    2572         [ -  + ]:       5520 :                 if (c == '"')
    2573                 :          0 :                         open_quote = !open_quote;
    2574         [ +  + ]:       5520 :                 if (c == ',' && !open_quote)
    2575                 :            :                         break;
    2576                 :            :         }
    2577                 :        690 :         return len;
    2578                 :            : }
    2579                 :            : 
    2580                 :        420 : static int selinux_sb_eat_lsm_opts(char *options, void **mnt_opts)
    2581                 :            : {
    2582                 :        420 :         char *from = options;
    2583                 :        420 :         char *to = options;
    2584                 :        420 :         bool first = true;
    2585                 :        690 :         int rc;
    2586                 :            : 
    2587                 :        960 :         while (1) {
    2588                 :        690 :                 int len = opt_len(from);
    2589                 :        690 :                 int token;
    2590                 :        690 :                 char *arg = NULL;
    2591                 :            : 
    2592                 :        690 :                 token = match_opt_prefix(from, len, &arg);
    2593                 :            : 
    2594         [ -  + ]:        690 :                 if (token != Opt_error) {
    2595                 :          0 :                         char *p, *q;
    2596                 :            : 
    2597                 :            :                         /* strip quotes */
    2598         [ #  # ]:          0 :                         if (arg) {
    2599         [ #  # ]:          0 :                                 for (p = q = arg; p < from + len; p++) {
    2600                 :          0 :                                         char c = *p;
    2601         [ #  # ]:          0 :                                         if (c != '"')
    2602                 :          0 :                                                 *q++ = c;
    2603                 :            :                                 }
    2604                 :          0 :                                 arg = kmemdup_nul(arg, q - arg, GFP_KERNEL);
    2605         [ #  # ]:          0 :                                 if (!arg) {
    2606                 :          0 :                                         rc = -ENOMEM;
    2607                 :          0 :                                         goto free_opt;
    2608                 :            :                                 }
    2609                 :            :                         }
    2610                 :          0 :                         rc = selinux_add_opt(token, arg, mnt_opts);
    2611         [ #  # ]:          0 :                         if (unlikely(rc)) {
    2612                 :          0 :                                 kfree(arg);
    2613                 :          0 :                                 goto free_opt;
    2614                 :            :                         }
    2615                 :            :                 } else {
    2616         [ +  + ]:        690 :                         if (!first) {   // copy with preceding comma
    2617                 :        270 :                                 from--;
    2618                 :        270 :                                 len++;
    2619                 :            :                         }
    2620         [ -  + ]:        690 :                         if (to != from)
    2621                 :          0 :                                 memmove(to, from, len);
    2622                 :        690 :                         to += len;
    2623                 :        690 :                         first = false;
    2624                 :            :                 }
    2625         [ +  + ]:        690 :                 if (!from[len])
    2626                 :            :                         break;
    2627                 :        270 :                 from += len + 1;
    2628                 :            :         }
    2629                 :        420 :         *to = '\0';
    2630                 :        420 :         return 0;
    2631                 :            : 
    2632                 :            : free_opt:
    2633         [ #  # ]:          0 :         if (*mnt_opts) {
    2634                 :          0 :                 selinux_free_mnt_opts(*mnt_opts);
    2635                 :          0 :                 *mnt_opts = NULL;
    2636                 :            :         }
    2637                 :            :         return rc;
    2638                 :            : }
    2639                 :            : 
    2640                 :        120 : static int selinux_sb_remount(struct super_block *sb, void *mnt_opts)
    2641                 :            : {
    2642                 :        120 :         struct selinux_mnt_opts *opts = mnt_opts;
    2643                 :        120 :         struct superblock_security_struct *sbsec = sb->s_security;
    2644                 :        120 :         u32 sid;
    2645                 :        120 :         int rc;
    2646                 :            : 
    2647         [ -  + ]:        120 :         if (!(sbsec->flags & SE_SBINITIALIZED))
    2648                 :            :                 return 0;
    2649                 :            : 
    2650         [ #  # ]:          0 :         if (!opts)
    2651                 :            :                 return 0;
    2652                 :            : 
    2653         [ #  # ]:          0 :         if (opts->fscontext) {
    2654                 :          0 :                 rc = parse_sid(sb, opts->fscontext, &sid);
    2655         [ #  # ]:          0 :                 if (rc)
    2656                 :            :                         return rc;
    2657         [ #  # ]:          0 :                 if (bad_option(sbsec, FSCONTEXT_MNT, sbsec->sid, sid))
    2658                 :          0 :                         goto out_bad_option;
    2659                 :            :         }
    2660         [ #  # ]:          0 :         if (opts->context) {
    2661                 :          0 :                 rc = parse_sid(sb, opts->context, &sid);
    2662         [ #  # ]:          0 :                 if (rc)
    2663                 :            :                         return rc;
    2664         [ #  # ]:          0 :                 if (bad_option(sbsec, CONTEXT_MNT, sbsec->mntpoint_sid, sid))
    2665                 :          0 :                         goto out_bad_option;
    2666                 :            :         }
    2667         [ #  # ]:          0 :         if (opts->rootcontext) {
    2668                 :          0 :                 struct inode_security_struct *root_isec;
    2669                 :          0 :                 root_isec = backing_inode_security(sb->s_root);
    2670                 :          0 :                 rc = parse_sid(sb, opts->rootcontext, &sid);
    2671         [ #  # ]:          0 :                 if (rc)
    2672                 :            :                         return rc;
    2673         [ #  # ]:          0 :                 if (bad_option(sbsec, ROOTCONTEXT_MNT, root_isec->sid, sid))
    2674                 :          0 :                         goto out_bad_option;
    2675                 :            :         }
    2676         [ #  # ]:          0 :         if (opts->defcontext) {
    2677                 :          0 :                 rc = parse_sid(sb, opts->defcontext, &sid);
    2678         [ #  # ]:          0 :                 if (rc)
    2679                 :            :                         return rc;
    2680         [ #  # ]:          0 :                 if (bad_option(sbsec, DEFCONTEXT_MNT, sbsec->def_sid, sid))
    2681                 :          0 :                         goto out_bad_option;
    2682                 :            :         }
    2683                 :            :         return 0;
    2684                 :            : 
    2685                 :          0 : out_bad_option:
    2686                 :          0 :         pr_warn("SELinux: unable to change security options "
    2687                 :            :                "during remount (dev %s, type=%s)\n", sb->s_id,
    2688                 :            :                sb->s_type->name);
    2689                 :          0 :         return -EINVAL;
    2690                 :            : }
    2691                 :            : 
    2692                 :        810 : static int selinux_sb_kern_mount(struct super_block *sb)
    2693                 :            : {
    2694                 :        810 :         const struct cred *cred = current_cred();
    2695                 :        810 :         struct common_audit_data ad;
    2696                 :            : 
    2697                 :        810 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    2698                 :        810 :         ad.u.dentry = sb->s_root;
    2699                 :        810 :         return superblock_has_perm(cred, sb, FILESYSTEM__MOUNT, &ad);
    2700                 :            : }
    2701                 :            : 
    2702                 :      26796 : static int selinux_sb_statfs(struct dentry *dentry)
    2703                 :            : {
    2704                 :      26796 :         const struct cred *cred = current_cred();
    2705                 :      26796 :         struct common_audit_data ad;
    2706                 :            : 
    2707                 :      26796 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    2708                 :      26796 :         ad.u.dentry = dentry->d_sb->s_root;
    2709                 :      26796 :         return superblock_has_perm(cred, dentry->d_sb, FILESYSTEM__GETATTR, &ad);
    2710                 :            : }
    2711                 :            : 
    2712                 :       2880 : static int selinux_mount(const char *dev_name,
    2713                 :            :                          const struct path *path,
    2714                 :            :                          const char *type,
    2715                 :            :                          unsigned long flags,
    2716                 :            :                          void *data)
    2717                 :            : {
    2718         [ +  + ]:       2880 :         const struct cred *cred = current_cred();
    2719                 :            : 
    2720         [ +  + ]:       2880 :         if (flags & MS_REMOUNT)
    2721                 :        990 :                 return superblock_has_perm(cred, path->dentry->d_sb,
    2722                 :            :                                            FILESYSTEM__REMOUNT, NULL);
    2723                 :            :         else
    2724                 :       1890 :                 return path_has_perm(cred, path, FILE__MOUNTON);
    2725                 :            : }
    2726                 :            : 
    2727                 :          0 : static int selinux_move_mount(const struct path *from_path,
    2728                 :            :                               const struct path *to_path)
    2729                 :            : {
    2730                 :          0 :         const struct cred *cred = current_cred();
    2731                 :            : 
    2732                 :          0 :         return path_has_perm(cred, to_path, FILE__MOUNTON);
    2733                 :            : }
    2734                 :            : 
    2735                 :        268 : static int selinux_umount(struct vfsmount *mnt, int flags)
    2736                 :            : {
    2737                 :        268 :         const struct cred *cred = current_cred();
    2738                 :            : 
    2739                 :        268 :         return superblock_has_perm(cred, mnt->mnt_sb,
    2740                 :            :                                    FILESYSTEM__UNMOUNT, NULL);
    2741                 :            : }
    2742                 :            : 
    2743                 :          0 : static int selinux_fs_context_dup(struct fs_context *fc,
    2744                 :            :                                   struct fs_context *src_fc)
    2745                 :            : {
    2746                 :          0 :         const struct selinux_mnt_opts *src = src_fc->security;
    2747                 :          0 :         struct selinux_mnt_opts *opts;
    2748                 :            : 
    2749         [ #  # ]:          0 :         if (!src)
    2750                 :            :                 return 0;
    2751                 :            : 
    2752                 :          0 :         fc->security = kzalloc(sizeof(struct selinux_mnt_opts), GFP_KERNEL);
    2753         [ #  # ]:          0 :         if (!fc->security)
    2754                 :            :                 return -ENOMEM;
    2755                 :            : 
    2756                 :          0 :         opts = fc->security;
    2757                 :            : 
    2758         [ #  # ]:          0 :         if (src->fscontext) {
    2759                 :          0 :                 opts->fscontext = kstrdup(src->fscontext, GFP_KERNEL);
    2760         [ #  # ]:          0 :                 if (!opts->fscontext)
    2761                 :            :                         return -ENOMEM;
    2762                 :            :         }
    2763         [ #  # ]:          0 :         if (src->context) {
    2764                 :          0 :                 opts->context = kstrdup(src->context, GFP_KERNEL);
    2765         [ #  # ]:          0 :                 if (!opts->context)
    2766                 :            :                         return -ENOMEM;
    2767                 :            :         }
    2768         [ #  # ]:          0 :         if (src->rootcontext) {
    2769                 :          0 :                 opts->rootcontext = kstrdup(src->rootcontext, GFP_KERNEL);
    2770         [ #  # ]:          0 :                 if (!opts->rootcontext)
    2771                 :            :                         return -ENOMEM;
    2772                 :            :         }
    2773         [ #  # ]:          0 :         if (src->defcontext) {
    2774                 :          0 :                 opts->defcontext = kstrdup(src->defcontext, GFP_KERNEL);
    2775         [ #  # ]:          0 :                 if (!opts->defcontext)
    2776                 :          0 :                         return -ENOMEM;
    2777                 :            :         }
    2778                 :            :         return 0;
    2779                 :            : }
    2780                 :            : 
    2781                 :            : static const struct fs_parameter_spec selinux_fs_parameters[] = {
    2782                 :            :         fsparam_string(CONTEXT_STR,     Opt_context),
    2783                 :            :         fsparam_string(DEFCONTEXT_STR,  Opt_defcontext),
    2784                 :            :         fsparam_string(FSCONTEXT_STR,   Opt_fscontext),
    2785                 :            :         fsparam_string(ROOTCONTEXT_STR, Opt_rootcontext),
    2786                 :            :         fsparam_flag  (SECLABEL_STR,    Opt_seclabel),
    2787                 :            :         {}
    2788                 :            : };
    2789                 :            : 
    2790                 :       1770 : static int selinux_fs_context_parse_param(struct fs_context *fc,
    2791                 :            :                                           struct fs_parameter *param)
    2792                 :            : {
    2793                 :       1770 :         struct fs_parse_result result;
    2794                 :       1770 :         int opt, rc;
    2795                 :            : 
    2796                 :       1770 :         opt = fs_parse(fc, selinux_fs_parameters, param, &result);
    2797         [ -  + ]:       1770 :         if (opt < 0)
    2798                 :            :                 return opt;
    2799                 :            : 
    2800                 :          0 :         rc = selinux_add_opt(opt, param->string, &fc->security);
    2801         [ #  # ]:          0 :         if (!rc) {
    2802                 :          0 :                 param->string = NULL;
    2803                 :          0 :                 rc = 1;
    2804                 :            :         }
    2805                 :            :         return rc;
    2806                 :            : }
    2807                 :            : 
    2808                 :            : /* inode security operations */
    2809                 :            : 
    2810                 :     616115 : static int selinux_inode_alloc_security(struct inode *inode)
    2811                 :            : {
    2812         [ +  - ]:     616115 :         struct inode_security_struct *isec = selinux_inode(inode);
    2813                 :     616115 :         u32 sid = current_sid();
    2814                 :            : 
    2815                 :     616115 :         spin_lock_init(&isec->lock);
    2816                 :     616115 :         INIT_LIST_HEAD(&isec->list);
    2817                 :     616115 :         isec->inode = inode;
    2818                 :     616115 :         isec->sid = SECINITSID_UNLABELED;
    2819                 :     616115 :         isec->sclass = SECCLASS_FILE;
    2820                 :     616115 :         isec->task_sid = sid;
    2821                 :     616115 :         isec->initialized = LABEL_INVALID;
    2822                 :            : 
    2823                 :     616115 :         return 0;
    2824                 :            : }
    2825                 :            : 
    2826                 :      54297 : static void selinux_inode_free_security(struct inode *inode)
    2827                 :            : {
    2828                 :      54297 :         inode_free_security(inode);
    2829                 :      54297 : }
    2830                 :            : 
    2831                 :          0 : static int selinux_dentry_init_security(struct dentry *dentry, int mode,
    2832                 :            :                                         const struct qstr *name, void **ctx,
    2833                 :            :                                         u32 *ctxlen)
    2834                 :            : {
    2835                 :          0 :         u32 newsid;
    2836                 :          0 :         int rc;
    2837                 :            : 
    2838                 :          0 :         rc = selinux_determine_inode_label(selinux_cred(current_cred()),
    2839                 :          0 :                                            d_inode(dentry->d_parent), name,
    2840   [ #  #  #  #  :          0 :                                            inode_mode_to_security_class(mode),
             #  #  #  # ]
    2841                 :            :                                            &newsid);
    2842         [ #  # ]:          0 :         if (rc)
    2843                 :            :                 return rc;
    2844                 :            : 
    2845                 :          0 :         return security_sid_to_context(&selinux_state, newsid, (char **)ctx,
    2846                 :            :                                        ctxlen);
    2847                 :            : }
    2848                 :            : 
    2849                 :          0 : static int selinux_dentry_create_files_as(struct dentry *dentry, int mode,
    2850                 :            :                                           struct qstr *name,
    2851                 :            :                                           const struct cred *old,
    2852                 :            :                                           struct cred *new)
    2853                 :            : {
    2854                 :          0 :         u32 newsid;
    2855                 :          0 :         int rc;
    2856                 :          0 :         struct task_security_struct *tsec;
    2857                 :            : 
    2858                 :          0 :         rc = selinux_determine_inode_label(selinux_cred(old),
    2859                 :          0 :                                            d_inode(dentry->d_parent), name,
    2860   [ #  #  #  #  :          0 :                                            inode_mode_to_security_class(mode),
             #  #  #  # ]
    2861                 :            :                                            &newsid);
    2862         [ #  # ]:          0 :         if (rc)
    2863                 :            :                 return rc;
    2864                 :            : 
    2865                 :          0 :         tsec = selinux_cred(new);
    2866                 :          0 :         tsec->create_sid = newsid;
    2867                 :          0 :         return 0;
    2868                 :            : }
    2869                 :            : 
    2870                 :      48012 : static int selinux_inode_init_security(struct inode *inode, struct inode *dir,
    2871                 :            :                                        const struct qstr *qstr,
    2872                 :            :                                        const char **name,
    2873                 :            :                                        void **value, size_t *len)
    2874                 :            : {
    2875   [ +  +  +  +  :      48012 :         const struct task_security_struct *tsec = selinux_cred(current_cred());
             +  +  -  + ]
    2876                 :      48012 :         struct superblock_security_struct *sbsec;
    2877                 :      48012 :         u32 newsid, clen;
    2878                 :      48012 :         int rc;
    2879                 :      48012 :         char *context;
    2880                 :            : 
    2881                 :      48012 :         sbsec = dir->i_sb->s_security;
    2882                 :            : 
    2883                 :      48012 :         newsid = tsec->create_sid;
    2884                 :            : 
    2885                 :      48012 :         rc = selinux_determine_inode_label(tsec, dir, qstr,
    2886   [ +  +  +  +  :      48012 :                 inode_mode_to_security_class(inode->i_mode),
             +  +  -  + ]
    2887                 :            :                 &newsid);
    2888         [ +  - ]:      48012 :         if (rc)
    2889                 :            :                 return rc;
    2890                 :            : 
    2891                 :            :         /* Possibly defer initialization to selinux_complete_init. */
    2892         [ -  + ]:      48012 :         if (sbsec->flags & SE_SBINITIALIZED) {
    2893         [ #  # ]:          0 :                 struct inode_security_struct *isec = selinux_inode(inode);
    2894   [ #  #  #  #  :          0 :                 isec->sclass = inode_mode_to_security_class(inode->i_mode);
             #  #  #  # ]
    2895                 :          0 :                 isec->sid = newsid;
    2896                 :          0 :                 isec->initialized = LABEL_INITIALIZED;
    2897                 :            :         }
    2898                 :            : 
    2899         [ -  + ]:      48012 :         if (!selinux_initialized(&selinux_state) ||
    2900         [ #  # ]:          0 :             !(sbsec->flags & SBLABEL_MNT))
    2901                 :            :                 return -EOPNOTSUPP;
    2902                 :            : 
    2903         [ #  # ]:          0 :         if (name)
    2904                 :          0 :                 *name = XATTR_SELINUX_SUFFIX;
    2905                 :            : 
    2906         [ #  # ]:          0 :         if (value && len) {
    2907                 :          0 :                 rc = security_sid_to_context_force(&selinux_state, newsid,
    2908                 :            :                                                    &context, &clen);
    2909         [ #  # ]:          0 :                 if (rc)
    2910                 :            :                         return rc;
    2911                 :          0 :                 *value = context;
    2912                 :          0 :                 *len = clen;
    2913                 :            :         }
    2914                 :            : 
    2915                 :            :         return 0;
    2916                 :            : }
    2917                 :            : 
    2918                 :      27840 : static int selinux_inode_create(struct inode *dir, struct dentry *dentry, umode_t mode)
    2919                 :            : {
    2920                 :      27840 :         return may_create(dir, dentry, SECCLASS_FILE);
    2921                 :            : }
    2922                 :            : 
    2923                 :          0 : static int selinux_inode_link(struct dentry *old_dentry, struct inode *dir, struct dentry *new_dentry)
    2924                 :            : {
    2925                 :          0 :         return may_link(dir, old_dentry, MAY_LINK);
    2926                 :            : }
    2927                 :            : 
    2928                 :       2634 : static int selinux_inode_unlink(struct inode *dir, struct dentry *dentry)
    2929                 :            : {
    2930                 :       2634 :         return may_link(dir, dentry, MAY_UNLINK);
    2931                 :            : }
    2932                 :            : 
    2933                 :       6186 : static int selinux_inode_symlink(struct inode *dir, struct dentry *dentry, const char *name)
    2934                 :            : {
    2935                 :       6186 :         return may_create(dir, dentry, SECCLASS_LNK_FILE);
    2936                 :            : }
    2937                 :            : 
    2938                 :      11688 : static int selinux_inode_mkdir(struct inode *dir, struct dentry *dentry, umode_t mask)
    2939                 :            : {
    2940                 :      11688 :         return may_create(dir, dentry, SECCLASS_DIR);
    2941                 :            : }
    2942                 :            : 
    2943                 :        990 : static int selinux_inode_rmdir(struct inode *dir, struct dentry *dentry)
    2944                 :            : {
    2945                 :        990 :         return may_link(dir, dentry, MAY_RMDIR);
    2946                 :            : }
    2947                 :            : 
    2948                 :       4410 : static int selinux_inode_mknod(struct inode *dir, struct dentry *dentry, umode_t mode, dev_t dev)
    2949                 :            : {
    2950   [ -  -  +  -  :       8580 :         return may_create(dir, dentry, inode_mode_to_security_class(mode));
             +  +  -  + ]
    2951                 :            : }
    2952                 :            : 
    2953                 :       7026 : static int selinux_inode_rename(struct inode *old_inode, struct dentry *old_dentry,
    2954                 :            :                                 struct inode *new_inode, struct dentry *new_dentry)
    2955                 :            : {
    2956                 :       7026 :         return may_rename(old_inode, old_dentry, new_inode, new_dentry);
    2957                 :            : }
    2958                 :            : 
    2959                 :      47586 : static int selinux_inode_readlink(struct dentry *dentry)
    2960                 :            : {
    2961                 :      47586 :         const struct cred *cred = current_cred();
    2962                 :            : 
    2963                 :      47586 :         return dentry_has_perm(cred, dentry, FILE__READ);
    2964                 :            : }
    2965                 :            : 
    2966                 :     417550 : static int selinux_inode_follow_link(struct dentry *dentry, struct inode *inode,
    2967                 :            :                                      bool rcu)
    2968                 :            : {
    2969                 :     417550 :         const struct cred *cred = current_cred();
    2970                 :     417550 :         struct common_audit_data ad;
    2971                 :     417550 :         struct inode_security_struct *isec;
    2972                 :     417550 :         u32 sid;
    2973                 :            : 
    2974                 :     417550 :         validate_creds(cred);
    2975                 :            : 
    2976                 :     417550 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    2977                 :     417550 :         ad.u.dentry = dentry;
    2978                 :     417550 :         sid = cred_sid(cred);
    2979                 :     417550 :         isec = inode_security_rcu(inode, rcu);
    2980         [ -  + ]:     417550 :         if (IS_ERR(isec))
    2981                 :          0 :                 return PTR_ERR(isec);
    2982                 :            : 
    2983         [ +  + ]:     417550 :         return avc_has_perm_flags(&selinux_state,
    2984                 :     417550 :                                   sid, isec->sid, isec->sclass, FILE__READ, &ad,
    2985                 :            :                                   rcu ? MAY_NOT_BLOCK : 0);
    2986                 :            : }
    2987                 :            : 
    2988                 :          0 : static noinline int audit_inode_permission(struct inode *inode,
    2989                 :            :                                            u32 perms, u32 audited, u32 denied,
    2990                 :            :                                            int result)
    2991                 :            : {
    2992                 :          0 :         struct common_audit_data ad;
    2993         [ #  # ]:          0 :         struct inode_security_struct *isec = selinux_inode(inode);
    2994                 :          0 :         int rc;
    2995                 :            : 
    2996                 :          0 :         ad.type = LSM_AUDIT_DATA_INODE;
    2997                 :          0 :         ad.u.inode = inode;
    2998                 :            : 
    2999                 :          0 :         rc = slow_avc_audit(&selinux_state,
    3000                 :          0 :                             current_sid(), isec->sid, isec->sclass, perms,
    3001                 :            :                             audited, denied, result, &ad);
    3002         [ #  # ]:          0 :         if (rc)
    3003                 :          0 :                 return rc;
    3004                 :            :         return 0;
    3005                 :            : }
    3006                 :            : 
    3007                 :    9367626 : static int selinux_inode_permission(struct inode *inode, int mask)
    3008                 :            : {
    3009         [ +  + ]:    9367626 :         const struct cred *cred = current_cred();
    3010                 :    9367626 :         u32 perms;
    3011                 :    9367626 :         bool from_access;
    3012                 :    9367626 :         bool no_block = mask & MAY_NOT_BLOCK;
    3013                 :    9367626 :         struct inode_security_struct *isec;
    3014                 :    9367626 :         u32 sid;
    3015                 :    9367626 :         struct av_decision avd;
    3016                 :    9367626 :         int rc, rc2;
    3017                 :    9367626 :         u32 audited, denied;
    3018                 :            : 
    3019                 :    9367626 :         from_access = mask & MAY_ACCESS;
    3020                 :    9367626 :         mask &= (MAY_READ|MAY_WRITE|MAY_EXEC|MAY_APPEND);
    3021                 :            : 
    3022                 :            :         /* No permission to check.  Existence test. */
    3023         [ +  + ]:    9367626 :         if (!mask)
    3024                 :            :                 return 0;
    3025                 :            : 
    3026         [ +  - ]:    9297048 :         validate_creds(cred);
    3027                 :            : 
    3028         [ +  - ]:    9297048 :         if (unlikely(IS_PRIVATE(inode)))
    3029                 :            :                 return 0;
    3030                 :            : 
    3031                 :    9297048 :         perms = file_mask_to_av(inode->i_mode, mask);
    3032                 :            : 
    3033                 :    9297048 :         sid = cred_sid(cred);
    3034                 :    9297048 :         isec = inode_security_rcu(inode, no_block);
    3035         [ -  + ]:    9297048 :         if (IS_ERR(isec))
    3036                 :          0 :                 return PTR_ERR(isec);
    3037                 :            : 
    3038         [ +  + ]:    9297048 :         rc = avc_has_perm_noaudit(&selinux_state,
    3039                 :    9297048 :                                   sid, isec->sid, isec->sclass, perms,
    3040                 :            :                                   no_block ? AVC_NONBLOCKING : 0,
    3041                 :            :                                   &avd);
    3042         [ +  + ]:    9297048 :         audited = avc_audit_required(perms, &avd, rc,
    3043                 :            :                                      from_access ? FILE__AUDIT_ACCESS : 0,
    3044                 :            :                                      &denied);
    3045         [ -  + ]:    9297048 :         if (likely(!audited))
    3046                 :            :                 return rc;
    3047                 :            : 
    3048                 :            :         /* fall back to ref-walk if we have to generate audit */
    3049         [ #  # ]:          0 :         if (no_block)
    3050                 :            :                 return -ECHILD;
    3051                 :            : 
    3052                 :          0 :         rc2 = audit_inode_permission(inode, perms, audited, denied, rc);
    3053         [ #  # ]:          0 :         if (rc2)
    3054                 :          0 :                 return rc2;
    3055                 :            :         return rc;
    3056                 :            : }
    3057                 :            : 
    3058                 :      24733 : static int selinux_inode_setattr(struct dentry *dentry, struct iattr *iattr)
    3059                 :            : {
    3060         [ -  + ]:      24733 :         const struct cred *cred = current_cred();
    3061         [ -  + ]:      24733 :         struct inode *inode = d_backing_inode(dentry);
    3062                 :      24733 :         unsigned int ia_valid = iattr->ia_valid;
    3063                 :      24733 :         __u32 av = FILE__WRITE;
    3064                 :            : 
    3065                 :            :         /* ATTR_FORCE is just used for ATTR_KILL_S[UG]ID. */
    3066         [ -  + ]:      24733 :         if (ia_valid & ATTR_FORCE) {
    3067                 :          0 :                 ia_valid &= ~(ATTR_KILL_SUID | ATTR_KILL_SGID | ATTR_MODE |
    3068                 :            :                               ATTR_FORCE);
    3069         [ #  # ]:          0 :                 if (!ia_valid)
    3070                 :            :                         return 0;
    3071                 :            :         }
    3072                 :            : 
    3073         [ +  + ]:      24733 :         if (ia_valid & (ATTR_MODE | ATTR_UID | ATTR_GID |
    3074                 :            :                         ATTR_ATIME_SET | ATTR_MTIME_SET | ATTR_TIMES_SET))
    3075                 :      17316 :                 return dentry_has_perm(cred, dentry, FILE__SETATTR);
    3076                 :            : 
    3077         [ -  + ]:       7417 :         if (selinux_policycap_openperm() &&
    3078         [ #  # ]:          0 :             inode->i_sb->s_magic != SOCKFS_MAGIC &&
    3079         [ #  # ]:          0 :             (ia_valid & ATTR_SIZE) &&
    3080                 :            :             !(ia_valid & ATTR_FILE))
    3081                 :          0 :                 av |= FILE__OPEN;
    3082                 :            : 
    3083                 :       7417 :         return dentry_has_perm(cred, dentry, av);
    3084                 :            : }
    3085                 :            : 
    3086                 :    1353397 : static int selinux_inode_getattr(const struct path *path)
    3087                 :            : {
    3088                 :    1353397 :         return path_has_perm(current_cred(), path, FILE__GETATTR);
    3089                 :            : }
    3090                 :            : 
    3091                 :          0 : static bool has_cap_mac_admin(bool audit)
    3092                 :            : {
    3093         [ #  # ]:          0 :         const struct cred *cred = current_cred();
    3094         [ #  # ]:          0 :         unsigned int opts = audit ? CAP_OPT_NONE : CAP_OPT_NOAUDIT;
    3095                 :            : 
    3096         [ #  # ]:          0 :         if (cap_capable(cred, &init_user_ns, CAP_MAC_ADMIN, opts))
    3097                 :            :                 return false;
    3098         [ #  # ]:          0 :         if (cred_has_capability(cred, CAP_MAC_ADMIN, opts, true))
    3099                 :          0 :                 return false;
    3100                 :            :         return true;
    3101                 :            : }
    3102                 :            : 
    3103                 :        876 : static int selinux_inode_setxattr(struct dentry *dentry, const char *name,
    3104                 :            :                                   const void *value, size_t size, int flags)
    3105                 :            : {
    3106         [ +  - ]:        876 :         struct inode *inode = d_backing_inode(dentry);
    3107                 :        876 :         struct inode_security_struct *isec;
    3108                 :        876 :         struct superblock_security_struct *sbsec;
    3109                 :        876 :         struct common_audit_data ad;
    3110         [ +  - ]:        876 :         u32 newsid, sid = current_sid();
    3111                 :        876 :         int rc = 0;
    3112                 :            : 
    3113         [ +  - ]:        876 :         if (strcmp(name, XATTR_NAME_SELINUX)) {
    3114                 :        876 :                 rc = cap_inode_setxattr(dentry, name, value, size, flags);
    3115         [ +  - ]:        876 :                 if (rc)
    3116                 :            :                         return rc;
    3117                 :            : 
    3118                 :            :                 /* Not an attribute we recognize, so just check the
    3119                 :            :                    ordinary setattr permission. */
    3120                 :        876 :                 return dentry_has_perm(current_cred(), dentry, FILE__SETATTR);
    3121                 :            :         }
    3122                 :            : 
    3123         [ #  # ]:          0 :         if (!selinux_initialized(&selinux_state))
    3124         [ #  # ]:          0 :                 return (inode_owner_or_capable(inode) ? 0 : -EPERM);
    3125                 :            : 
    3126                 :          0 :         sbsec = inode->i_sb->s_security;
    3127         [ #  # ]:          0 :         if (!(sbsec->flags & SBLABEL_MNT))
    3128                 :            :                 return -EOPNOTSUPP;
    3129                 :            : 
    3130         [ #  # ]:          0 :         if (!inode_owner_or_capable(inode))
    3131                 :            :                 return -EPERM;
    3132                 :            : 
    3133                 :          0 :         ad.type = LSM_AUDIT_DATA_DENTRY;
    3134                 :          0 :         ad.u.dentry = dentry;
    3135                 :            : 
    3136                 :          0 :         isec = backing_inode_security(dentry);
    3137                 :          0 :         rc = avc_has_perm(&selinux_state,
    3138                 :          0 :                           sid, isec->sid, isec->sclass,
    3139                 :            :                           FILE__RELABELFROM, &ad);
    3140         [ #  # ]:          0 :         if (rc)
    3141                 :            :                 return rc;
    3142                 :            : 
    3143                 :          0 :         rc = security_context_to_sid(&selinux_state, value, size, &newsid,
    3144                 :            :                                      GFP_KERNEL);
    3145         [ #  # ]:          0 :         if (rc == -EINVAL) {
    3146         [ #  # ]:          0 :                 if (!has_cap_mac_admin(true)) {
    3147                 :          0 :                         struct audit_buffer *ab;
    3148                 :          0 :                         size_t audit_size;
    3149                 :            : 
    3150                 :            :                         /* We strip a nul only if it is at the end, otherwise the
    3151                 :            :                          * context contains a nul and we should audit that */
    3152         [ #  # ]:          0 :                         if (value) {
    3153                 :          0 :                                 const char *str = value;
    3154                 :            : 
    3155         [ #  # ]:          0 :                                 if (str[size - 1] == '\0')
    3156                 :          0 :                                         audit_size = size - 1;
    3157                 :            :                                 else
    3158                 :            :                                         audit_size = size;
    3159                 :            :                         } else {
    3160                 :            :                                 audit_size = 0;
    3161                 :            :                         }
    3162                 :          0 :                         ab = audit_log_start(audit_context(),
    3163                 :            :                                              GFP_ATOMIC, AUDIT_SELINUX_ERR);
    3164                 :          0 :                         audit_log_format(ab, "op=setxattr invalid_context=");
    3165                 :          0 :                         audit_log_n_untrustedstring(ab, value, audit_size);
    3166                 :          0 :                         audit_log_end(ab);
    3167                 :            : 
    3168                 :          0 :                         return rc;
    3169                 :            :                 }
    3170                 :          0 :                 rc = security_context_to_sid_force(&selinux_state, value,
    3171                 :            :                                                    size, &newsid);
    3172                 :            :         }
    3173         [ #  # ]:          0 :         if (rc)
    3174                 :            :                 return rc;
    3175                 :            : 
    3176                 :          0 :         rc = avc_has_perm(&selinux_state,
    3177                 :          0 :                           sid, newsid, isec->sclass,
    3178                 :            :                           FILE__RELABELTO, &ad);
    3179         [ #  # ]:          0 :         if (rc)
    3180                 :            :                 return rc;
    3181                 :            : 
    3182                 :          0 :         rc = security_validate_transition(&selinux_state, isec->sid, newsid,
    3183                 :          0 :                                           sid, isec->sclass);
    3184         [ #  # ]:          0 :         if (rc)
    3185                 :            :                 return rc;
    3186                 :            : 
    3187                 :          0 :         return avc_has_perm(&selinux_state,
    3188                 :            :                             newsid,
    3189                 :            :                             sbsec->sid,
    3190                 :            :                             SECCLASS_FILESYSTEM,
    3191                 :            :                             FILESYSTEM__ASSOCIATE,
    3192                 :            :                             &ad);
    3193                 :            : }
    3194                 :            : 
    3195                 :        846 : static void selinux_inode_post_setxattr(struct dentry *dentry, const char *name,
    3196                 :            :                                         const void *value, size_t size,
    3197                 :            :                                         int flags)
    3198                 :            : {
    3199         [ -  + ]:        846 :         struct inode *inode = d_backing_inode(dentry);
    3200                 :        846 :         struct inode_security_struct *isec;
    3201                 :        846 :         u32 newsid;
    3202                 :        846 :         int rc;
    3203                 :            : 
    3204         [ -  + ]:        846 :         if (strcmp(name, XATTR_NAME_SELINUX)) {
    3205                 :            :                 /* Not an attribute we recognize, so nothing to do. */
    3206                 :            :                 return;
    3207                 :            :         }
    3208                 :            : 
    3209         [ #  # ]:          0 :         if (!selinux_initialized(&selinux_state)) {
    3210                 :            :                 /* If we haven't even been initialized, then we can't validate
    3211                 :            :                  * against a policy, so leave the label as invalid. It may
    3212                 :            :                  * resolve to a valid label on the next revalidation try if
    3213                 :            :                  * we've since initialized.
    3214                 :            :                  */
    3215                 :            :                 return;
    3216                 :            :         }
    3217                 :            : 
    3218                 :          0 :         rc = security_context_to_sid_force(&selinux_state, value, size,
    3219                 :            :                                            &newsid);
    3220         [ #  # ]:          0 :         if (rc) {
    3221                 :          0 :                 pr_err("SELinux:  unable to map context to SID"
    3222                 :            :                        "for (%s, %lu), rc=%d\n",
    3223                 :            :                        inode->i_sb->s_id, inode->i_ino, -rc);
    3224                 :          0 :                 return;
    3225                 :            :         }
    3226                 :            : 
    3227                 :          0 :         isec = backing_inode_security(dentry);
    3228                 :          0 :         spin_lock(&isec->lock);
    3229   [ #  #  #  #  :          0 :         isec->sclass = inode_mode_to_security_class(inode->i_mode);
             #  #  #  # ]
    3230                 :          0 :         isec->sid = newsid;
    3231                 :          0 :         isec->initialized = LABEL_INITIALIZED;
    3232                 :          0 :         spin_unlock(&isec->lock);
    3233                 :            : 
    3234                 :            :         return;
    3235                 :            : }
    3236                 :            : 
    3237                 :          0 : static int selinux_inode_getxattr(struct dentry *dentry, const char *name)
    3238                 :            : {
    3239                 :          0 :         const struct cred *cred = current_cred();
    3240                 :            : 
    3241                 :          0 :         return dentry_has_perm(cred, dentry, FILE__GETATTR);
    3242                 :            : }
    3243                 :            : 
    3244                 :          0 : static int selinux_inode_listxattr(struct dentry *dentry)
    3245                 :            : {
    3246                 :          0 :         const struct cred *cred = current_cred();
    3247                 :            : 
    3248                 :          0 :         return dentry_has_perm(cred, dentry, FILE__GETATTR);
    3249                 :            : }
    3250                 :            : 
    3251                 :        120 : static int selinux_inode_removexattr(struct dentry *dentry, const char *name)
    3252                 :            : {
    3253         [ +  - ]:        120 :         if (strcmp(name, XATTR_NAME_SELINUX)) {
    3254                 :        120 :                 int rc = cap_inode_removexattr(dentry, name);
    3255         [ +  - ]:        120 :                 if (rc)
    3256                 :            :                         return rc;
    3257                 :            : 
    3258                 :            :                 /* Not an attribute we recognize, so just check the
    3259                 :            :                    ordinary setattr permission. */
    3260                 :        120 :                 return dentry_has_perm(current_cred(), dentry, FILE__SETATTR);
    3261                 :            :         }
    3262                 :            : 
    3263                 :            :         /* No one is allowed to remove a SELinux security label.
    3264                 :            :            You can change the label, but all data must be labeled. */
    3265                 :            :         return -EACCES;
    3266                 :            : }
    3267                 :            : 
    3268                 :       2381 : static int selinux_path_notify(const struct path *path, u64 mask,
    3269                 :            :                                                 unsigned int obj_type)
    3270                 :            : {
    3271                 :       2381 :         int ret;
    3272                 :       2381 :         u32 perm;
    3273                 :            : 
    3274                 :       2381 :         struct common_audit_data ad;
    3275                 :            : 
    3276                 :       2381 :         ad.type = LSM_AUDIT_DATA_PATH;
    3277                 :       2381 :         ad.u.path = *path;
    3278                 :            : 
    3279                 :            :         /*
    3280                 :            :          * Set permission needed based on the type of mark being set.
    3281                 :            :          * Performs an additional check for sb watches.
    3282                 :            :          */
    3283   [ -  +  -  - ]:       2381 :         switch (obj_type) {
    3284                 :            :         case FSNOTIFY_OBJ_TYPE_VFSMOUNT:
    3285                 :            :                 perm = FILE__WATCH_MOUNT;
    3286                 :            :                 break;
    3287                 :          0 :         case FSNOTIFY_OBJ_TYPE_SB:
    3288                 :          0 :                 perm = FILE__WATCH_SB;
    3289                 :          0 :                 ret = superblock_has_perm(current_cred(), path->dentry->d_sb,
    3290                 :            :                                                 FILESYSTEM__WATCH, &ad);
    3291         [ #  # ]:          0 :                 if (ret)
    3292                 :            :                         return ret;
    3293                 :            :                 break;
    3294                 :       2381 :         case FSNOTIFY_OBJ_TYPE_INODE:
    3295                 :       2381 :                 perm = FILE__WATCH;
    3296                 :       2381 :                 break;
    3297                 :            :         default:
    3298                 :            :                 return -EINVAL;
    3299                 :            :         }
    3300                 :            : 
    3301                 :            :         /* blocking watches require the file:watch_with_perm permission */
    3302         [ -  + ]:       2381 :         if (mask & (ALL_FSNOTIFY_PERM_EVENTS))
    3303                 :          0 :                 perm |= FILE__WATCH_WITH_PERM;
    3304                 :            : 
    3305                 :            :         /* watches on read-like events need the file:watch_reads permission */
    3306         [ -  + ]:       2381 :         if (mask & (FS_ACCESS | FS_ACCESS_PERM | FS_CLOSE_NOWRITE))
    3307                 :          0 :                 perm |= FILE__WATCH_READS;
    3308                 :            : 
    3309                 :       2381 :         return path_has_perm(current_cred(), path, perm);
    3310                 :            : }
    3311                 :            : 
    3312                 :            : /*
    3313                 :            :  * Copy the inode security context value to the user.
    3314                 :            :  *
    3315                 :            :  * Permission check is handled by selinux_inode_getxattr hook.
    3316                 :            :  */
    3317                 :          0 : static int selinux_inode_getsecurity(struct inode *inode, const char *name, void **buffer, bool alloc)
    3318                 :            : {
    3319                 :          0 :         u32 size;
    3320                 :          0 :         int error;
    3321                 :          0 :         char *context = NULL;
    3322                 :          0 :         struct inode_security_struct *isec;
    3323                 :            : 
    3324         [ #  # ]:          0 :         if (strcmp(name, XATTR_SELINUX_SUFFIX))
    3325                 :            :                 return -EOPNOTSUPP;
    3326                 :            : 
    3327                 :            :         /*
    3328                 :            :          * If the caller has CAP_MAC_ADMIN, then get the raw context
    3329                 :            :          * value even if it is not defined by current policy; otherwise,
    3330                 :            :          * use the in-core value under current policy.
    3331                 :            :          * Use the non-auditing forms of the permission checks since
    3332                 :            :          * getxattr may be called by unprivileged processes commonly
    3333                 :            :          * and lack of permission just means that we fall back to the
    3334                 :            :          * in-core context value, not a denial.
    3335                 :            :          */
    3336                 :          0 :         isec = inode_security(inode);
    3337         [ #  # ]:          0 :         if (has_cap_mac_admin(false))
    3338                 :          0 :                 error = security_sid_to_context_force(&selinux_state,
    3339                 :            :                                                       isec->sid, &context,
    3340                 :            :                                                       &size);
    3341                 :            :         else
    3342                 :          0 :                 error = security_sid_to_context(&selinux_state, isec->sid,
    3343                 :            :                                                 &context, &size);
    3344         [ #  # ]:          0 :         if (error)
    3345                 :            :                 return error;
    3346                 :          0 :         error = size;
    3347         [ #  # ]:          0 :         if (alloc) {
    3348                 :          0 :                 *buffer = context;
    3349                 :          0 :                 goto out_nofree;
    3350                 :            :         }
    3351                 :          0 :         kfree(context);
    3352                 :            : out_nofree:
    3353                 :            :         return error;
    3354                 :            : }
    3355                 :            : 
    3356                 :          0 : static int selinux_inode_setsecurity(struct inode *inode, const char *name,
    3357                 :            :                                      const void *value, size_t size, int flags)
    3358                 :            : {
    3359         [ #  # ]:          0 :         struct inode_security_struct *isec = inode_security_novalidate(inode);
    3360                 :          0 :         struct superblock_security_struct *sbsec = inode->i_sb->s_security;
    3361                 :          0 :         u32 newsid;
    3362                 :          0 :         int rc;
    3363                 :            : 
    3364         [ #  # ]:          0 :         if (strcmp(name, XATTR_SELINUX_SUFFIX))
    3365                 :            :                 return -EOPNOTSUPP;
    3366                 :            : 
    3367         [ #  # ]:          0 :         if (!(sbsec->flags & SBLABEL_MNT))
    3368                 :            :                 return -EOPNOTSUPP;
    3369                 :            : 
    3370         [ #  # ]:          0 :         if (!value || !size)
    3371                 :            :                 return -EACCES;
    3372                 :            : 
    3373                 :          0 :         rc = security_context_to_sid(&selinux_state, value, size, &newsid,
    3374                 :            :                                      GFP_KERNEL);
    3375         [ #  # ]:          0 :         if (rc)
    3376                 :            :                 return rc;
    3377                 :            : 
    3378                 :          0 :         spin_lock(&isec->lock);
    3379   [ #  #  #  #  :          0 :         isec->sclass = inode_mode_to_security_class(inode->i_mode);
             #  #  #  # ]
    3380                 :          0 :         isec->sid = newsid;
    3381                 :          0 :         isec->initialized = LABEL_INITIALIZED;
    3382                 :          0 :         spin_unlock(&isec->lock);
    3383                 :          0 :         return 0;
    3384                 :            : }
    3385                 :            : 
    3386                 :          0 : static int selinux_inode_listsecurity(struct inode *inode, char *buffer, size_t buffer_size)
    3387                 :            : {
    3388                 :          0 :         const int len = sizeof(XATTR_NAME_SELINUX);
    3389         [ #  # ]:          0 :         if (buffer && len <= buffer_size)
    3390                 :          0 :                 memcpy(buffer, XATTR_NAME_SELINUX, len);
    3391                 :          0 :         return len;
    3392                 :            : }
    3393                 :            : 
    3394                 :          0 : static void selinux_inode_getsecid(struct inode *inode, u32 *secid)
    3395                 :            : {
    3396   [ #  #  #  # ]:          0 :         struct inode_security_struct *isec = inode_security_novalidate(inode);
    3397                 :          0 :         *secid = isec->sid;
    3398                 :          0 : }
    3399                 :            : 
    3400                 :          0 : static int selinux_inode_copy_up(struct dentry *src, struct cred **new)
    3401                 :            : {
    3402                 :          0 :         u32 sid;
    3403                 :          0 :         struct task_security_struct *tsec;
    3404                 :          0 :         struct cred *new_creds = *new;
    3405                 :            : 
    3406         [ #  # ]:          0 :         if (new_creds == NULL) {
    3407                 :          0 :                 new_creds = prepare_creds();
    3408         [ #  # ]:          0 :                 if (!new_creds)
    3409                 :            :                         return -ENOMEM;
    3410                 :            :         }
    3411                 :            : 
    3412         [ #  # ]:          0 :         tsec = selinux_cred(new_creds);
    3413                 :            :         /* Get label from overlay inode and set it in create_sid */
    3414         [ #  # ]:          0 :         selinux_inode_getsecid(d_inode(src), &sid);
    3415                 :          0 :         tsec->create_sid = sid;
    3416                 :          0 :         *new = new_creds;
    3417                 :          0 :         return 0;
    3418                 :            : }
    3419                 :            : 
    3420                 :          0 : static int selinux_inode_copy_up_xattr(const char *name)
    3421                 :            : {
    3422                 :            :         /* The copy_up hook above sets the initial context on an inode, but we
    3423                 :            :          * don't then want to overwrite it by blindly copying all the lower
    3424                 :            :          * xattrs up.  Instead, we have to filter out SELinux-related xattrs.
    3425                 :            :          */
    3426         [ #  # ]:          0 :         if (strcmp(name, XATTR_NAME_SELINUX) == 0)
    3427                 :          0 :                 return 1; /* Discard */
    3428                 :            :         /*
    3429                 :            :          * Any other attribute apart from SELINUX is not claimed, supported
    3430                 :            :          * by selinux.
    3431                 :            :          */
    3432                 :            :         return -EOPNOTSUPP;
    3433                 :            : }
    3434                 :            : 
    3435                 :            : /* kernfs node operations */
    3436                 :            : 
    3437                 :     524706 : static int selinux_kernfs_init_security(struct kernfs_node *kn_dir,
    3438                 :            :                                         struct kernfs_node *kn)
    3439                 :            : {
    3440                 :     524706 :         const struct task_security_struct *tsec = selinux_cred(current_cred());
    3441                 :     524706 :         u32 parent_sid, newsid, clen;
    3442                 :     524706 :         int rc;
    3443                 :     524706 :         char *context;
    3444                 :            : 
    3445                 :     524706 :         rc = kernfs_xattr_get(kn_dir, XATTR_NAME_SELINUX, NULL, 0);
    3446         [ -  + ]:     524706 :         if (rc == -ENODATA)
    3447                 :            :                 return 0;
    3448         [ #  # ]:          0 :         else if (rc < 0)
    3449                 :            :                 return rc;
    3450                 :            : 
    3451                 :          0 :         clen = (u32)rc;
    3452         [ #  # ]:          0 :         context = kmalloc(clen, GFP_KERNEL);
    3453         [ #  # ]:          0 :         if (!context)
    3454                 :            :                 return -ENOMEM;
    3455                 :            : 
    3456                 :          0 :         rc = kernfs_xattr_get(kn_dir, XATTR_NAME_SELINUX, context, clen);
    3457         [ #  # ]:          0 :         if (rc < 0) {
    3458                 :          0 :                 kfree(context);
    3459                 :          0 :                 return rc;
    3460                 :            :         }
    3461                 :            : 
    3462                 :          0 :         rc = security_context_to_sid(&selinux_state, context, clen, &parent_sid,
    3463                 :            :                                      GFP_KERNEL);
    3464                 :          0 :         kfree(context);
    3465         [ #  # ]:          0 :         if (rc)
    3466                 :            :                 return rc;
    3467                 :            : 
    3468         [ #  # ]:          0 :         if (tsec->create_sid) {
    3469                 :          0 :                 newsid = tsec->create_sid;
    3470                 :            :         } else {
    3471   [ #  #  #  #  :          0 :                 u16 secclass = inode_mode_to_security_class(kn->mode);
             #  #  #  # ]
    3472                 :          0 :                 struct qstr q;
    3473                 :            : 
    3474                 :          0 :                 q.name = kn->name;
    3475                 :          0 :                 q.hash_len = hashlen_string(kn_dir, kn->name);
    3476                 :            : 
    3477                 :          0 :                 rc = security_transition_sid(&selinux_state, tsec->sid,
    3478                 :            :                                              parent_sid, secclass, &q,
    3479                 :            :                                              &newsid);
    3480         [ #  # ]:          0 :                 if (rc)
    3481                 :          0 :                         return rc;
    3482                 :            :         }
    3483                 :            : 
    3484                 :          0 :         rc = security_sid_to_context_force(&selinux_state, newsid,
    3485                 :            :                                            &context, &clen);
    3486         [ #  # ]:          0 :         if (rc)
    3487                 :            :                 return rc;
    3488                 :            : 
    3489                 :          0 :         rc = kernfs_xattr_set(kn, XATTR_NAME_SELINUX, context, clen,
    3490                 :            :                               XATTR_CREATE);
    3491                 :          0 :         kfree(context);
    3492                 :          0 :         return rc;
    3493                 :            : }
    3494                 :            : 
    3495                 :            : 
    3496                 :            : /* file security operations */
    3497                 :            : 
    3498                 :     202901 : static int selinux_revalidate_file_permission(struct file *file, int mask)
    3499                 :            : {
    3500         [ -  + ]:     202901 :         const struct cred *cred = current_cred();
    3501         [ -  + ]:     202901 :         struct inode *inode = file_inode(file);
    3502                 :            : 
    3503                 :            :         /* file_mask_to_av won't add FILE__WRITE if MAY_APPEND is set */
    3504   [ -  +  -  - ]:     202901 :         if ((file->f_flags & O_APPEND) && (mask & MAY_WRITE))
    3505                 :          0 :                 mask |= MAY_APPEND;
    3506                 :            : 
    3507                 :     405802 :         return file_has_perm(cred, file,
    3508                 :     202901 :                              file_mask_to_av(inode->i_mode, mask));
    3509                 :            : }
    3510                 :            : 
    3511                 :     821631 : static int selinux_file_permission(struct file *file, int mask)
    3512                 :            : {
    3513         [ +  - ]:     821631 :         struct inode *inode = file_inode(file);
    3514         [ +  - ]:     821631 :         struct file_security_struct *fsec = selinux_file(file);
    3515                 :     821631 :         struct inode_security_struct *isec;
    3516         [ +  - ]:     821631 :         u32 sid = current_sid();
    3517                 :            : 
    3518         [ +  - ]:     821631 :         if (!mask)
    3519                 :            :                 /* No permission to check.  Existence test. */
    3520                 :            :                 return 0;
    3521                 :            : 
    3522                 :     821631 :         isec = inode_security(inode);
    3523   [ +  -  +  +  :    1440361 :         if (sid == fsec->sid && fsec->isid == isec->sid &&
                   -  + ]
    3524                 :     618730 :             fsec->pseqno == avc_policy_seqno(&selinux_state))
    3525                 :            :                 /* No change since file_open check. */
    3526                 :            :                 return 0;
    3527                 :            : 
    3528                 :     202901 :         return selinux_revalidate_file_permission(file, mask);
    3529                 :            : }
    3530                 :            : 
    3531                 :    1869606 : static int selinux_file_alloc_security(struct file *file)
    3532                 :            : {
    3533                 :    1869606 :         struct file_security_struct *fsec = selinux_file(file);
    3534                 :    1869606 :         u32 sid = current_sid();
    3535                 :            : 
    3536                 :    1869606 :         fsec->sid = sid;
    3537                 :    1869606 :         fsec->fown_sid = sid;
    3538                 :            : 
    3539                 :    1869606 :         return 0;
    3540                 :            : }
    3541                 :            : 
    3542                 :            : /*
    3543                 :            :  * Check whether a task has the ioctl permission and cmd
    3544                 :            :  * operation to an inode.
    3545                 :            :  */
    3546                 :      11628 : static int ioctl_has_perm(const struct cred *cred, struct file *file,
    3547                 :            :                 u32 requested, u16 cmd)
    3548                 :            : {
    3549                 :      11628 :         struct common_audit_data ad;
    3550         [ -  + ]:      11628 :         struct file_security_struct *fsec = selinux_file(file);
    3551         [ -  + ]:      11628 :         struct inode *inode = file_inode(file);
    3552                 :      11628 :         struct inode_security_struct *isec;
    3553                 :      11628 :         struct lsm_ioctlop_audit ioctl;
    3554         [ -  + ]:      11628 :         u32 ssid = cred_sid(cred);
    3555                 :      11628 :         int rc;
    3556                 :      11628 :         u8 driver = cmd >> 8;
    3557                 :      11628 :         u8 xperm = cmd & 0xff;
    3558                 :            : 
    3559                 :      11628 :         ad.type = LSM_AUDIT_DATA_IOCTL_OP;
    3560                 :      11628 :         ad.u.op = &ioctl;
    3561                 :      11628 :         ad.u.op->cmd = cmd;
    3562                 :      11628 :         ad.u.op->path = file->f_path;
    3563                 :            : 
    3564         [ -  + ]:      11628 :         if (ssid != fsec->sid) {
    3565                 :          0 :                 rc = avc_has_perm(&selinux_state,
    3566                 :            :                                   ssid, fsec->sid,
    3567                 :            :                                 SECCLASS_FD,
    3568                 :            :                                 FD__USE,
    3569                 :            :                                 &ad);
    3570         [ #  # ]:          0 :                 if (rc)
    3571                 :          0 :                         goto out;
    3572                 :            :         }
    3573                 :            : 
    3574         [ +  - ]:      11628 :         if (unlikely(IS_PRIVATE(inode)))
    3575                 :            :                 return 0;
    3576                 :            : 
    3577                 :      11628 :         isec = inode_security(inode);
    3578                 :      11628 :         rc = avc_has_extended_perms(&selinux_state,
    3579                 :      11628 :                                     ssid, isec->sid, isec->sclass,
    3580                 :            :                                     requested, driver, xperm, &ad);
    3581                 :            : out:
    3582                 :            :         return rc;
    3583                 :            : }
    3584                 :            : 
    3585                 :      14288 : static int selinux_file_ioctl(struct file *file, unsigned int cmd,
    3586                 :            :                               unsigned long arg)
    3587                 :            : {
    3588   [ +  -  -  -  :      14288 :         const struct cred *cred = current_cred();
                      + ]
    3589                 :      14288 :         int error = 0;
    3590                 :            : 
    3591   [ +  -  -  -  :      14288 :         switch (cmd) {
                      + ]
    3592                 :       2660 :         case FIONREAD:
    3593                 :            :         /* fall through */
    3594                 :            :         case FIBMAP:
    3595                 :            :         /* fall through */
    3596                 :            :         case FIGETBSZ:
    3597                 :            :         /* fall through */
    3598                 :            :         case FS_IOC_GETFLAGS:
    3599                 :            :         /* fall through */
    3600                 :            :         case FS_IOC_GETVERSION:
    3601                 :       2660 :                 error = file_has_perm(cred, file, FILE__GETATTR);
    3602                 :       2660 :                 break;
    3603                 :            : 
    3604                 :          0 :         case FS_IOC_SETFLAGS:
    3605                 :            :         /* fall through */
    3606                 :            :         case FS_IOC_SETVERSION:
    3607                 :          0 :                 error = file_has_perm(cred, file, FILE__SETATTR);
    3608                 :          0 :                 break;
    3609                 :            : 
    3610                 :            :         /* sys_ioctl() checks */
    3611                 :          0 :         case FIONBIO:
    3612                 :            :         /* fall through */
    3613                 :            :         case FIOASYNC:
    3614                 :          0 :                 error = file_has_perm(cred, file, 0);
    3615                 :          0 :                 break;
    3616                 :            : 
    3617                 :          0 :         case KDSKBENT:
    3618                 :            :         case KDSKBSENT:
    3619                 :          0 :                 error = cred_has_capability(cred, CAP_SYS_TTY_CONFIG,
    3620                 :            :                                             CAP_OPT_NONE, true);
    3621                 :          0 :                 break;
    3622                 :            : 
    3623                 :            :         /* default case assumes that the command will go
    3624                 :            :          * to the file's ioctl() function.
    3625                 :            :          */
    3626                 :      11628 :         default:
    3627                 :      11628 :                 error = ioctl_has_perm(cred, file, FILE__IOCTL, (u16) cmd);
    3628                 :            :         }
    3629                 :      14288 :         return error;
    3630                 :            : }
    3631                 :            : 
    3632                 :            : static int default_noexec __ro_after_init;
    3633                 :            : 
    3634                 :    1551853 : static int file_map_prot_check(struct file *file, unsigned long prot, int shared)
    3635                 :            : {
    3636         [ +  - ]:    1551853 :         const struct cred *cred = current_cred();
    3637         [ +  - ]:    1551853 :         u32 sid = cred_sid(cred);
    3638                 :    1551853 :         int rc = 0;
    3639                 :            : 
    3640         [ +  - ]:    1551853 :         if (default_noexec &&
    3641   [ +  +  +  -  :    1551853 :             (prot & PROT_EXEC) && (!file || IS_PRIVATE(file_inode(file)) ||
             +  -  +  - ]
    3642         [ -  + ]:     196254 :                                    (!shared && (prot & PROT_WRITE)))) {
    3643                 :            :                 /*
    3644                 :            :                  * We are making executable an anonymous mapping or a
    3645                 :            :                  * private file mapping that will also be writable.
    3646                 :            :                  * This has an additional check.
    3647                 :            :                  */
    3648                 :          0 :                 rc = avc_has_perm(&selinux_state,
    3649                 :            :                                   sid, sid, SECCLASS_PROCESS,
    3650                 :            :                                   PROCESS__EXECMEM, NULL);
    3651         [ #  # ]:          0 :                 if (rc)
    3652                 :          0 :                         goto error;
    3653                 :            :         }
    3654                 :            : 
    3655         [ +  + ]:    1551853 :         if (file) {
    3656                 :            :                 /* read access is always possible with a mapping */
    3657                 :    1402746 :                 u32 av = FILE__READ;
    3658                 :            : 
    3659                 :            :                 /* write access only matters if the mapping is shared */
    3660   [ +  +  +  + ]:    1402746 :                 if (shared && (prot & PROT_WRITE))
    3661                 :        120 :                         av |= FILE__WRITE;
    3662                 :            : 
    3663         [ +  + ]:    1402746 :                 if (prot & PROT_EXEC)
    3664                 :     196254 :                         av |= FILE__EXECUTE;
    3665                 :            : 
    3666                 :    1402746 :                 return file_has_perm(cred, file, av);
    3667                 :            :         }
    3668                 :            : 
    3669                 :     149107 : error:
    3670                 :            :         return rc;
    3671                 :            : }
    3672                 :            : 
    3673                 :    1444422 : static int selinux_mmap_addr(unsigned long addr)
    3674                 :            : {
    3675                 :    1444422 :         int rc = 0;
    3676                 :            : 
    3677         [ -  + ]:    1444422 :         if (addr < CONFIG_LSM_MMAP_MIN_ADDR) {
    3678                 :          0 :                 u32 sid = current_sid();
    3679                 :          0 :                 rc = avc_has_perm(&selinux_state,
    3680                 :            :                                   sid, sid, SECCLASS_MEMPROTECT,
    3681                 :            :                                   MEMPROTECT__MMAP_ZERO, NULL);
    3682                 :            :         }
    3683                 :            : 
    3684                 :    1444422 :         return rc;
    3685                 :            : }
    3686                 :            : 
    3687                 :    1289640 : static int selinux_mmap_file(struct file *file, unsigned long reqprot,
    3688                 :            :                              unsigned long prot, unsigned long flags)
    3689                 :            : {
    3690                 :    1289640 :         struct common_audit_data ad;
    3691                 :    1289640 :         int rc;
    3692                 :            : 
    3693         [ +  + ]:    1289640 :         if (file) {
    3694                 :    1142562 :                 ad.type = LSM_AUDIT_DATA_FILE;
    3695                 :    1142562 :                 ad.u.file = file;
    3696                 :    1142562 :                 rc = inode_has_perm(current_cred(), file_inode(file),
    3697                 :            :                                     FILE__MAP, &ad);
    3698         [ +  - ]:    1142562 :                 if (rc)
    3699                 :            :                         return rc;
    3700                 :            :         }
    3701                 :            : 
    3702         [ -  + ]:    1289640 :         if (selinux_state.checkreqprot)
    3703                 :          0 :                 prot = reqprot;
    3704                 :            : 
    3705                 :    1289640 :         return file_map_prot_check(file, prot,
    3706                 :    1289640 :                                    (flags & MAP_TYPE) == MAP_SHARED);
    3707                 :            : }
    3708                 :            : 
    3709                 :     262213 : static int selinux_file_mprotect(struct vm_area_struct *vma,
    3710                 :            :                                  unsigned long reqprot,
    3711                 :            :                                  unsigned long prot)
    3712                 :            : {
    3713         [ -  + ]:     262213 :         const struct cred *cred = current_cred();
    3714         [ -  + ]:     262213 :         u32 sid = cred_sid(cred);
    3715                 :            : 
    3716         [ -  + ]:     262213 :         if (selinux_state.checkreqprot)
    3717                 :          0 :                 prot = reqprot;
    3718                 :            : 
    3719         [ +  - ]:     262213 :         if (default_noexec &&
    3720   [ -  +  -  - ]:     262213 :             (prot & PROT_EXEC) && !(vma->vm_flags & VM_EXEC)) {
    3721                 :          0 :                 int rc = 0;
    3722         [ #  # ]:          0 :                 if (vma->vm_start >= vma->vm_mm->start_brk &&
    3723         [ #  # ]:          0 :                     vma->vm_end <= vma->vm_mm->brk) {
    3724                 :          0 :                         rc = avc_has_perm(&selinux_state,
    3725                 :            :                                           sid, sid, SECCLASS_PROCESS,
    3726                 :            :                                           PROCESS__EXECHEAP, NULL);
    3727         [ #  # ]:          0 :                 } else if (!vma->vm_file &&
    3728         [ #  # ]:          0 :                            ((vma->vm_start <= vma->vm_mm->start_stack &&
    3729   [ #  #  #  # ]:          0 :                              vma->vm_end >= vma->vm_mm->start_stack) ||
    3730                 :          0 :                             vma_is_stack_for_current(vma))) {
    3731                 :          0 :                         rc = avc_has_perm(&selinux_state,
    3732                 :            :                                           sid, sid, SECCLASS_PROCESS,
    3733                 :            :                                           PROCESS__EXECSTACK, NULL);
    3734   [ #  #  #  # ]:          0 :                 } else if (vma->vm_file && vma->anon_vma) {
    3735                 :            :                         /*
    3736                 :            :                          * We are making executable a file mapping that has
    3737                 :            :                          * had some COW done. Since pages might have been
    3738                 :            :                          * written, check ability to execute the possibly
    3739                 :            :                          * modified content.  This typically should only
    3740                 :            :                          * occur for text relocations.
    3741                 :            :                          */
    3742                 :          0 :                         rc = file_has_perm(cred, vma->vm_file, FILE__EXECMOD);
    3743                 :            :                 }
    3744         [ #  # ]:          0 :                 if (rc)
    3745                 :            :                         return rc;
    3746                 :            :         }
    3747                 :            : 
    3748                 :     262213 :         return file_map_prot_check(vma->vm_file, prot, vma->vm_flags&VM_SHARED);
    3749                 :            : }
    3750                 :            : 
    3751                 :        600 : static int selinux_file_lock(struct file *file, unsigned int cmd)
    3752                 :            : {
    3753                 :        600 :         const struct cred *cred = current_cred();
    3754                 :            : 
    3755                 :        600 :         return file_has_perm(cred, file, FILE__LOCK);
    3756                 :            : }
    3757                 :            : 
    3758                 :     151938 : static int selinux_file_fcntl(struct file *file, unsigned int cmd,
    3759                 :            :                               unsigned long arg)
    3760                 :            : {
    3761   [ +  +  +  + ]:     151938 :         const struct cred *cred = current_cred();
    3762                 :     151938 :         int err = 0;
    3763                 :            : 
    3764   [ +  +  +  + ]:     151938 :         switch (cmd) {
    3765                 :        492 :         case F_SETFL:
    3766   [ -  +  -  - ]:        492 :                 if ((file->f_flags & O_APPEND) && !(arg & O_APPEND)) {
    3767                 :          0 :                         err = file_has_perm(cred, file, FILE__WRITE);
    3768                 :          0 :                         break;
    3769                 :            :                 }
    3770                 :            :                 /* fall through */
    3771                 :            :         case F_SETOWN:
    3772                 :            :         case F_SETSIG:
    3773                 :            :         case F_GETFL:
    3774                 :            :         case F_GETOWN:
    3775                 :            :         case F_GETSIG:
    3776                 :            :         case F_GETOWNER_UIDS:
    3777                 :            :                 /* Just check FD__USE permission */
    3778                 :      42984 :                 err = file_has_perm(cred, file, 0);
    3779                 :      42984 :                 break;
    3780                 :        240 :         case F_GETLK:
    3781                 :            :         case F_SETLK:
    3782                 :            :         case F_SETLKW:
    3783                 :            :         case F_OFD_GETLK:
    3784                 :            :         case F_OFD_SETLK:
    3785                 :            :         case F_OFD_SETLKW:
    3786                 :            : #if BITS_PER_LONG == 32
    3787                 :            :         case F_GETLK64:
    3788                 :            :         case F_SETLK64:
    3789                 :            :         case F_SETLKW64:
    3790                 :            : #endif
    3791                 :        240 :                 err = file_has_perm(cred, file, FILE__LOCK);
    3792                 :        240 :                 break;
    3793                 :            :         }
    3794                 :            : 
    3795                 :     151938 :         return err;
    3796                 :            : }
    3797                 :            : 
    3798                 :          0 : static void selinux_file_set_fowner(struct file *file)
    3799                 :            : {
    3800                 :          0 :         struct file_security_struct *fsec;
    3801                 :            : 
    3802                 :          0 :         fsec = selinux_file(file);
    3803                 :          0 :         fsec->fown_sid = current_sid();
    3804                 :          0 : }
    3805                 :            : 
    3806                 :          0 : static int selinux_file_send_sigiotask(struct task_struct *tsk,
    3807                 :            :                                        struct fown_struct *fown, int signum)
    3808                 :            : {
    3809                 :          0 :         struct file *file;
    3810                 :          0 :         u32 sid = task_sid(tsk);
    3811                 :          0 :         u32 perm;
    3812                 :          0 :         struct file_security_struct *fsec;
    3813                 :            : 
    3814                 :            :         /* struct fown_struct is never outside the context of a struct file */
    3815                 :          0 :         file = container_of(fown, struct file, f_owner);
    3816                 :            : 
    3817         [ #  # ]:          0 :         fsec = selinux_file(file);
    3818                 :            : 
    3819         [ #  # ]:          0 :         if (!signum)
    3820                 :            :                 perm = signal_to_av(SIGIO); /* as per send_sigio_to_task */
    3821                 :            :         else
    3822         [ #  # ]:          0 :                 perm = signal_to_av(signum);
    3823                 :            : 
    3824                 :          0 :         return avc_has_perm(&selinux_state,
    3825                 :            :                             fsec->fown_sid, sid,
    3826                 :            :                             SECCLASS_PROCESS, perm, NULL);
    3827                 :            : }
    3828                 :            : 
    3829                 :        786 : static int selinux_file_receive(struct file *file)
    3830                 :            : {
    3831         [ +  - ]:        786 :         const struct cred *cred = current_cred();
    3832                 :            : 
    3833         [ +  - ]:       1572 :         return file_has_perm(cred, file, file_to_av(file));
    3834                 :            : }
    3835                 :            : 
    3836                 :     770894 : static int selinux_file_open(struct file *file)
    3837                 :            : {
    3838                 :     770894 :         struct file_security_struct *fsec;
    3839                 :     770894 :         struct inode_security_struct *isec;
    3840                 :            : 
    3841                 :     770894 :         fsec = selinux_file(file);
    3842                 :     770894 :         isec = inode_security(file_inode(file));
    3843                 :            :         /*
    3844                 :            :          * Save inode label and policy sequence number
    3845                 :            :          * at open-time so that selinux_file_permission
    3846                 :            :          * can determine whether revalidation is necessary.
    3847                 :            :          * Task label is already saved in the file security
    3848                 :            :          * struct as its SID.
    3849                 :            :          */
    3850                 :     770894 :         fsec->isid = isec->sid;
    3851                 :     770894 :         fsec->pseqno = avc_policy_seqno(&selinux_state);
    3852                 :            :         /*
    3853                 :            :          * Since the inode label or policy seqno may have changed
    3854                 :            :          * between the selinux_inode_permission check and the saving
    3855                 :            :          * of state above, recheck that access is still permitted.
    3856                 :            :          * Otherwise, access might never be revalidated against the
    3857                 :            :          * new inode label or new policy.
    3858                 :            :          * This check is not redundant - do not remove.
    3859                 :            :          */
    3860                 :     770894 :         return file_path_has_perm(file->f_cred, file, open_file_to_av(file));
    3861                 :            : }
    3862                 :            : 
    3863                 :            : /* task security operations */
    3864                 :            : 
    3865                 :      48573 : static int selinux_task_alloc(struct task_struct *task,
    3866                 :            :                               unsigned long clone_flags)
    3867                 :            : {
    3868                 :      48573 :         u32 sid = current_sid();
    3869                 :            : 
    3870                 :      48573 :         return avc_has_perm(&selinux_state,
    3871                 :            :                             sid, sid, SECCLASS_PROCESS, PROCESS__FORK, NULL);
    3872                 :            : }
    3873                 :            : 
    3874                 :            : /*
    3875                 :            :  * prepare a new set of credentials for modification
    3876                 :            :  */
    3877                 :     307152 : static int selinux_cred_prepare(struct cred *new, const struct cred *old,
    3878                 :            :                                 gfp_t gfp)
    3879                 :            : {
    3880                 :     307152 :         const struct task_security_struct *old_tsec = selinux_cred(old);
    3881                 :     307152 :         struct task_security_struct *tsec = selinux_cred(new);
    3882                 :            : 
    3883                 :     307152 :         *tsec = *old_tsec;
    3884                 :     307152 :         return 0;
    3885                 :            : }
    3886                 :            : 
    3887                 :            : /*
    3888                 :            :  * transfer the SELinux data to a blank set of creds
    3889                 :            :  */
    3890                 :          0 : static void selinux_cred_transfer(struct cred *new, const struct cred *old)
    3891                 :            : {
    3892                 :          0 :         const struct task_security_struct *old_tsec = selinux_cred(old);
    3893                 :          0 :         struct task_security_struct *tsec = selinux_cred(new);
    3894                 :            : 
    3895                 :          0 :         *tsec = *old_tsec;
    3896                 :          0 : }
    3897                 :            : 
    3898                 :          0 : static void selinux_cred_getsecid(const struct cred *c, u32 *secid)
    3899                 :            : {
    3900                 :          0 :         *secid = cred_sid(c);
    3901                 :          0 : }
    3902                 :            : 
    3903                 :            : /*
    3904                 :            :  * set the security data for a kernel service
    3905                 :            :  * - all the creation contexts are set to unlabelled
    3906                 :            :  */
    3907                 :          0 : static int selinux_kernel_act_as(struct cred *new, u32 secid)
    3908                 :            : {
    3909                 :          0 :         struct task_security_struct *tsec = selinux_cred(new);
    3910                 :          0 :         u32 sid = current_sid();
    3911                 :          0 :         int ret;
    3912                 :            : 
    3913                 :          0 :         ret = avc_has_perm(&selinux_state,
    3914                 :            :                            sid, secid,
    3915                 :            :                            SECCLASS_KERNEL_SERVICE,
    3916                 :            :                            KERNEL_SERVICE__USE_AS_OVERRIDE,
    3917                 :            :                            NULL);
    3918         [ #  # ]:          0 :         if (ret == 0) {
    3919                 :          0 :                 tsec->sid = secid;
    3920                 :          0 :                 tsec->create_sid = 0;
    3921                 :          0 :                 tsec->keycreate_sid = 0;
    3922                 :          0 :                 tsec->sockcreate_sid = 0;
    3923                 :            :         }
    3924                 :          0 :         return ret;
    3925                 :            : }
    3926                 :            : 
    3927                 :            : /*
    3928                 :            :  * set the file creation context in a security record to the same as the
    3929                 :            :  * objective context of the specified inode
    3930                 :            :  */
    3931                 :          0 : static int selinux_kernel_create_files_as(struct cred *new, struct inode *inode)
    3932                 :            : {
    3933                 :          0 :         struct inode_security_struct *isec = inode_security(inode);
    3934                 :          0 :         struct task_security_struct *tsec = selinux_cred(new);
    3935                 :          0 :         u32 sid = current_sid();
    3936                 :          0 :         int ret;
    3937                 :            : 
    3938                 :          0 :         ret = avc_has_perm(&selinux_state,
    3939                 :            :                            sid, isec->sid,
    3940                 :            :                            SECCLASS_KERNEL_SERVICE,
    3941                 :            :                            KERNEL_SERVICE__CREATE_FILES_AS,
    3942                 :            :                            NULL);
    3943                 :            : 
    3944         [ #  # ]:          0 :         if (ret == 0)
    3945                 :          0 :                 tsec->create_sid = isec->sid;
    3946                 :          0 :         return ret;
    3947                 :            : }
    3948                 :            : 
    3949                 :        900 : static int selinux_kernel_module_request(char *kmod_name)
    3950                 :            : {
    3951                 :        900 :         struct common_audit_data ad;
    3952                 :            : 
    3953                 :        900 :         ad.type = LSM_AUDIT_DATA_KMOD;
    3954                 :        900 :         ad.u.kmod_name = kmod_name;
    3955                 :            : 
    3956                 :        900 :         return avc_has_perm(&selinux_state,
    3957                 :            :                             current_sid(), SECINITSID_KERNEL, SECCLASS_SYSTEM,
    3958                 :            :                             SYSTEM__MODULE_REQUEST, &ad);
    3959                 :            : }
    3960                 :            : 
    3961                 :        120 : static int selinux_kernel_module_from_file(struct file *file)
    3962                 :            : {
    3963                 :        120 :         struct common_audit_data ad;
    3964                 :        120 :         struct inode_security_struct *isec;
    3965                 :        120 :         struct file_security_struct *fsec;
    3966         [ -  + ]:        120 :         u32 sid = current_sid();
    3967                 :        120 :         int rc;
    3968                 :            : 
    3969                 :            :         /* init_module */
    3970         [ -  + ]:        120 :         if (file == NULL)
    3971                 :          0 :                 return avc_has_perm(&selinux_state,
    3972                 :            :                                     sid, sid, SECCLASS_SYSTEM,
    3973                 :            :                                         SYSTEM__MODULE_LOAD, NULL);
    3974                 :            : 
    3975                 :            :         /* finit_module */
    3976                 :            : 
    3977                 :        120 :         ad.type = LSM_AUDIT_DATA_FILE;
    3978                 :        120 :         ad.u.file = file;
    3979                 :            : 
    3980         [ -  + ]:        120 :         fsec = selinux_file(file);
    3981         [ -  + ]:        120 :         if (sid != fsec->sid) {
    3982                 :          0 :                 rc = avc_has_perm(&selinux_state,
    3983                 :            :                                   sid, fsec->sid, SECCLASS_FD, FD__USE, &ad);
    3984         [ #  # ]:          0 :                 if (rc)
    3985                 :            :                         return rc;
    3986                 :            :         }
    3987                 :            : 
    3988                 :        120 :         isec = inode_security(file_inode(file));
    3989                 :        120 :         return avc_has_perm(&selinux_state,
    3990                 :            :                             sid, isec->sid, SECCLASS_SYSTEM,
    3991                 :            :                                 SYSTEM__MODULE_LOAD, &ad);
    3992                 :            : }
    3993                 :            : 
    3994                 :        120 : static int selinux_kernel_read_file(struct file *file,
    3995                 :            :                                     enum kernel_read_file_id id)
    3996                 :            : {
    3997                 :        120 :         int rc = 0;
    3998                 :            : 
    3999         [ +  - ]:        120 :         switch (id) {
    4000                 :        120 :         case READING_MODULE:
    4001                 :        120 :                 rc = selinux_kernel_module_from_file(file);
    4002                 :        120 :                 break;
    4003                 :            :         default:
    4004                 :            :                 break;
    4005                 :            :         }
    4006                 :            : 
    4007                 :        120 :         return rc;
    4008                 :            : }
    4009                 :            : 
    4010                 :          0 : static int selinux_kernel_load_data(enum kernel_load_data_id id)
    4011                 :            : {
    4012                 :          0 :         int rc = 0;
    4013                 :            : 
    4014         [ #  # ]:          0 :         switch (id) {
    4015                 :          0 :         case LOADING_MODULE:
    4016                 :          0 :                 rc = selinux_kernel_module_from_file(NULL);
    4017                 :            :         default:
    4018                 :          0 :                 break;
    4019                 :            :         }
    4020                 :            : 
    4021                 :          0 :         return rc;
    4022                 :            : }
    4023                 :            : 
    4024                 :          0 : static int selinux_task_setpgid(struct task_struct *p, pid_t pgid)
    4025                 :            : {
    4026                 :          0 :         return avc_has_perm(&selinux_state,
    4027                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4028                 :            :                             PROCESS__SETPGID, NULL);
    4029                 :            : }
    4030                 :            : 
    4031                 :          0 : static int selinux_task_getpgid(struct task_struct *p)
    4032                 :            : {
    4033                 :          0 :         return avc_has_perm(&selinux_state,
    4034                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4035                 :            :                             PROCESS__GETPGID, NULL);
    4036                 :            : }
    4037                 :            : 
    4038                 :          0 : static int selinux_task_getsid(struct task_struct *p)
    4039                 :            : {
    4040                 :          0 :         return avc_has_perm(&selinux_state,
    4041                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4042                 :            :                             PROCESS__GETSESSION, NULL);
    4043                 :            : }
    4044                 :            : 
    4045                 :         30 : static void selinux_task_getsecid(struct task_struct *p, u32 *secid)
    4046                 :            : {
    4047                 :         30 :         *secid = task_sid(p);
    4048                 :         30 : }
    4049                 :            : 
    4050                 :          0 : static int selinux_task_setnice(struct task_struct *p, int nice)
    4051                 :            : {
    4052                 :          0 :         return avc_has_perm(&selinux_state,
    4053                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4054                 :            :                             PROCESS__SETSCHED, NULL);
    4055                 :            : }
    4056                 :            : 
    4057                 :         90 : static int selinux_task_setioprio(struct task_struct *p, int ioprio)
    4058                 :            : {
    4059                 :        180 :         return avc_has_perm(&selinux_state,
    4060                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4061                 :            :                             PROCESS__SETSCHED, NULL);
    4062                 :            : }
    4063                 :            : 
    4064                 :          0 : static int selinux_task_getioprio(struct task_struct *p)
    4065                 :            : {
    4066                 :          0 :         return avc_has_perm(&selinux_state,
    4067                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4068                 :            :                             PROCESS__GETSCHED, NULL);
    4069                 :            : }
    4070                 :            : 
    4071                 :          0 : static int selinux_task_prlimit(const struct cred *cred, const struct cred *tcred,
    4072                 :            :                                 unsigned int flags)
    4073                 :            : {
    4074                 :          0 :         u32 av = 0;
    4075                 :            : 
    4076         [ #  # ]:          0 :         if (!flags)
    4077                 :            :                 return 0;
    4078         [ #  # ]:          0 :         if (flags & LSM_PRLIMIT_WRITE)
    4079                 :          0 :                 av |= PROCESS__SETRLIMIT;
    4080         [ #  # ]:          0 :         if (flags & LSM_PRLIMIT_READ)
    4081                 :          0 :                 av |= PROCESS__GETRLIMIT;
    4082                 :          0 :         return avc_has_perm(&selinux_state,
    4083                 :            :                             cred_sid(cred), cred_sid(tcred),
    4084                 :            :                             SECCLASS_PROCESS, av, NULL);
    4085                 :            : }
    4086                 :            : 
    4087                 :       2262 : static int selinux_task_setrlimit(struct task_struct *p, unsigned int resource,
    4088                 :            :                 struct rlimit *new_rlim)
    4089                 :            : {
    4090                 :       2262 :         struct rlimit *old_rlim = p->signal->rlim + resource;
    4091                 :            : 
    4092                 :            :         /* Control the ability to change the hard limit (whether
    4093                 :            :            lowering or raising it), so that the hard limit can
    4094                 :            :            later be used as a safe reset point for the soft limit
    4095                 :            :            upon context transitions.  See selinux_bprm_committing_creds. */
    4096         [ +  + ]:       2262 :         if (old_rlim->rlim_max != new_rlim->rlim_max)
    4097                 :       3504 :                 return avc_has_perm(&selinux_state,
    4098                 :            :                                     current_sid(), task_sid(p),
    4099                 :            :                                     SECCLASS_PROCESS, PROCESS__SETRLIMIT, NULL);
    4100                 :            : 
    4101                 :            :         return 0;
    4102                 :            : }
    4103                 :            : 
    4104                 :         90 : static int selinux_task_setscheduler(struct task_struct *p)
    4105                 :            : {
    4106                 :        180 :         return avc_has_perm(&selinux_state,
    4107                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4108                 :            :                             PROCESS__SETSCHED, NULL);
    4109                 :            : }
    4110                 :            : 
    4111                 :         90 : static int selinux_task_getscheduler(struct task_struct *p)
    4112                 :            : {
    4113                 :        180 :         return avc_has_perm(&selinux_state,
    4114                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4115                 :            :                             PROCESS__GETSCHED, NULL);
    4116                 :            : }
    4117                 :            : 
    4118                 :          0 : static int selinux_task_movememory(struct task_struct *p)
    4119                 :            : {
    4120                 :          0 :         return avc_has_perm(&selinux_state,
    4121                 :            :                             current_sid(), task_sid(p), SECCLASS_PROCESS,
    4122                 :            :                             PROCESS__SETSCHED, NULL);
    4123                 :            : }
    4124                 :            : 
    4125                 :        114 : static int selinux_task_kill(struct task_struct *p, struct kernel_siginfo *info,
    4126                 :            :                                 int sig, const struct cred *cred)
    4127                 :            : {
    4128                 :        114 :         u32 secid;
    4129                 :        114 :         u32 perm;
    4130                 :            : 
    4131         [ +  + ]:        114 :         if (!sig)
    4132                 :            :                 perm = PROCESS__SIGNULL; /* null signal; existence test */
    4133                 :            :         else
    4134         [ +  + ]:         60 :                 perm = signal_to_av(sig);
    4135         [ +  - ]:        114 :         if (!cred)
    4136                 :        114 :                 secid = current_sid();
    4137                 :            :         else
    4138                 :          0 :                 secid = cred_sid(cred);
    4139                 :        228 :         return avc_has_perm(&selinux_state,
    4140                 :            :                             secid, task_sid(p), SECCLASS_PROCESS, perm, NULL);
    4141                 :            : }
    4142                 :            : 
    4143                 :     146972 : static void selinux_task_to_inode(struct task_struct *p,
    4144                 :            :                                   struct inode *inode)
    4145                 :            : {
    4146         [ +  - ]:     146972 :         struct inode_security_struct *isec = selinux_inode(inode);
    4147                 :     146972 :         u32 sid = task_sid(p);
    4148                 :            : 
    4149                 :     146972 :         spin_lock(&isec->lock);
    4150   [ +  +  -  +  :     146972 :         isec->sclass = inode_mode_to_security_class(inode->i_mode);
             -  -  -  - ]
    4151                 :     146972 :         isec->sid = sid;
    4152                 :     146972 :         isec->initialized = LABEL_INITIALIZED;
    4153                 :     146972 :         spin_unlock(&isec->lock);
    4154                 :     146972 : }
    4155                 :            : 
    4156                 :            : /* Returns error only if unable to parse addresses */
    4157                 :            : static int selinux_parse_skb_ipv4(struct sk_buff *skb,
    4158                 :            :                         struct common_audit_data *ad, u8 *proto)
    4159                 :            : {
    4160                 :            :         int offset, ihlen, ret = -EINVAL;
    4161                 :            :         struct iphdr _iph, *ih;
    4162                 :            : 
    4163                 :            :         offset = skb_network_offset(skb);
    4164                 :            :         ih = skb_header_pointer(skb, offset, sizeof(_iph), &_iph);
    4165                 :            :         if (ih == NULL)
    4166                 :            :                 goto out;
    4167                 :            : 
    4168                 :            :         ihlen = ih->ihl * 4;
    4169                 :            :         if (ihlen < sizeof(_iph))
    4170                 :            :                 goto out;
    4171                 :            : 
    4172                 :            :         ad->u.net->v4info.saddr = ih->saddr;
    4173                 :            :         ad->u.net->v4info.daddr = ih->daddr;
    4174                 :            :         ret = 0;
    4175                 :            : 
    4176                 :            :         if (proto)
    4177                 :            :                 *proto = ih->protocol;
    4178                 :            : 
    4179                 :            :         switch (ih->protocol) {
    4180                 :            :         case IPPROTO_TCP: {
    4181                 :            :                 struct tcphdr _tcph, *th;
    4182                 :            : 
    4183                 :            :                 if (ntohs(ih->frag_off) & IP_OFFSET)
    4184                 :            :                         break;
    4185                 :            : 
    4186                 :            :                 offset += ihlen;
    4187                 :            :                 th = skb_header_pointer(skb, offset, sizeof(_tcph), &_tcph);
    4188                 :            :                 if (th == NULL)
    4189                 :            :                         break;
    4190                 :            : 
    4191                 :            :                 ad->u.net->sport = th->source;
    4192                 :            :                 ad->u.net->dport = th->dest;
    4193                 :            :                 break;
    4194                 :            :         }
    4195                 :            : 
    4196                 :            :         case IPPROTO_UDP: {
    4197                 :            :                 struct udphdr _udph, *uh;
    4198                 :            : 
    4199                 :            :                 if (ntohs(ih->frag_off) & IP_OFFSET)
    4200                 :            :                         break;
    4201                 :            : 
    4202                 :            :                 offset += ihlen;
    4203                 :            :                 uh = skb_header_pointer(skb, offset, sizeof(_udph), &_udph);
    4204                 :            :                 if (uh == NULL)
    4205                 :            :                         break;
    4206                 :            : 
    4207                 :            :                 ad->u.net->sport = uh->source;
    4208                 :            :                 ad->u.net->dport = uh->dest;
    4209                 :            :                 break;
    4210                 :            :         }
    4211                 :            : 
    4212                 :            :         case IPPROTO_DCCP: {
    4213                 :            :                 struct dccp_hdr _dccph, *dh;
    4214                 :            : 
    4215                 :            :                 if (ntohs(ih->frag_off) & IP_OFFSET)
    4216                 :            :                         break;
    4217                 :            : 
    4218                 :            :                 offset += ihlen;
    4219                 :            :                 dh = skb_header_pointer(skb, offset, sizeof(_dccph), &_dccph);
    4220                 :            :                 if (dh == NULL)
    4221                 :            :                         break;
    4222                 :            : 
    4223                 :            :                 ad->u.net->sport = dh->dccph_sport;
    4224                 :            :                 ad->u.net->dport = dh->dccph_dport;
    4225                 :            :                 break;
    4226                 :            :         }
    4227                 :            : 
    4228                 :            : #if IS_ENABLED(CONFIG_IP_SCTP)
    4229                 :            :         case IPPROTO_SCTP: {
    4230                 :            :                 struct sctphdr _sctph, *sh;
    4231                 :            : 
    4232                 :            :                 if (ntohs(ih->frag_off) & IP_OFFSET)
    4233                 :            :                         break;
    4234                 :            : 
    4235                 :            :                 offset += ihlen;
    4236                 :            :                 sh = skb_header_pointer(skb, offset, sizeof(_sctph), &_sctph);
    4237                 :            :                 if (sh == NULL)
    4238                 :            :                         break;
    4239                 :            : 
    4240                 :            :                 ad->u.net->sport = sh->source;
    4241                 :            :                 ad->u.net->dport = sh->dest;
    4242                 :            :                 break;
    4243                 :            :         }
    4244                 :            : #endif
    4245                 :            :         default:
    4246                 :            :                 break;
    4247                 :            :         }
    4248                 :            : out:
    4249                 :            :         return ret;
    4250                 :            : }
    4251                 :            : 
    4252                 :            : #if IS_ENABLED(CONFIG_IPV6)
    4253                 :            : 
    4254                 :            : /* Returns error only if unable to parse addresses */
    4255                 :            : static int selinux_parse_skb_ipv6(struct sk_buff *skb,
    4256                 :            :                         struct common_audit_data *ad, u8 *proto)
    4257                 :            : {
    4258                 :            :         u8 nexthdr;
    4259                 :            :         int ret = -EINVAL, offset;
    4260                 :            :         struct ipv6hdr _ipv6h, *ip6;
    4261                 :            :         __be16 frag_off;
    4262                 :            : 
    4263                 :            :         offset = skb_network_offset(skb);
    4264                 :            :         ip6 = skb_header_pointer(skb, offset, sizeof(_ipv6h), &_ipv6h);
    4265                 :            :         if (ip6 == NULL)
    4266                 :            :                 goto out;
    4267                 :            : 
    4268                 :            :         ad->u.net->v6info.saddr = ip6->saddr;
    4269                 :            :         ad->u.net->v6info.daddr = ip6->daddr;
    4270                 :            :         ret = 0;
    4271                 :            : 
    4272                 :            :         nexthdr = ip6->nexthdr;
    4273                 :            :         offset += sizeof(_ipv6h);
    4274                 :            :         offset = ipv6_skip_exthdr(skb, offset, &nexthdr, &frag_off);
    4275                 :            :         if (offset < 0)
    4276                 :            :                 goto out;
    4277                 :            : 
    4278                 :            :         if (proto)
    4279                 :            :                 *proto = nexthdr;
    4280                 :            : 
    4281                 :            :         switch (nexthdr) {
    4282                 :            :         case IPPROTO_TCP: {
    4283                 :            :                 struct tcphdr _tcph, *th;
    4284                 :            : 
    4285                 :            :                 th = skb_header_pointer(skb, offset, sizeof(_tcph), &_tcph);
    4286                 :            :                 if (th == NULL)
    4287                 :            :                         break;
    4288                 :            : 
    4289                 :            :                 ad->u.net->sport = th->source;
    4290                 :            :                 ad->u.net->dport = th->dest;
    4291                 :            :                 break;
    4292                 :            :         }
    4293                 :            : 
    4294                 :            :         case IPPROTO_UDP: {
    4295                 :            :                 struct udphdr _udph, *uh;
    4296                 :            : 
    4297                 :            :                 uh = skb_header_pointer(skb, offset, sizeof(_udph), &_udph);
    4298                 :            :                 if (uh == NULL)
    4299                 :            :                         break;
    4300                 :            : 
    4301                 :            :                 ad->u.net->sport = uh->source;
    4302                 :            :                 ad->u.net->dport = uh->dest;
    4303                 :            :                 break;
    4304                 :            :         }
    4305                 :            : 
    4306                 :            :         case IPPROTO_DCCP: {
    4307                 :            :                 struct dccp_hdr _dccph, *dh;
    4308                 :            : 
    4309                 :            :                 dh = skb_header_pointer(skb, offset, sizeof(_dccph), &_dccph);
    4310                 :            :                 if (dh == NULL)
    4311                 :            :                         break;
    4312                 :            : 
    4313                 :            :                 ad->u.net->sport = dh->dccph_sport;
    4314                 :            :                 ad->u.net->dport = dh->dccph_dport;
    4315                 :            :                 break;
    4316                 :            :         }
    4317                 :            : 
    4318                 :            : #if IS_ENABLED(CONFIG_IP_SCTP)
    4319                 :            :         case IPPROTO_SCTP: {
    4320                 :            :                 struct sctphdr _sctph, *sh;
    4321                 :            : 
    4322                 :            :                 sh = skb_header_pointer(skb, offset, sizeof(_sctph), &_sctph);
    4323                 :            :                 if (sh == NULL)
    4324                 :            :                         break;
    4325                 :            : 
    4326                 :            :                 ad->u.net->sport = sh->source;
    4327                 :            :                 ad->u.net->dport = sh->dest;
    4328                 :            :                 break;
    4329                 :            :         }
    4330                 :            : #endif
    4331                 :            :         /* includes fragments */
    4332                 :            :         default:
    4333                 :            :                 break;
    4334                 :            :         }
    4335                 :            : out:
    4336                 :            :         return ret;
    4337                 :            : }
    4338                 :            : 
    4339                 :            : #endif /* IPV6 */
    4340                 :            : 
    4341                 :          0 : static int selinux_parse_skb(struct sk_buff *skb, struct common_audit_data *ad,
    4342                 :            :                              char **_addrp, int src, u8 *proto)
    4343                 :            : {
    4344                 :          0 :         char *addrp;
    4345                 :          0 :         int ret;
    4346                 :            : 
    4347      [ #  #  # ]:          0 :         switch (ad->u.net->family) {
    4348                 :          0 :         case PF_INET:
    4349                 :          0 :                 ret = selinux_parse_skb_ipv4(skb, ad, proto);
    4350         [ #  # ]:          0 :                 if (ret)
    4351                 :          0 :                         goto parse_error;
    4352         [ #  # ]:          0 :                 addrp = (char *)(src ? &ad->u.net->v4info.saddr :
    4353                 :          0 :                                        &ad->u.net->v4info.daddr);
    4354                 :          0 :                 goto okay;
    4355                 :            : 
    4356                 :            : #if IS_ENABLED(CONFIG_IPV6)
    4357                 :          0 :         case PF_INET6:
    4358                 :          0 :                 ret = selinux_parse_skb_ipv6(skb, ad, proto);
    4359         [ #  # ]:          0 :                 if (ret)
    4360                 :          0 :                         goto parse_error;
    4361         [ #  # ]:          0 :                 addrp = (char *)(src ? &ad->u.net->v6info.saddr :
    4362                 :          0 :                                        &ad->u.net->v6info.daddr);
    4363                 :          0 :                 goto okay;
    4364                 :            : #endif  /* IPV6 */
    4365                 :          0 :         default:
    4366                 :          0 :                 addrp = NULL;
    4367                 :          0 :                 goto okay;
    4368                 :            :         }
    4369                 :            : 
    4370                 :          0 : parse_error:
    4371                 :          0 :         pr_warn(
    4372                 :            :                "SELinux: failure in selinux_parse_skb(),"
    4373                 :            :                " unable to parse packet\n");
    4374                 :          0 :         return ret;
    4375                 :            : 
    4376                 :          0 : okay:
    4377         [ #  # ]:          0 :         if (_addrp)
    4378                 :          0 :                 *_addrp = addrp;
    4379                 :            :         return 0;
    4380                 :            : }
    4381                 :            : 
    4382                 :            : /**
    4383                 :            :  * selinux_skb_peerlbl_sid - Determine the peer label of a packet
    4384                 :            :  * @skb: the packet
    4385                 :            :  * @family: protocol family
    4386                 :            :  * @sid: the packet's peer label SID
    4387                 :            :  *
    4388                 :            :  * Description:
    4389                 :            :  * Check the various different forms of network peer labeling and determine
    4390                 :            :  * the peer label/SID for the packet; most of the magic actually occurs in
    4391                 :            :  * the security server function security_net_peersid_cmp().  The function
    4392                 :            :  * returns zero if the value in @sid is valid (although it may be SECSID_NULL)
    4393                 :            :  * or -EACCES if @sid is invalid due to inconsistencies with the different
    4394                 :            :  * peer labels.
    4395                 :            :  *
    4396                 :            :  */
    4397                 :          0 : static int selinux_skb_peerlbl_sid(struct sk_buff *skb, u16 family, u32 *sid)
    4398                 :            : {
    4399                 :          0 :         int err;
    4400                 :          0 :         u32 xfrm_sid;
    4401                 :          0 :         u32 nlbl_sid;
    4402                 :          0 :         u32 nlbl_type;
    4403                 :            : 
    4404                 :          0 :         err = selinux_xfrm_skb_sid(skb, &xfrm_sid);
    4405                 :          0 :         if (unlikely(err))
    4406                 :            :                 return -EACCES;
    4407                 :          0 :         err = selinux_netlbl_skbuff_getsid(skb, family, &nlbl_type, &nlbl_sid);
    4408         [ #  # ]:          0 :         if (unlikely(err))
    4409                 :            :                 return -EACCES;
    4410                 :            : 
    4411                 :          0 :         err = security_net_peersid_resolve(&selinux_state, nlbl_sid,
    4412                 :            :                                            nlbl_type, xfrm_sid, sid);
    4413         [ #  # ]:          0 :         if (unlikely(err)) {
    4414                 :          0 :                 pr_warn(
    4415                 :            :                        "SELinux: failure in selinux_skb_peerlbl_sid(),"
    4416                 :            :                        " unable to determine packet's peer label\n");
    4417                 :          0 :                 return -EACCES;
    4418                 :            :         }
    4419                 :            : 
    4420                 :            :         return 0;
    4421                 :            : }
    4422                 :            : 
    4423                 :            : /**
    4424                 :            :  * selinux_conn_sid - Determine the child socket label for a connection
    4425                 :            :  * @sk_sid: the parent socket's SID
    4426                 :            :  * @skb_sid: the packet's SID
    4427                 :            :  * @conn_sid: the resulting connection SID
    4428                 :            :  *
    4429                 :            :  * If @skb_sid is valid then the user:role:type information from @sk_sid is
    4430                 :            :  * combined with the MLS information from @skb_sid in order to create
    4431                 :            :  * @conn_sid.  If @skb_sid is not valid then then @conn_sid is simply a copy
    4432                 :            :  * of @sk_sid.  Returns zero on success, negative values on failure.
    4433                 :            :  *
    4434                 :            :  */
    4435                 :          0 : static int selinux_conn_sid(u32 sk_sid, u32 skb_sid, u32 *conn_sid)
    4436                 :            : {
    4437                 :          0 :         int err = 0;
    4438                 :            : 
    4439                 :          0 :         if (skb_sid != SECSID_NULL)
    4440                 :          0 :                 err = security_sid_mls_copy(&selinux_state, sk_sid, skb_sid,
    4441                 :            :                                             conn_sid);
    4442                 :            :         else
    4443                 :          0 :                 *conn_sid = sk_sid;
    4444                 :            : 
    4445                 :          0 :         return err;
    4446                 :            : }
    4447                 :            : 
    4448                 :            : /* socket security operations */
    4449                 :            : 
    4450                 :      17750 : static int socket_sockcreate_sid(const struct task_security_struct *tsec,
    4451                 :            :                                  u16 secclass, u32 *socksid)
    4452                 :            : {
    4453                 :      17750 :         if (tsec->sockcreate_sid > SECSID_NULL) {
    4454                 :          0 :                 *socksid = tsec->sockcreate_sid;
    4455                 :          0 :                 return 0;
    4456                 :            :         }
    4457                 :            : 
    4458                 :      17750 :         return security_transition_sid(&selinux_state, tsec->sid, tsec->sid,
    4459                 :            :                                        secclass, NULL, socksid);
    4460                 :            : }
    4461                 :            : 
    4462                 :     156798 : static int sock_has_perm(struct sock *sk, u32 perms)
    4463                 :            : {
    4464                 :     156798 :         struct sk_security_struct *sksec = sk->sk_security;
    4465                 :     156798 :         struct common_audit_data ad;
    4466                 :     156798 :         struct lsm_network_audit net = {0,};
    4467                 :            : 
    4468         [ -  + ]:     156798 :         if (sksec->sid == SECINITSID_KERNEL)
    4469                 :            :                 return 0;
    4470                 :            : 
    4471                 :          0 :         ad.type = LSM_AUDIT_DATA_NET;
    4472                 :          0 :         ad.u.net = &net;
    4473                 :          0 :         ad.u.net->sk = sk;
    4474                 :            : 
    4475                 :          0 :         return avc_has_perm(&selinux_state,
    4476                 :          0 :                             current_sid(), sksec->sid, sksec->sclass, perms,
    4477                 :            :                             &ad);
    4478                 :            : }
    4479                 :            : 
    4480                 :       9415 : static int selinux_socket_create(int family, int type,
    4481                 :            :                                  int protocol, int kern)
    4482                 :            : {
    4483         [ +  + ]:       9415 :         const struct task_security_struct *tsec = selinux_cred(current_cred());
    4484                 :       9415 :         u32 newsid;
    4485                 :       9415 :         u16 secclass;
    4486                 :       9415 :         int rc;
    4487                 :            : 
    4488         [ +  + ]:       9415 :         if (kern)
    4489                 :            :                 return 0;
    4490                 :            : 
    4491                 :       8875 :         secclass = socket_type_to_security_class(family, type, protocol);
    4492         [ -  + ]:       8875 :         rc = socket_sockcreate_sid(tsec, secclass, &newsid);
    4493         [ +  - ]:       8875 :         if (rc)
    4494                 :            :                 return rc;
    4495                 :            : 
    4496                 :       8875 :         return avc_has_perm(&selinux_state,
    4497                 :            :                             tsec->sid, newsid, secclass, SOCKET__CREATE, NULL);
    4498                 :            : }
    4499                 :            : 
    4500                 :       9415 : static int selinux_socket_post_create(struct socket *sock, int family,
    4501                 :            :                                       int type, int protocol, int kern)
    4502                 :            : {
    4503         [ +  - ]:       9415 :         const struct task_security_struct *tsec = selinux_cred(current_cred());
    4504         [ +  - ]:       9415 :         struct inode_security_struct *isec = inode_security_novalidate(SOCK_INODE(sock));
    4505                 :       9415 :         struct sk_security_struct *sksec;
    4506                 :       9415 :         u16 sclass = socket_type_to_security_class(family, type, protocol);
    4507                 :       9415 :         u32 sid = SECINITSID_KERNEL;
    4508                 :       9415 :         int err = 0;
    4509                 :            : 
    4510         [ +  + ]:       9415 :         if (!kern) {
    4511         [ -  + ]:       8875 :                 err = socket_sockcreate_sid(tsec, sclass, &sid);
    4512         [ +  - ]:       8875 :                 if (err)
    4513                 :            :                         return err;
    4514                 :            :         }
    4515                 :            : 
    4516                 :       9415 :         isec->sclass = sclass;
    4517                 :       9415 :         isec->sid = sid;
    4518                 :       9415 :         isec->initialized = LABEL_INITIALIZED;
    4519                 :            : 
    4520         [ +  + ]:       9415 :         if (sock->sk) {
    4521                 :       9115 :                 sksec = sock->sk->sk_security;
    4522                 :       9115 :                 sksec->sclass = sclass;
    4523                 :       9115 :                 sksec->sid = sid;
    4524                 :            :                 /* Allows detection of the first association on this socket */
    4525         [ -  + ]:       9115 :                 if (sksec->sclass == SECCLASS_SCTP_SOCKET)
    4526                 :          0 :                         sksec->sctp_assoc_state = SCTP_ASSOC_UNSET;
    4527                 :            : 
    4528                 :       9115 :                 err = selinux_netlbl_socket_post_create(sock->sk, family);
    4529                 :            :         }
    4530                 :            : 
    4531                 :            :         return err;
    4532                 :            : }
    4533                 :            : 
    4534                 :        120 : static int selinux_socket_socketpair(struct socket *socka,
    4535                 :            :                                      struct socket *sockb)
    4536                 :            : {
    4537                 :        120 :         struct sk_security_struct *sksec_a = socka->sk->sk_security;
    4538                 :        120 :         struct sk_security_struct *sksec_b = sockb->sk->sk_security;
    4539                 :            : 
    4540                 :        120 :         sksec_a->peer_sid = sksec_b->sid;
    4541                 :        120 :         sksec_b->peer_sid = sksec_a->sid;
    4542                 :            : 
    4543                 :        120 :         return 0;
    4544                 :            : }
    4545                 :            : 
    4546                 :            : /* Range of port numbers used to automatically bind.
    4547                 :            :    Need to determine whether we should perform a name_bind
    4548                 :            :    permission check between the socket and the port number. */
    4549                 :            : 
    4550                 :        942 : static int selinux_socket_bind(struct socket *sock, struct sockaddr *address, int addrlen)
    4551                 :            : {
    4552                 :        942 :         struct sock *sk = sock->sk;
    4553                 :        942 :         struct sk_security_struct *sksec = sk->sk_security;
    4554                 :        942 :         u16 family;
    4555                 :        942 :         int err;
    4556                 :            : 
    4557                 :        942 :         err = sock_has_perm(sk, SOCKET__BIND);
    4558         [ -  + ]:        942 :         if (err)
    4559                 :          0 :                 goto out;
    4560                 :            : 
    4561                 :            :         /* If PF_INET or PF_INET6, check name_bind permission for the port. */
    4562                 :        942 :         family = sk->sk_family;
    4563         [ +  + ]:        942 :         if (family == PF_INET || family == PF_INET6) {
    4564                 :         60 :                 char *addrp;
    4565                 :         60 :                 struct common_audit_data ad;
    4566                 :         60 :                 struct lsm_network_audit net = {0,};
    4567                 :         60 :                 struct sockaddr_in *addr4 = NULL;
    4568                 :         60 :                 struct sockaddr_in6 *addr6 = NULL;
    4569                 :         60 :                 u16 family_sa;
    4570                 :         60 :                 unsigned short snum;
    4571                 :         60 :                 u32 sid, node_perm;
    4572                 :            : 
    4573                 :            :                 /*
    4574                 :            :                  * sctp_bindx(3) calls via selinux_sctp_bind_connect()
    4575                 :            :                  * that validates multiple binding addresses. Because of this
    4576                 :            :                  * need to check address->sa_family as it is possible to have
    4577                 :            :                  * sk->sk_family = PF_INET6 with addr->sa_family = AF_INET.
    4578                 :            :                  */
    4579         [ +  - ]:         60 :                 if (addrlen < offsetofend(struct sockaddr, sa_family))
    4580                 :          0 :                         return -EINVAL;
    4581                 :         60 :                 family_sa = address->sa_family;
    4582      [ +  +  - ]:         60 :                 switch (family_sa) {
    4583                 :         30 :                 case AF_UNSPEC:
    4584                 :            :                 case AF_INET:
    4585         [ +  - ]:         30 :                         if (addrlen < sizeof(struct sockaddr_in))
    4586                 :            :                                 return -EINVAL;
    4587                 :         30 :                         addr4 = (struct sockaddr_in *)address;
    4588         [ -  + ]:         30 :                         if (family_sa == AF_UNSPEC) {
    4589                 :            :                                 /* see __inet_bind(), we only want to allow
    4590                 :            :                                  * AF_UNSPEC if the address is INADDR_ANY
    4591                 :            :                                  */
    4592         [ #  # ]:          0 :                                 if (addr4->sin_addr.s_addr != htonl(INADDR_ANY))
    4593                 :          0 :                                         goto err_af;
    4594                 :            :                                 family_sa = AF_INET;
    4595                 :            :                         }
    4596                 :         30 :                         snum = ntohs(addr4->sin_port);
    4597                 :         30 :                         addrp = (char *)&addr4->sin_addr.s_addr;
    4598                 :         30 :                         break;
    4599                 :         30 :                 case AF_INET6:
    4600         [ +  - ]:         30 :                         if (addrlen < SIN6_LEN_RFC2133)
    4601                 :            :                                 return -EINVAL;
    4602                 :         30 :                         addr6 = (struct sockaddr_in6 *)address;
    4603                 :         30 :                         snum = ntohs(addr6->sin6_port);
    4604                 :         30 :                         addrp = (char *)&addr6->sin6_addr.s6_addr;
    4605                 :         30 :                         break;
    4606                 :          0 :                 default:
    4607                 :          0 :                         goto err_af;
    4608                 :            :                 }
    4609                 :            : 
    4610                 :         60 :                 ad.type = LSM_AUDIT_DATA_NET;
    4611                 :         60 :                 ad.u.net = &net;
    4612                 :         60 :                 ad.u.net->sport = htons(snum);
    4613                 :         60 :                 ad.u.net->family = family_sa;
    4614                 :            : 
    4615         [ +  - ]:         60 :                 if (snum) {
    4616                 :         60 :                         int low, high;
    4617                 :            : 
    4618                 :         60 :                         inet_get_local_port_range(sock_net(sk), &low, &high);
    4619                 :            : 
    4620         [ -  + ]:         60 :                         if (inet_port_requires_bind_service(sock_net(sk), snum) ||
    4621   [ #  #  #  # ]:          0 :                             snum < low || snum > high) {
    4622                 :         60 :                                 err = sel_netport_sid(sk->sk_protocol,
    4623                 :            :                                                       snum, &sid);
    4624         [ -  + ]:         60 :                                 if (err)
    4625                 :          0 :                                         goto out;
    4626                 :         60 :                                 err = avc_has_perm(&selinux_state,
    4627                 :            :                                                    sksec->sid, sid,
    4628                 :         60 :                                                    sksec->sclass,
    4629                 :            :                                                    SOCKET__NAME_BIND, &ad);
    4630         [ -  + ]:         60 :                                 if (err)
    4631                 :          0 :                                         goto out;
    4632                 :            :                         }
    4633                 :            :                 }
    4634                 :            : 
    4635                 :         60 :                 switch (sksec->sclass) {
    4636                 :            :                 case SECCLASS_TCP_SOCKET:
    4637                 :            :                         node_perm = TCP_SOCKET__NODE_BIND;
    4638                 :            :                         break;
    4639                 :            : 
    4640                 :            :                 case SECCLASS_UDP_SOCKET:
    4641                 :            :                         node_perm = UDP_SOCKET__NODE_BIND;
    4642                 :            :                         break;
    4643                 :            : 
    4644                 :            :                 case SECCLASS_DCCP_SOCKET:
    4645                 :            :                         node_perm = DCCP_SOCKET__NODE_BIND;
    4646                 :            :                         break;
    4647                 :            : 
    4648                 :            :                 case SECCLASS_SCTP_SOCKET:
    4649                 :            :                         node_perm = SCTP_SOCKET__NODE_BIND;
    4650                 :            :                         break;
    4651                 :            : 
    4652                 :            :                 default:
    4653                 :            :                         node_perm = RAWIP_SOCKET__NODE_BIND;
    4654                 :            :                         break;
    4655                 :            :                 }
    4656                 :            : 
    4657                 :         60 :                 err = sel_netnode_sid(addrp, family_sa, &sid);
    4658         [ -  + ]:         60 :                 if (err)
    4659                 :          0 :                         goto out;
    4660                 :            : 
    4661         [ +  + ]:         60 :                 if (family_sa == AF_INET)
    4662                 :         30 :                         ad.u.net->v4info.saddr = addr4->sin_addr.s_addr;
    4663                 :            :                 else
    4664                 :         30 :                         ad.u.net->v6info.saddr = addr6->sin6_addr;
    4665                 :            : 
    4666                 :         60 :                 err = avc_has_perm(&selinux_state,
    4667                 :            :                                    sksec->sid, sid,
    4668                 :         60 :                                    sksec->sclass, node_perm, &ad);
    4669         [ -  + ]:         60 :                 if (err)
    4670                 :          0 :                         goto out;
    4671                 :            :         }
    4672                 :        882 : out:
    4673                 :            :         return err;
    4674                 :            : err_af:
    4675                 :            :         /* Note that SCTP services expect -EINVAL, others -EAFNOSUPPORT. */
    4676         [ #  # ]:          0 :         if (sksec->sclass == SECCLASS_SCTP_SOCKET)
    4677                 :          0 :                 return -EINVAL;
    4678                 :            :         return -EAFNOSUPPORT;
    4679                 :            : }
    4680                 :            : 
    4681                 :            : /* This supports connect(2) and SCTP connect services such as sctp_connectx(3)
    4682                 :            :  * and sctp_sendmsg(3) as described in Documentation/security/SCTP.rst
    4683                 :            :  */
    4684                 :            : static int selinux_socket_connect_helper(struct socket *sock,
    4685                 :            :                                          struct sockaddr *address, int addrlen)
    4686                 :            : {
    4687                 :            :         struct sock *sk = sock->sk;
    4688                 :            :         struct sk_security_struct *sksec = sk->sk_security;
    4689                 :            :         int err;
    4690                 :            : 
    4691                 :            :         err = sock_has_perm(sk, SOCKET__CONNECT);
    4692                 :            :         if (err)
    4693                 :            :                 return err;
    4694                 :            :         if (addrlen < offsetofend(struct sockaddr, sa_family))
    4695                 :            :                 return -EINVAL;
    4696                 :            : 
    4697                 :            :         /* connect(AF_UNSPEC) has special handling, as it is a documented
    4698                 :            :          * way to disconnect the socket
    4699                 :            :          */
    4700                 :            :         if (address->sa_family == AF_UNSPEC)
    4701                 :            :                 return 0;
    4702                 :            : 
    4703                 :            :         /*
    4704                 :            :          * If a TCP, DCCP or SCTP socket, check name_connect permission
    4705                 :            :          * for the port.
    4706                 :            :          */
    4707                 :            :         if (sksec->sclass == SECCLASS_TCP_SOCKET ||
    4708                 :            :             sksec->sclass == SECCLASS_DCCP_SOCKET ||
    4709                 :            :             sksec->sclass == SECCLASS_SCTP_SOCKET) {
    4710                 :            :                 struct common_audit_data ad;
    4711                 :            :                 struct lsm_network_audit net = {0,};
    4712                 :            :                 struct sockaddr_in *addr4 = NULL;
    4713                 :            :                 struct sockaddr_in6 *addr6 = NULL;
    4714                 :            :                 unsigned short snum;
    4715                 :            :                 u32 sid, perm;
    4716                 :            : 
    4717                 :            :                 /* sctp_connectx(3) calls via selinux_sctp_bind_connect()
    4718                 :            :                  * that validates multiple connect addresses. Because of this
    4719                 :            :                  * need to check address->sa_family as it is possible to have
    4720                 :            :                  * sk->sk_family = PF_INET6 with addr->sa_family = AF_INET.
    4721                 :            :                  */
    4722                 :            :                 switch (address->sa_family) {
    4723                 :            :                 case AF_INET:
    4724                 :            :                         addr4 = (struct sockaddr_in *)address;
    4725                 :            :                         if (addrlen < sizeof(struct sockaddr_in))
    4726                 :            :                                 return -EINVAL;
    4727                 :            :                         snum = ntohs(addr4->sin_port);
    4728                 :            :                         break;
    4729                 :            :                 case AF_INET6:
    4730                 :            :                         addr6 = (struct sockaddr_in6 *)address;
    4731                 :            :                         if (addrlen < SIN6_LEN_RFC2133)
    4732                 :            :                                 return -EINVAL;
    4733                 :            :                         snum = ntohs(addr6->sin6_port);
    4734                 :            :                         break;
    4735                 :            :                 default:
    4736                 :            :                         /* Note that SCTP services expect -EINVAL, whereas
    4737                 :            :                          * others expect -EAFNOSUPPORT.
    4738                 :            :                          */
    4739                 :            :                         if (sksec->sclass == SECCLASS_SCTP_SOCKET)
    4740                 :            :                                 return -EINVAL;
    4741                 :            :                         else
    4742                 :            :                                 return -EAFNOSUPPORT;
    4743                 :            :                 }
    4744                 :            : 
    4745                 :            :                 err = sel_netport_sid(sk->sk_protocol, snum, &sid);
    4746                 :            :                 if (err)
    4747                 :            :                         return err;
    4748                 :            : 
    4749                 :            :                 switch (sksec->sclass) {
    4750                 :            :                 case SECCLASS_TCP_SOCKET:
    4751                 :            :                         perm = TCP_SOCKET__NAME_CONNECT;
    4752                 :            :                         break;
    4753                 :            :                 case SECCLASS_DCCP_SOCKET:
    4754                 :            :                         perm = DCCP_SOCKET__NAME_CONNECT;
    4755                 :            :                         break;
    4756                 :            :                 case SECCLASS_SCTP_SOCKET:
    4757                 :            :                         perm = SCTP_SOCKET__NAME_CONNECT;
    4758                 :            :                         break;
    4759                 :            :                 }
    4760                 :            : 
    4761                 :            :                 ad.type = LSM_AUDIT_DATA_NET;
    4762                 :            :                 ad.u.net = &net;
    4763                 :            :                 ad.u.net->dport = htons(snum);
    4764                 :            :                 ad.u.net->family = address->sa_family;
    4765                 :            :                 err = avc_has_perm(&selinux_state,
    4766                 :            :                                    sksec->sid, sid, sksec->sclass, perm, &ad);
    4767                 :            :                 if (err)
    4768                 :            :                         return err;
    4769                 :            :         }
    4770                 :            : 
    4771                 :            :         return 0;
    4772                 :            : }
    4773                 :            : 
    4774                 :            : /* Supports connect(2), see comments in selinux_socket_connect_helper() */
    4775                 :       6746 : static int selinux_socket_connect(struct socket *sock,
    4776                 :            :                                   struct sockaddr *address, int addrlen)
    4777                 :            : {
    4778                 :       6746 :         int err;
    4779                 :       6746 :         struct sock *sk = sock->sk;
    4780                 :            : 
    4781                 :       6746 :         err = selinux_socket_connect_helper(sock, address, addrlen);
    4782         [ +  - ]:       6746 :         if (err)
    4783                 :            :                 return err;
    4784                 :            : 
    4785                 :       6746 :         return selinux_netlbl_socket_connect(sk, address);
    4786                 :            : }
    4787                 :            : 
    4788                 :        150 : static int selinux_socket_listen(struct socket *sock, int backlog)
    4789                 :            : {
    4790                 :        150 :         return sock_has_perm(sock->sk, SOCKET__LISTEN);
    4791                 :            : }
    4792                 :            : 
    4793                 :        876 : static int selinux_socket_accept(struct socket *sock, struct socket *newsock)
    4794                 :            : {
    4795                 :        876 :         int err;
    4796                 :        876 :         struct inode_security_struct *isec;
    4797                 :        876 :         struct inode_security_struct *newisec;
    4798                 :        876 :         u16 sclass;
    4799                 :        876 :         u32 sid;
    4800                 :            : 
    4801                 :        876 :         err = sock_has_perm(sock->sk, SOCKET__ACCEPT);
    4802         [ +  - ]:        876 :         if (err)
    4803                 :            :                 return err;
    4804                 :            : 
    4805         [ +  - ]:        876 :         isec = inode_security_novalidate(SOCK_INODE(sock));
    4806                 :        876 :         spin_lock(&isec->lock);
    4807                 :        876 :         sclass = isec->sclass;
    4808                 :        876 :         sid = isec->sid;
    4809                 :        876 :         spin_unlock(&isec->lock);
    4810                 :            : 
    4811         [ +  - ]:        876 :         newisec = inode_security_novalidate(SOCK_INODE(newsock));
    4812                 :        876 :         newisec->sclass = sclass;
    4813                 :        876 :         newisec->sid = sid;
    4814                 :        876 :         newisec->initialized = LABEL_INITIALIZED;
    4815                 :            : 
    4816                 :        876 :         return 0;
    4817                 :            : }
    4818                 :            : 
    4819                 :      60546 : static int selinux_socket_sendmsg(struct socket *sock, struct msghdr *msg,
    4820                 :            :                                   int size)
    4821                 :            : {
    4822                 :      60546 :         return sock_has_perm(sock->sk, SOCKET__WRITE);
    4823                 :            : }
    4824                 :            : 
    4825                 :      71672 : static int selinux_socket_recvmsg(struct socket *sock, struct msghdr *msg,
    4826                 :            :                                   int size, int flags)
    4827                 :            : {
    4828                 :      71672 :         return sock_has_perm(sock->sk, SOCKET__READ);
    4829                 :            : }
    4830                 :            : 
    4831                 :       1212 : static int selinux_socket_getsockname(struct socket *sock)
    4832                 :            : {
    4833                 :       1212 :         return sock_has_perm(sock->sk, SOCKET__GETATTR);
    4834                 :            : }
    4835                 :            : 
    4836                 :          0 : static int selinux_socket_getpeername(struct socket *sock)
    4837                 :            : {
    4838                 :          0 :         return sock_has_perm(sock->sk, SOCKET__GETATTR);
    4839                 :            : }
    4840                 :            : 
    4841                 :       6058 : static int selinux_socket_setsockopt(struct socket *sock, int level, int optname)
    4842                 :            : {
    4843                 :       6058 :         int err;
    4844                 :            : 
    4845                 :       6058 :         err = sock_has_perm(sock->sk, SOCKET__SETOPT);
    4846         [ +  - ]:       6058 :         if (err)
    4847                 :            :                 return err;
    4848                 :            : 
    4849                 :       6058 :         return selinux_netlbl_socket_setsockopt(sock, level, optname);
    4850                 :            : }
    4851                 :            : 
    4852                 :       5914 : static int selinux_socket_getsockopt(struct socket *sock, int level,
    4853                 :            :                                      int optname)
    4854                 :            : {
    4855                 :       5914 :         return sock_has_perm(sock->sk, SOCKET__GETOPT);
    4856                 :            : }
    4857                 :            : 
    4858                 :       1572 : static int selinux_socket_shutdown(struct socket *sock, int how)
    4859                 :            : {
    4860                 :       1572 :         return sock_has_perm(sock->sk, SOCKET__SHUTDOWN);
    4861                 :            : }
    4862                 :            : 
    4863                 :        876 : static int selinux_socket_unix_stream_connect(struct sock *sock,
    4864                 :            :                                               struct sock *other,
    4865                 :            :                                               struct sock *newsk)
    4866                 :            : {
    4867                 :        876 :         struct sk_security_struct *sksec_sock = sock->sk_security;
    4868                 :        876 :         struct sk_security_struct *sksec_other = other->sk_security;
    4869                 :        876 :         struct sk_security_struct *sksec_new = newsk->sk_security;
    4870                 :        876 :         struct common_audit_data ad;
    4871                 :        876 :         struct lsm_network_audit net = {0,};
    4872                 :        876 :         int err;
    4873                 :            : 
    4874                 :        876 :         ad.type = LSM_AUDIT_DATA_NET;
    4875                 :        876 :         ad.u.net = &net;
    4876                 :        876 :         ad.u.net->sk = other;
    4877                 :            : 
    4878                 :        876 :         err = avc_has_perm(&selinux_state,
    4879                 :            :                            sksec_sock->sid, sksec_other->sid,
    4880                 :        876 :                            sksec_other->sclass,
    4881                 :            :                            UNIX_STREAM_SOCKET__CONNECTTO, &ad);
    4882         [ +  - ]:        876 :         if (err)
    4883                 :            :                 return err;
    4884                 :            : 
    4885                 :            :         /* server child socket */
    4886                 :        876 :         sksec_new->peer_sid = sksec_sock->sid;
    4887                 :        876 :         err = security_sid_mls_copy(&selinux_state, sksec_other->sid,
    4888                 :            :                                     sksec_sock->sid, &sksec_new->sid);
    4889         [ +  - ]:        876 :         if (err)
    4890                 :            :                 return err;
    4891                 :            : 
    4892                 :            :         /* connecting socket */
    4893                 :        876 :         sksec_sock->peer_sid = sksec_new->sid;
    4894                 :            : 
    4895                 :        876 :         return 0;
    4896                 :            : }
    4897                 :            : 
    4898                 :      24868 : static int selinux_socket_unix_may_send(struct socket *sock,
    4899                 :            :                                         struct socket *other)
    4900                 :            : {
    4901                 :      24868 :         struct sk_security_struct *ssec = sock->sk->sk_security;
    4902                 :      24868 :         struct sk_security_struct *osec = other->sk->sk_security;
    4903                 :      24868 :         struct common_audit_data ad;
    4904                 :      24868 :         struct lsm_network_audit net = {0,};
    4905                 :            : 
    4906                 :      24868 :         ad.type = LSM_AUDIT_DATA_NET;
    4907                 :      24868 :         ad.u.net = &net;
    4908                 :      24868 :         ad.u.net->sk = other->sk;
    4909                 :            : 
    4910                 :      49736 :         return avc_has_perm(&selinux_state,
    4911                 :      24868 :                             ssec->sid, osec->sid, osec->sclass, SOCKET__SENDTO,
    4912                 :            :                             &ad);
    4913                 :            : }
    4914                 :            : 
    4915                 :          0 : static int selinux_inet_sys_rcv_skb(struct net *ns, int ifindex,
    4916                 :            :                                     char *addrp, u16 family, u32 peer_sid,
    4917                 :            :                                     struct common_audit_data *ad)
    4918                 :            : {
    4919                 :          0 :         int err;
    4920                 :          0 :         u32 if_sid;
    4921                 :          0 :         u32 node_sid;
    4922                 :            : 
    4923                 :          0 :         err = sel_netif_sid(ns, ifindex, &if_sid);
    4924         [ #  # ]:          0 :         if (err)
    4925                 :            :                 return err;
    4926                 :          0 :         err = avc_has_perm(&selinux_state,
    4927                 :            :                            peer_sid, if_sid,
    4928                 :            :                            SECCLASS_NETIF, NETIF__INGRESS, ad);
    4929         [ #  # ]:          0 :         if (err)
    4930                 :            :                 return err;
    4931                 :            : 
    4932                 :          0 :         err = sel_netnode_sid(addrp, family, &node_sid);
    4933         [ #  # ]:          0 :         if (err)
    4934                 :            :                 return err;
    4935                 :          0 :         return avc_has_perm(&selinux_state,
    4936                 :            :                             peer_sid, node_sid,
    4937                 :            :                             SECCLASS_NODE, NODE__RECVFROM, ad);
    4938                 :            : }
    4939                 :            : 
    4940                 :          0 : static int selinux_sock_rcv_skb_compat(struct sock *sk, struct sk_buff *skb,
    4941                 :            :                                        u16 family)
    4942                 :            : {
    4943                 :          0 :         int err = 0;
    4944                 :          0 :         struct sk_security_struct *sksec = sk->sk_security;
    4945                 :          0 :         u32 sk_sid = sksec->sid;
    4946                 :          0 :         struct common_audit_data ad;
    4947                 :          0 :         struct lsm_network_audit net = {0,};
    4948                 :          0 :         char *addrp;
    4949                 :            : 
    4950                 :          0 :         ad.type = LSM_AUDIT_DATA_NET;
    4951                 :          0 :         ad.u.net = &net;
    4952                 :          0 :         ad.u.net->netif = skb->skb_iif;
    4953                 :          0 :         ad.u.net->family = family;
    4954                 :          0 :         err = selinux_parse_skb(skb, &ad, &addrp, 1, NULL);
    4955         [ #  # ]:          0 :         if (err)
    4956                 :            :                 return err;
    4957                 :            : 
    4958         [ #  # ]:          0 :         if (selinux_secmark_enabled()) {
    4959                 :          0 :                 err = avc_has_perm(&selinux_state,
    4960                 :            :                                    sk_sid, skb->secmark, SECCLASS_PACKET,
    4961                 :            :                                    PACKET__RECV, &ad);
    4962         [ #  # ]:          0 :                 if (err)
    4963                 :            :                         return err;
    4964                 :            :         }
    4965                 :            : 
    4966                 :          0 :         err = selinux_netlbl_sock_rcv_skb(sksec, skb, family, &ad);
    4967         [ #  # ]:          0 :         if (err)
    4968                 :          0 :                 return err;
    4969                 :            :         err = selinux_xfrm_sock_rcv_skb(sksec->sid, skb, &ad);
    4970                 :            : 
    4971                 :            :         return err;
    4972                 :            : }
    4973                 :            : 
    4974                 :      74596 : static int selinux_socket_sock_rcv_skb(struct sock *sk, struct sk_buff *skb)
    4975                 :            : {
    4976                 :      74596 :         int err;
    4977                 :      74596 :         struct sk_security_struct *sksec = sk->sk_security;
    4978                 :      74596 :         u16 family = sk->sk_family;
    4979                 :      74596 :         u32 sk_sid = sksec->sid;
    4980                 :      74596 :         struct common_audit_data ad;
    4981                 :      74596 :         struct lsm_network_audit net = {0,};
    4982                 :      74596 :         char *addrp;
    4983                 :      74596 :         u8 secmark_active;
    4984                 :      74596 :         u8 peerlbl_active;
    4985                 :            : 
    4986         [ -  + ]:      74596 :         if (family != PF_INET && family != PF_INET6)
    4987                 :            :                 return 0;
    4988                 :            : 
    4989                 :            :         /* Handle mapped IPv4 packets arriving via IPv6 sockets */
    4990   [ #  #  #  # ]:          0 :         if (family == PF_INET6 && skb->protocol == htons(ETH_P_IP))
    4991                 :          0 :                 family = PF_INET;
    4992                 :            : 
    4993                 :            :         /* If any sort of compatibility mode is enabled then handoff processing
    4994                 :            :          * to the selinux_sock_rcv_skb_compat() function to deal with the
    4995                 :            :          * special handling.  We do this in an attempt to keep this function
    4996                 :            :          * as fast and as clean as possible. */
    4997         [ #  # ]:          0 :         if (!selinux_policycap_netpeer())
    4998                 :          0 :                 return selinux_sock_rcv_skb_compat(sk, skb, family);
    4999                 :            : 
    5000         [ #  # ]:          0 :         secmark_active = selinux_secmark_enabled();
    5001         [ #  # ]:          0 :         peerlbl_active = selinux_peerlbl_enabled();
    5002         [ #  # ]:          0 :         if (!secmark_active && !peerlbl_active)
    5003                 :            :                 return 0;
    5004                 :            : 
    5005                 :          0 :         ad.type = LSM_AUDIT_DATA_NET;
    5006                 :          0 :         ad.u.net = &net;
    5007                 :          0 :         ad.u.net->netif = skb->skb_iif;
    5008                 :          0 :         ad.u.net->family = family;
    5009                 :          0 :         err = selinux_parse_skb(skb, &ad, &addrp, 1, NULL);
    5010         [ #  # ]:          0 :         if (err)
    5011                 :            :                 return err;
    5012                 :            : 
    5013         [ #  # ]:          0 :         if (peerlbl_active) {
    5014                 :          0 :                 u32 peer_sid;
    5015                 :            : 
    5016                 :          0 :                 err = selinux_skb_peerlbl_sid(skb, family, &peer_sid);
    5017         [ #  # ]:          0 :                 if (err)
    5018                 :          0 :                         return err;
    5019                 :          0 :                 err = selinux_inet_sys_rcv_skb(sock_net(sk), skb->skb_iif,
    5020                 :            :                                                addrp, family, peer_sid, &ad);
    5021         [ #  # ]:          0 :                 if (err) {
    5022                 :          0 :                         selinux_netlbl_err(skb, family, err, 0);
    5023                 :          0 :                         return err;
    5024                 :            :                 }
    5025                 :          0 :                 err = avc_has_perm(&selinux_state,
    5026                 :            :                                    sk_sid, peer_sid, SECCLASS_PEER,
    5027                 :            :                                    PEER__RECV, &ad);
    5028         [ #  # ]:          0 :                 if (err) {
    5029                 :          0 :                         selinux_netlbl_err(skb, family, err, 0);
    5030                 :          0 :                         return err;
    5031                 :            :                 }
    5032                 :            :         }
    5033                 :            : 
    5034         [ #  # ]:          0 :         if (secmark_active) {
    5035                 :          0 :                 err = avc_has_perm(&selinux_state,
    5036                 :            :                                    sk_sid, skb->secmark, SECCLASS_PACKET,
    5037                 :            :                                    PACKET__RECV, &ad);
    5038                 :          0 :                 if (err)
    5039                 :            :                         return err;
    5040                 :            :         }
    5041                 :            : 
    5042                 :            :         return err;
    5043                 :            : }
    5044                 :            : 
    5045                 :        180 : static int selinux_socket_getpeersec_stream(struct socket *sock, char __user *optval,
    5046                 :            :                                             int __user *optlen, unsigned len)
    5047                 :            : {
    5048                 :        180 :         int err = 0;
    5049                 :        180 :         char *scontext;
    5050                 :        180 :         u32 scontext_len;
    5051                 :        180 :         struct sk_security_struct *sksec = sock->sk->sk_security;
    5052                 :        180 :         u32 peer_sid = SECSID_NULL;
    5053                 :            : 
    5054         [ -  + ]:        180 :         if (sksec->sclass == SECCLASS_UNIX_STREAM_SOCKET ||
    5055         [ #  # ]:          0 :             sksec->sclass == SECCLASS_TCP_SOCKET ||
    5056                 :            :             sksec->sclass == SECCLASS_SCTP_SOCKET)
    5057                 :        180 :                 peer_sid = sksec->peer_sid;
    5058         [ +  - ]:        180 :         if (peer_sid == SECSID_NULL)
    5059                 :            :                 return -ENOPROTOOPT;
    5060                 :            : 
    5061                 :        180 :         err = security_sid_to_context(&selinux_state, peer_sid, &scontext,
    5062                 :            :                                       &scontext_len);
    5063         [ +  - ]:        180 :         if (err)
    5064                 :            :                 return err;
    5065                 :            : 
    5066         [ -  + ]:        180 :         if (scontext_len > len) {
    5067                 :          0 :                 err = -ERANGE;
    5068                 :          0 :                 goto out_len;
    5069                 :            :         }
    5070                 :            : 
    5071   [ -  +  +  - ]:        360 :         if (copy_to_user(optval, scontext, scontext_len))
    5072                 :          0 :                 err = -EFAULT;
    5073                 :            : 
    5074                 :        180 : out_len:
    5075         [ -  + ]:        180 :         if (put_user(scontext_len, optlen))
    5076                 :          0 :                 err = -EFAULT;
    5077                 :        180 :         kfree(scontext);
    5078                 :        180 :         return err;
    5079                 :            : }
    5080                 :            : 
    5081                 :      60546 : static int selinux_socket_getpeersec_dgram(struct socket *sock, struct sk_buff *skb, u32 *secid)
    5082                 :            : {
    5083                 :      60546 :         u32 peer_secid = SECSID_NULL;
    5084                 :      60546 :         u16 family;
    5085                 :      60546 :         struct inode_security_struct *isec;
    5086                 :            : 
    5087   [ -  +  -  - ]:      60546 :         if (skb && skb->protocol == htons(ETH_P_IP))
    5088                 :            :                 family = PF_INET;
    5089   [ -  +  -  - ]:      60546 :         else if (skb && skb->protocol == htons(ETH_P_IPV6))
    5090                 :            :                 family = PF_INET6;
    5091         [ +  - ]:      60546 :         else if (sock)
    5092                 :      60546 :                 family = sock->sk->sk_family;
    5093                 :            :         else
    5094                 :          0 :                 goto out;
    5095                 :            : 
    5096         [ +  + ]:      60546 :         if (sock && family == PF_UNIX) {
    5097         [ +  - ]:      27000 :                 isec = inode_security_novalidate(SOCK_INODE(sock));
    5098                 :      27000 :                 peer_secid = isec->sid;
    5099         [ +  - ]:      33546 :         } else if (skb)
    5100                 :          0 :                 selinux_skb_peerlbl_sid(skb, family, &peer_secid);
    5101                 :            : 
    5102                 :      33546 : out:
    5103                 :      60546 :         *secid = peer_secid;
    5104         [ +  + ]:      60546 :         if (peer_secid == SECSID_NULL)
    5105                 :      33546 :                 return -EINVAL;
    5106                 :            :         return 0;
    5107                 :            : }
    5108                 :            : 
    5109                 :      12789 : static int selinux_sk_alloc_security(struct sock *sk, int family, gfp_t priority)
    5110                 :            : {
    5111                 :      12789 :         struct sk_security_struct *sksec;
    5112                 :            : 
    5113                 :      12789 :         sksec = kzalloc(sizeof(*sksec), priority);
    5114         [ +  - ]:      12789 :         if (!sksec)
    5115                 :            :                 return -ENOMEM;
    5116                 :            : 
    5117                 :      12789 :         sksec->peer_sid = SECINITSID_UNLABELED;
    5118                 :      12789 :         sksec->sid = SECINITSID_UNLABELED;
    5119                 :      12789 :         sksec->sclass = SECCLASS_SOCKET;
    5120                 :      12789 :         selinux_netlbl_sk_security_reset(sksec);
    5121                 :      12789 :         sk->sk_security = sksec;
    5122                 :            : 
    5123                 :      12789 :         return 0;
    5124                 :            : }
    5125                 :            : 
    5126                 :      10756 : static void selinux_sk_free_security(struct sock *sk)
    5127                 :            : {
    5128                 :      10756 :         struct sk_security_struct *sksec = sk->sk_security;
    5129                 :            : 
    5130                 :      10756 :         sk->sk_security = NULL;
    5131                 :      10756 :         selinux_netlbl_sk_security_free(sksec);
    5132                 :      10756 :         kfree(sksec);
    5133                 :      10756 : }
    5134                 :            : 
    5135                 :          0 : static void selinux_sk_clone_security(const struct sock *sk, struct sock *newsk)
    5136                 :            : {
    5137                 :          0 :         struct sk_security_struct *sksec = sk->sk_security;
    5138                 :          0 :         struct sk_security_struct *newsksec = newsk->sk_security;
    5139                 :            : 
    5140                 :          0 :         newsksec->sid = sksec->sid;
    5141                 :          0 :         newsksec->peer_sid = sksec->peer_sid;
    5142                 :          0 :         newsksec->sclass = sksec->sclass;
    5143                 :            : 
    5144                 :          0 :         selinux_netlbl_sk_security_reset(newsksec);
    5145                 :          0 : }
    5146                 :            : 
    5147                 :        120 : static void selinux_sk_getsecid(struct sock *sk, u32 *secid)
    5148                 :            : {
    5149         [ -  + ]:        120 :         if (!sk)
    5150                 :          0 :                 *secid = SECINITSID_ANY_SOCKET;
    5151                 :            :         else {
    5152                 :        120 :                 struct sk_security_struct *sksec = sk->sk_security;
    5153                 :            : 
    5154                 :        120 :                 *secid = sksec->sid;
    5155                 :            :         }
    5156                 :        120 : }
    5157                 :            : 
    5158                 :        876 : static void selinux_sock_graft(struct sock *sk, struct socket *parent)
    5159                 :            : {
    5160         [ +  - ]:        876 :         struct inode_security_struct *isec =
    5161                 :            :                 inode_security_novalidate(SOCK_INODE(parent));
    5162                 :        876 :         struct sk_security_struct *sksec = sk->sk_security;
    5163                 :            : 
    5164   [ +  -  +  - ]:        876 :         if (sk->sk_family == PF_INET || sk->sk_family == PF_INET6 ||
    5165                 :            :             sk->sk_family == PF_UNIX)
    5166                 :        876 :                 isec->sid = sksec->sid;
    5167                 :        876 :         sksec->sclass = isec->sclass;
    5168                 :        876 : }
    5169                 :            : 
    5170                 :            : /* Called whenever SCTP receives an INIT chunk. This happens when an incoming
    5171                 :            :  * connect(2), sctp_connectx(3) or sctp_sendmsg(3) (with no association
    5172                 :            :  * already present).
    5173                 :            :  */
    5174                 :          0 : static int selinux_sctp_assoc_request(struct sctp_endpoint *ep,
    5175                 :            :                                       struct sk_buff *skb)
    5176                 :            : {
    5177                 :          0 :         struct sk_security_struct *sksec = ep->base.sk->sk_security;
    5178                 :          0 :         struct common_audit_data ad;
    5179                 :          0 :         struct lsm_network_audit net = {0,};
    5180                 :          0 :         u8 peerlbl_active;
    5181                 :          0 :         u32 peer_sid = SECINITSID_UNLABELED;
    5182                 :          0 :         u32 conn_sid;
    5183                 :          0 :         int err = 0;
    5184                 :            : 
    5185         [ #  # ]:          0 :         if (!selinux_policycap_extsockclass())
    5186                 :            :                 return 0;
    5187                 :            : 
    5188         [ #  # ]:          0 :         peerlbl_active = selinux_peerlbl_enabled();
    5189                 :            : 
    5190         [ #  # ]:          0 :         if (peerlbl_active) {
    5191                 :            :                 /* This will return peer_sid = SECSID_NULL if there are
    5192                 :            :                  * no peer labels, see security_net_peersid_resolve().
    5193                 :            :                  */
    5194                 :          0 :                 err = selinux_skb_peerlbl_sid(skb, ep->base.sk->sk_family,
    5195                 :            :                                               &peer_sid);
    5196         [ #  # ]:          0 :                 if (err)
    5197                 :            :                         return err;
    5198                 :            : 
    5199         [ #  # ]:          0 :                 if (peer_sid == SECSID_NULL)
    5200                 :          0 :                         peer_sid = SECINITSID_UNLABELED;
    5201                 :            :         }
    5202                 :            : 
    5203         [ #  # ]:          0 :         if (sksec->sctp_assoc_state == SCTP_ASSOC_UNSET) {
    5204                 :          0 :                 sksec->sctp_assoc_state = SCTP_ASSOC_SET;
    5205                 :            : 
    5206                 :            :                 /* Here as first association on socket. As the peer SID
    5207                 :            :                  * was allowed by peer recv (and the netif/node checks),
    5208                 :            :                  * then it is approved by policy and used as the primary
    5209                 :            :                  * peer SID for getpeercon(3).
    5210                 :            :                  */
    5211                 :          0 :                 sksec->peer_sid = peer_sid;
    5212         [ #  # ]:          0 :         } else if  (sksec->peer_sid != peer_sid) {
    5213                 :            :                 /* Other association peer SIDs are checked to enforce
    5214                 :            :                  * consistency among the peer SIDs.
    5215                 :            :                  */
    5216                 :          0 :                 ad.type = LSM_AUDIT_DATA_NET;
    5217                 :          0 :                 ad.u.net = &net;
    5218                 :          0 :                 ad.u.net->sk = ep->base.sk;
    5219                 :          0 :                 err = avc_has_perm(&selinux_state,
    5220                 :          0 :                                    sksec->peer_sid, peer_sid, sksec->sclass,
    5221                 :            :                                    SCTP_SOCKET__ASSOCIATION, &ad);
    5222         [ #  # ]:          0 :                 if (err)
    5223                 :            :                         return err;
    5224                 :            :         }
    5225                 :            : 
    5226                 :            :         /* Compute the MLS component for the connection and store
    5227                 :            :          * the information in ep. This will be used by SCTP TCP type
    5228                 :            :          * sockets and peeled off connections as they cause a new
    5229                 :            :          * socket to be generated. selinux_sctp_sk_clone() will then
    5230                 :            :          * plug this into the new socket.
    5231                 :            :          */
    5232         [ #  # ]:          0 :         err = selinux_conn_sid(sksec->sid, peer_sid, &conn_sid);
    5233         [ #  # ]:          0 :         if (err)
    5234                 :            :                 return err;
    5235                 :            : 
    5236                 :          0 :         ep->secid = conn_sid;
    5237                 :          0 :         ep->peer_secid = peer_sid;
    5238                 :            : 
    5239                 :            :         /* Set any NetLabel labels including CIPSO/CALIPSO options. */
    5240                 :          0 :         return selinux_netlbl_sctp_assoc_request(ep, skb);
    5241                 :            : }
    5242                 :            : 
    5243                 :            : /* Check if sctp IPv4/IPv6 addresses are valid for binding or connecting
    5244                 :            :  * based on their @optname.
    5245                 :            :  */
    5246                 :          0 : static int selinux_sctp_bind_connect(struct sock *sk, int optname,
    5247                 :            :                                      struct sockaddr *address,
    5248                 :            :                                      int addrlen)
    5249                 :            : {
    5250                 :          0 :         int len, err = 0, walk_size = 0;
    5251                 :          0 :         void *addr_buf;
    5252                 :          0 :         struct sockaddr *addr;
    5253                 :          0 :         struct socket *sock;
    5254                 :            : 
    5255         [ #  # ]:          0 :         if (!selinux_policycap_extsockclass())
    5256                 :            :                 return 0;
    5257                 :            : 
    5258                 :            :         /* Process one or more addresses that may be IPv4 or IPv6 */
    5259                 :          0 :         sock = sk->sk_socket;
    5260                 :          0 :         addr_buf = address;
    5261                 :            : 
    5262         [ #  # ]:          0 :         while (walk_size < addrlen) {
    5263         [ #  # ]:          0 :                 if (walk_size + sizeof(sa_family_t) > addrlen)
    5264                 :            :                         return -EINVAL;
    5265                 :            : 
    5266                 :          0 :                 addr = addr_buf;
    5267      [ #  #  # ]:          0 :                 switch (addr->sa_family) {
    5268                 :            :                 case AF_UNSPEC:
    5269                 :            :                 case AF_INET:
    5270                 :            :                         len = sizeof(struct sockaddr_in);
    5271                 :            :                         break;
    5272                 :          0 :                 case AF_INET6:
    5273                 :          0 :                         len = sizeof(struct sockaddr_in6);
    5274                 :          0 :                         break;
    5275                 :            :                 default:
    5276                 :            :                         return -EINVAL;
    5277                 :            :                 }
    5278                 :            : 
    5279         [ #  # ]:          0 :                 if (walk_size + len > addrlen)
    5280                 :            :                         return -EINVAL;
    5281                 :            : 
    5282                 :          0 :                 err = -EINVAL;
    5283      [ #  #  # ]:          0 :                 switch (optname) {
    5284                 :            :                 /* Bind checks */
    5285                 :          0 :                 case SCTP_PRIMARY_ADDR:
    5286                 :            :                 case SCTP_SET_PEER_PRIMARY_ADDR:
    5287                 :            :                 case SCTP_SOCKOPT_BINDX_ADD:
    5288                 :          0 :                         err = selinux_socket_bind(sock, addr, len);
    5289                 :          0 :                         break;
    5290                 :            :                 /* Connect checks */
    5291                 :          0 :                 case SCTP_SOCKOPT_CONNECTX:
    5292                 :            :                 case SCTP_PARAM_SET_PRIMARY:
    5293                 :            :                 case SCTP_PARAM_ADD_IP:
    5294                 :            :                 case SCTP_SENDMSG_CONNECT:
    5295                 :          0 :                         err = selinux_socket_connect_helper(sock, addr, len);
    5296         [ #  # ]:          0 :                         if (err)
    5297                 :          0 :                                 return err;
    5298                 :            : 
    5299                 :            :                         /* As selinux_sctp_bind_connect() is called by the
    5300                 :            :                          * SCTP protocol layer, the socket is already locked,
    5301                 :            :                          * therefore selinux_netlbl_socket_connect_locked() is
    5302                 :            :                          * is called here. The situations handled are:
    5303                 :            :                          * sctp_connectx(3), sctp_sendmsg(3), sendmsg(2),
    5304                 :            :                          * whenever a new IP address is added or when a new
    5305                 :            :                          * primary address is selected.
    5306                 :            :                          * Note that an SCTP connect(2) call happens before
    5307                 :            :                          * the SCTP protocol layer and is handled via
    5308                 :            :                          * selinux_socket_connect().
    5309                 :            :                          */
    5310                 :          0 :                         err = selinux_netlbl_socket_connect_locked(sk, addr);
    5311                 :          0 :                         break;
    5312                 :            :                 }
    5313                 :            : 
    5314         [ #  # ]:          0 :                 if (err)
    5315                 :          0 :                         return err;
    5316                 :            : 
    5317                 :          0 :                 addr_buf += len;
    5318                 :          0 :                 walk_size += len;
    5319                 :            :         }
    5320                 :            : 
    5321                 :            :         return 0;
    5322                 :            : }
    5323                 :            : 
    5324                 :            : /* Called whenever a new socket is created by accept(2) or sctp_peeloff(3). */
    5325                 :          0 : static void selinux_sctp_sk_clone(struct sctp_endpoint *ep, struct sock *sk,
    5326                 :            :                                   struct sock *newsk)
    5327                 :            : {
    5328                 :          0 :         struct sk_security_struct *sksec = sk->sk_security;
    5329                 :          0 :         struct sk_security_struct *newsksec = newsk->sk_security;
    5330                 :            : 
    5331                 :            :         /* If policy does not support SECCLASS_SCTP_SOCKET then call
    5332                 :            :          * the non-sctp clone version.
    5333                 :            :          */
    5334         [ #  # ]:          0 :         if (!selinux_policycap_extsockclass())
    5335                 :          0 :                 return selinux_sk_clone_security(sk, newsk);
    5336                 :            : 
    5337                 :          0 :         newsksec->sid = ep->secid;
    5338                 :          0 :         newsksec->peer_sid = ep->peer_secid;
    5339                 :          0 :         newsksec->sclass = sksec->sclass;
    5340                 :          0 :         selinux_netlbl_sctp_sk_clone(sk, newsk);
    5341                 :            : }
    5342                 :            : 
    5343                 :          0 : static int selinux_inet_conn_request(struct sock *sk, struct sk_buff *skb,
    5344                 :            :                                      struct request_sock *req)
    5345                 :            : {
    5346                 :          0 :         struct sk_security_struct *sksec = sk->sk_security;
    5347                 :          0 :         int err;
    5348                 :          0 :         u16 family = req->rsk_ops->family;
    5349                 :          0 :         u32 connsid;
    5350                 :          0 :         u32 peersid;
    5351                 :            : 
    5352                 :          0 :         err = selinux_skb_peerlbl_sid(skb, family, &peersid);
    5353         [ #  # ]:          0 :         if (err)
    5354                 :            :                 return err;
    5355         [ #  # ]:          0 :         err = selinux_conn_sid(sksec->sid, peersid, &connsid);
    5356         [ #  # ]:          0 :         if (err)
    5357                 :            :                 return err;
    5358                 :          0 :         req->secid = connsid;
    5359                 :          0 :         req->peer_secid = peersid;
    5360                 :            : 
    5361                 :          0 :         return selinux_netlbl_inet_conn_request(req, family);
    5362                 :            : }
    5363                 :            : 
    5364                 :          0 : static void selinux_inet_csk_clone(struct sock *newsk,
    5365                 :            :                                    const struct request_sock *req)
    5366                 :            : {
    5367                 :          0 :         struct sk_security_struct *newsksec = newsk->sk_security;
    5368                 :            : 
    5369                 :          0 :         newsksec->sid = req->secid;
    5370                 :          0 :         newsksec->peer_sid = req->peer_secid;
    5371                 :            :         /* NOTE: Ideally, we should also get the isec->sid for the
    5372                 :            :            new socket in sync, but we don't have the isec available yet.
    5373                 :            :            So we will wait until sock_graft to do it, by which
    5374                 :            :            time it will have been created and available. */
    5375                 :            : 
    5376                 :            :         /* We don't need to take any sort of lock here as we are the only
    5377                 :            :          * thread with access to newsksec */
    5378                 :          0 :         selinux_netlbl_inet_csk_clone(newsk, req->rsk_ops->family);
    5379                 :          0 : }
    5380                 :            : 
    5381                 :          0 : static void selinux_inet_conn_established(struct sock *sk, struct sk_buff *skb)
    5382                 :            : {
    5383                 :          0 :         u16 family = sk->sk_family;
    5384                 :          0 :         struct sk_security_struct *sksec = sk->sk_security;
    5385                 :            : 
    5386                 :            :         /* handle mapped IPv4 packets arriving via IPv6 sockets */
    5387   [ #  #  #  # ]:          0 :         if (family == PF_INET6 && skb->protocol == htons(ETH_P_IP))
    5388                 :          0 :                 family = PF_INET;
    5389                 :            : 
    5390                 :          0 :         selinux_skb_peerlbl_sid(skb, family, &sksec->peer_sid);
    5391                 :          0 : }
    5392                 :            : 
    5393                 :          0 : static int selinux_secmark_relabel_packet(u32 sid)
    5394                 :            : {
    5395                 :          0 :         const struct task_security_struct *__tsec;
    5396                 :          0 :         u32 tsid;
    5397                 :            : 
    5398                 :          0 :         __tsec = selinux_cred(current_cred());
    5399                 :          0 :         tsid = __tsec->sid;
    5400                 :            : 
    5401                 :          0 :         return avc_has_perm(&selinux_state,
    5402                 :            :                             tsid, sid, SECCLASS_PACKET, PACKET__RELABELTO,
    5403                 :            :                             NULL);
    5404                 :            : }
    5405                 :            : 
    5406                 :          0 : static void selinux_secmark_refcount_inc(void)
    5407                 :            : {
    5408                 :          0 :         atomic_inc(&selinux_secmark_refcount);
    5409                 :          0 : }
    5410                 :            : 
    5411                 :          0 : static void selinux_secmark_refcount_dec(void)
    5412                 :            : {
    5413                 :          0 :         atomic_dec(&selinux_secmark_refcount);
    5414                 :          0 : }
    5415                 :            : 
    5416                 :          0 : static void selinux_req_classify_flow(const struct request_sock *req,
    5417                 :            :                                       struct flowi *fl)
    5418                 :            : {
    5419                 :          0 :         fl->flowi_secid = req->secid;
    5420                 :          0 : }
    5421                 :            : 
    5422                 :          0 : static int selinux_tun_dev_alloc_security(void **security)
    5423                 :            : {
    5424                 :          0 :         struct tun_security_struct *tunsec;
    5425                 :            : 
    5426                 :          0 :         tunsec = kzalloc(sizeof(*tunsec), GFP_KERNEL);
    5427         [ #  # ]:          0 :         if (!tunsec)
    5428                 :            :                 return -ENOMEM;
    5429                 :          0 :         tunsec->sid = current_sid();
    5430                 :            : 
    5431                 :          0 :         *security = tunsec;
    5432                 :          0 :         return 0;
    5433                 :            : }
    5434                 :            : 
    5435                 :          0 : static void selinux_tun_dev_free_security(void *security)
    5436                 :            : {
    5437                 :          0 :         kfree(security);
    5438                 :          0 : }
    5439                 :            : 
    5440                 :          0 : static int selinux_tun_dev_create(void)
    5441                 :            : {
    5442                 :          0 :         u32 sid = current_sid();
    5443                 :            : 
    5444                 :            :         /* we aren't taking into account the "sockcreate" SID since the socket
    5445                 :            :          * that is being created here is not a socket in the traditional sense,
    5446                 :            :          * instead it is a private sock, accessible only to the kernel, and
    5447                 :            :          * representing a wide range of network traffic spanning multiple
    5448                 :            :          * connections unlike traditional sockets - check the TUN driver to
    5449                 :            :          * get a better understanding of why this socket is special */
    5450                 :            : 
    5451                 :          0 :         return avc_has_perm(&selinux_state,
    5452                 :            :                             sid, sid, SECCLASS_TUN_SOCKET, TUN_SOCKET__CREATE,
    5453                 :            :                             NULL);
    5454                 :            : }
    5455                 :            : 
    5456                 :          0 : static int selinux_tun_dev_attach_queue(void *security)
    5457                 :            : {
    5458                 :          0 :         struct tun_security_struct *tunsec = security;
    5459                 :            : 
    5460                 :          0 :         return avc_has_perm(&selinux_state,
    5461                 :            :                             current_sid(), tunsec->sid, SECCLASS_TUN_SOCKET,
    5462                 :            :                             TUN_SOCKET__ATTACH_QUEUE, NULL);
    5463                 :            : }
    5464                 :            : 
    5465                 :          0 : static int selinux_tun_dev_attach(struct sock *sk, void *security)
    5466                 :            : {
    5467                 :          0 :         struct tun_security_struct *tunsec = security;
    5468                 :          0 :         struct sk_security_struct *sksec = sk->sk_security;
    5469                 :            : 
    5470                 :            :         /* we don't currently perform any NetLabel based labeling here and it
    5471                 :            :          * isn't clear that we would want to do so anyway; while we could apply
    5472                 :            :          * labeling without the support of the TUN user the resulting labeled
    5473                 :            :          * traffic from the other end of the connection would almost certainly
    5474                 :            :          * cause confusion to the TUN user that had no idea network labeling
    5475                 :            :          * protocols were being used */
    5476                 :            : 
    5477                 :          0 :         sksec->sid = tunsec->sid;
    5478                 :          0 :         sksec->sclass = SECCLASS_TUN_SOCKET;
    5479                 :            : 
    5480                 :          0 :         return 0;
    5481                 :            : }
    5482                 :            : 
    5483                 :          0 : static int selinux_tun_dev_open(void *security)
    5484                 :            : {
    5485                 :          0 :         struct tun_security_struct *tunsec = security;
    5486                 :          0 :         u32 sid = current_sid();
    5487                 :          0 :         int err;
    5488                 :            : 
    5489                 :          0 :         err = avc_has_perm(&selinux_state,
    5490                 :            :                            sid, tunsec->sid, SECCLASS_TUN_SOCKET,
    5491                 :            :                            TUN_SOCKET__RELABELFROM, NULL);
    5492         [ #  # ]:          0 :         if (err)
    5493                 :            :                 return err;
    5494                 :          0 :         err = avc_has_perm(&selinux_state,
    5495                 :            :                            sid, sid, SECCLASS_TUN_SOCKET,
    5496                 :            :                            TUN_SOCKET__RELABELTO, NULL);
    5497         [ #  # ]:          0 :         if (err)
    5498                 :            :                 return err;
    5499                 :          0 :         tunsec->sid = sid;
    5500                 :            : 
    5501                 :          0 :         return 0;
    5502                 :            : }
    5503                 :            : 
    5504                 :            : #ifdef CONFIG_NETFILTER
    5505                 :            : 
    5506                 :          0 : static unsigned int selinux_ip_forward(struct sk_buff *skb,
    5507                 :            :                                        const struct net_device *indev,
    5508                 :            :                                        u16 family)
    5509                 :            : {
    5510                 :          0 :         int err;
    5511                 :          0 :         char *addrp;
    5512                 :          0 :         u32 peer_sid;
    5513                 :          0 :         struct common_audit_data ad;
    5514                 :          0 :         struct lsm_network_audit net = {0,};
    5515                 :          0 :         u8 secmark_active;
    5516                 :          0 :         u8 netlbl_active;
    5517                 :          0 :         u8 peerlbl_active;
    5518                 :            : 
    5519         [ #  # ]:          0 :         if (!selinux_policycap_netpeer())
    5520                 :            :                 return NF_ACCEPT;
    5521                 :            : 
    5522         [ #  # ]:          0 :         secmark_active = selinux_secmark_enabled();
    5523                 :          0 :         netlbl_active = netlbl_enabled();
    5524         [ #  # ]:          0 :         peerlbl_active = selinux_peerlbl_enabled();
    5525         [ #  # ]:          0 :         if (!secmark_active && !peerlbl_active)
    5526                 :            :                 return NF_ACCEPT;
    5527                 :            : 
    5528         [ #  # ]:          0 :         if (selinux_skb_peerlbl_sid(skb, family, &peer_sid) != 0)
    5529                 :            :                 return NF_DROP;
    5530                 :            : 
    5531                 :          0 :         ad.type = LSM_AUDIT_DATA_NET;
    5532                 :          0 :         ad.u.net = &net;
    5533                 :          0 :         ad.u.net->netif = indev->ifindex;
    5534                 :          0 :         ad.u.net->family = family;
    5535         [ #  # ]:          0 :         if (selinux_parse_skb(skb, &ad, &addrp, 1, NULL) != 0)
    5536                 :            :                 return NF_DROP;
    5537                 :            : 
    5538         [ #  # ]:          0 :         if (peerlbl_active) {
    5539                 :          0 :                 err = selinux_inet_sys_rcv_skb(dev_net(indev), indev->ifindex,
    5540                 :            :                                                addrp, family, peer_sid, &ad);
    5541         [ #  # ]:          0 :                 if (err) {
    5542                 :          0 :                         selinux_netlbl_err(skb, family, err, 1);
    5543                 :          0 :                         return NF_DROP;
    5544                 :            :                 }
    5545                 :            :         }
    5546                 :            : 
    5547         [ #  # ]:          0 :         if (secmark_active)
    5548         [ #  # ]:          0 :                 if (avc_has_perm(&selinux_state,
    5549                 :            :                                  peer_sid, skb->secmark,
    5550                 :            :                                  SECCLASS_PACKET, PACKET__FORWARD_IN, &ad))
    5551                 :            :                         return NF_DROP;
    5552                 :            : 
    5553         [ #  # ]:          0 :         if (netlbl_active)
    5554                 :            :                 /* we do this in the FORWARD path and not the POST_ROUTING
    5555                 :            :                  * path because we want to make sure we apply the necessary
    5556                 :            :                  * labeling before IPsec is applied so we can leverage AH
    5557                 :            :                  * protection */
    5558         [ #  # ]:          0 :                 if (selinux_netlbl_skbuff_setsid(skb, family, peer_sid) != 0)
    5559                 :          0 :                         return NF_DROP;
    5560                 :            : 
    5561                 :            :         return NF_ACCEPT;
    5562                 :            : }
    5563                 :            : 
    5564                 :          0 : static unsigned int selinux_ipv4_forward(void *priv,
    5565                 :            :                                          struct sk_buff *skb,
    5566                 :            :                                          const struct nf_hook_state *state)
    5567                 :            : {
    5568                 :          0 :         return selinux_ip_forward(skb, state->in, PF_INET);
    5569                 :            : }
    5570                 :            : 
    5571                 :            : #if IS_ENABLED(CONFIG_IPV6)
    5572                 :          0 : static unsigned int selinux_ipv6_forward(void *priv,
    5573                 :            :                                          struct sk_buff *skb,
    5574                 :            :                                          const struct nf_hook_state *state)
    5575                 :            : {
    5576                 :          0 :         return selinux_ip_forward(skb, state->in, PF_INET6);
    5577                 :            : }
    5578                 :            : #endif  /* IPV6 */
    5579                 :            : 
    5580                 :          0 : static unsigned int selinux_ip_output(struct sk_buff *skb,
    5581                 :            :                                       u16 family)
    5582                 :            : {
    5583                 :          0 :         struct sock *sk;
    5584                 :          0 :         u32 sid;
    5585                 :            : 
    5586         [ #  # ]:          0 :         if (!netlbl_enabled())
    5587                 :            :                 return NF_ACCEPT;
    5588                 :            : 
    5589                 :            :         /* we do this in the LOCAL_OUT path and not the POST_ROUTING path
    5590                 :            :          * because we want to make sure we apply the necessary labeling
    5591                 :            :          * before IPsec is applied so we can leverage AH protection */
    5592                 :          0 :         sk = skb->sk;
    5593         [ #  # ]:          0 :         if (sk) {
    5594                 :          0 :                 struct sk_security_struct *sksec;
    5595                 :            : 
    5596         [ #  # ]:          0 :                 if (sk_listener(sk))
    5597                 :            :                         /* if the socket is the listening state then this
    5598                 :            :                          * packet is a SYN-ACK packet which means it needs to
    5599                 :            :                          * be labeled based on the connection/request_sock and
    5600                 :            :                          * not the parent socket.  unfortunately, we can't
    5601                 :            :                          * lookup the request_sock yet as it isn't queued on
    5602                 :            :                          * the parent socket until after the SYN-ACK is sent.
    5603                 :            :                          * the "solution" is to simply pass the packet as-is
    5604                 :            :                          * as any IP option based labeling should be copied
    5605                 :            :                          * from the initial connection request (in the IP
    5606                 :            :                          * layer).  it is far from ideal, but until we get a
    5607                 :            :                          * security label in the packet itself this is the
    5608                 :            :                          * best we can do. */
    5609                 :            :                         return NF_ACCEPT;
    5610                 :            : 
    5611                 :            :                 /* standard practice, label using the parent socket */
    5612                 :          0 :                 sksec = sk->sk_security;
    5613                 :          0 :                 sid = sksec->sid;
    5614                 :            :         } else
    5615                 :            :                 sid = SECINITSID_KERNEL;
    5616         [ #  # ]:          0 :         if (selinux_netlbl_skbuff_setsid(skb, family, sid) != 0)
    5617                 :          0 :                 return NF_DROP;
    5618                 :            : 
    5619                 :            :         return NF_ACCEPT;
    5620                 :            : }
    5621                 :            : 
    5622                 :          0 : static unsigned int selinux_ipv4_output(void *priv,
    5623                 :            :                                         struct sk_buff *skb,
    5624                 :            :                                         const struct nf_hook_state *state)
    5625                 :            : {
    5626                 :          0 :         return selinux_ip_output(skb, PF_INET);
    5627                 :            : }
    5628                 :            : 
    5629                 :            : #if IS_ENABLED(CONFIG_IPV6)
    5630                 :          0 : static unsigned int selinux_ipv6_output(void *priv,
    5631                 :            :                                         struct sk_buff *skb,
    5632                 :            :                                         const struct nf_hook_state *state)
    5633                 :            : {
    5634                 :          0 :         return selinux_ip_output(skb, PF_INET6);
    5635                 :            : }
    5636                 :            : #endif  /* IPV6 */
    5637                 :            : 
    5638                 :          0 : static unsigned int selinux_ip_postroute_compat(struct sk_buff *skb,
    5639                 :            :                                                 int ifindex,
    5640                 :            :                                                 u16 family)
    5641                 :            : {
    5642         [ #  # ]:          0 :         struct sock *sk = skb_to_full_sk(skb);
    5643                 :          0 :         struct sk_security_struct *sksec;
    5644                 :          0 :         struct common_audit_data ad;
    5645                 :          0 :         struct lsm_network_audit net = {0,};
    5646                 :          0 :         char *addrp;
    5647                 :          0 :         u8 proto;
    5648                 :            : 
    5649         [ #  # ]:          0 :         if (sk == NULL)
    5650                 :            :                 return NF_ACCEPT;
    5651                 :          0 :         sksec = sk->sk_security;
    5652                 :            : 
    5653                 :          0 :         ad.type = LSM_AUDIT_DATA_NET;
    5654                 :          0 :         ad.u.net = &net;
    5655                 :          0 :         ad.u.net->netif = ifindex;
    5656                 :          0 :         ad.u.net->family = family;
    5657         [ #  # ]:          0 :         if (selinux_parse_skb(skb, &ad, &addrp, 0, &proto))
    5658                 :            :                 return NF_DROP;
    5659                 :            : 
    5660         [ #  # ]:          0 :         if (selinux_secmark_enabled())
    5661         [ #  # ]:          0 :                 if (avc_has_perm(&selinux_state,
    5662                 :            :                                  sksec->sid, skb->secmark,
    5663                 :            :                                  SECCLASS_PACKET, PACKET__SEND, &ad))
    5664                 :            :                         return NF_DROP_ERR(-ECONNREFUSED);
    5665                 :            : 
    5666                 :          0 :         if (selinux_xfrm_postroute_last(sksec->sid, skb, &ad, proto))
    5667                 :            :                 return NF_DROP_ERR(-ECONNREFUSED);
    5668                 :            : 
    5669                 :          0 :         return NF_ACCEPT;
    5670                 :            : }
    5671                 :            : 
    5672                 :          0 : static unsigned int selinux_ip_postroute(struct sk_buff *skb,
    5673                 :            :                                          const struct net_device *outdev,
    5674                 :            :                                          u16 family)
    5675                 :            : {
    5676                 :          0 :         u32 secmark_perm;
    5677                 :          0 :         u32 peer_sid;
    5678                 :          0 :         int ifindex = outdev->ifindex;
    5679                 :          0 :         struct sock *sk;
    5680                 :          0 :         struct common_audit_data ad;
    5681                 :          0 :         struct lsm_network_audit net = {0,};
    5682                 :          0 :         char *addrp;
    5683                 :          0 :         u8 secmark_active;
    5684                 :          0 :         u8 peerlbl_active;
    5685                 :            : 
    5686                 :            :         /* If any sort of compatibility mode is enabled then handoff processing
    5687                 :            :          * to the selinux_ip_postroute_compat() function to deal with the
    5688                 :            :          * special handling.  We do this in an attempt to keep this function
    5689                 :            :          * as fast and as clean as possible. */
    5690         [ #  # ]:          0 :         if (!selinux_policycap_netpeer())
    5691                 :          0 :                 return selinux_ip_postroute_compat(skb, ifindex, family);
    5692                 :            : 
    5693         [ #  # ]:          0 :         secmark_active = selinux_secmark_enabled();
    5694         [ #  # ]:          0 :         peerlbl_active = selinux_peerlbl_enabled();
    5695         [ #  # ]:          0 :         if (!secmark_active && !peerlbl_active)
    5696                 :            :                 return NF_ACCEPT;
    5697                 :            : 
    5698         [ #  # ]:          0 :         sk = skb_to_full_sk(skb);
    5699                 :            : 
    5700                 :            : #ifdef CONFIG_XFRM
    5701                 :            :         /* If skb->dst->xfrm is non-NULL then the packet is undergoing an IPsec
    5702                 :            :          * packet transformation so allow the packet to pass without any checks
    5703                 :            :          * since we'll have another chance to perform access control checks
    5704                 :            :          * when the packet is on it's final way out.
    5705                 :            :          * NOTE: there appear to be some IPv6 multicast cases where skb->dst
    5706                 :            :          *       is NULL, in this case go ahead and apply access control.
    5707                 :            :          * NOTE: if this is a local socket (skb->sk != NULL) that is in the
    5708                 :            :          *       TCP listening state we cannot wait until the XFRM processing
    5709                 :            :          *       is done as we will miss out on the SA label if we do;
    5710                 :            :          *       unfortunately, this means more work, but it is only once per
    5711                 :            :          *       connection. */
    5712   [ #  #  #  #  :          0 :         if (skb_dst(skb) != NULL && skb_dst(skb)->xfrm != NULL &&
                   #  # ]
    5713         [ #  # ]:          0 :             !(sk && sk_listener(sk)))
    5714                 :            :                 return NF_ACCEPT;
    5715                 :            : #endif
    5716                 :            : 
    5717         [ #  # ]:          0 :         if (sk == NULL) {
    5718                 :            :                 /* Without an associated socket the packet is either coming
    5719                 :            :                  * from the kernel or it is being forwarded; check the packet
    5720                 :            :                  * to determine which and if the packet is being forwarded
    5721                 :            :                  * query the packet directly to determine the security label. */
    5722         [ #  # ]:          0 :                 if (skb->skb_iif) {
    5723                 :          0 :                         secmark_perm = PACKET__FORWARD_OUT;
    5724         [ #  # ]:          0 :                         if (selinux_skb_peerlbl_sid(skb, family, &peer_sid))
    5725                 :            :                                 return NF_DROP;
    5726                 :            :                 } else {
    5727                 :          0 :                         secmark_perm = PACKET__SEND;
    5728                 :          0 :                         peer_sid = SECINITSID_KERNEL;
    5729                 :            :                 }
    5730         [ #  # ]:          0 :         } else if (sk_listener(sk)) {
    5731                 :            :                 /* Locally generated packet but the associated socket is in the
    5732                 :            :                  * listening state which means this is a SYN-ACK packet.  In
    5733                 :            :                  * this particular case the correct security label is assigned
    5734                 :            :                  * to the connection/request_sock but unfortunately we can't
    5735                 :            :                  * query the request_sock as it isn't queued on the parent
    5736                 :            :                  * socket until after the SYN-ACK packet is sent; the only
    5737                 :            :                  * viable choice is to regenerate the label like we do in
    5738                 :            :                  * selinux_inet_conn_request().  See also selinux_ip_output()
    5739                 :            :                  * for similar problems. */
    5740                 :          0 :                 u32 skb_sid;
    5741                 :          0 :                 struct sk_security_struct *sksec;
    5742                 :            : 
    5743                 :          0 :                 sksec = sk->sk_security;
    5744         [ #  # ]:          0 :                 if (selinux_skb_peerlbl_sid(skb, family, &skb_sid))
    5745                 :          0 :                         return NF_DROP;
    5746                 :            :                 /* At this point, if the returned skb peerlbl is SECSID_NULL
    5747                 :            :                  * and the packet has been through at least one XFRM
    5748                 :            :                  * transformation then we must be dealing with the "final"
    5749                 :            :                  * form of labeled IPsec packet; since we've already applied
    5750                 :            :                  * all of our access controls on this packet we can safely
    5751                 :            :                  * pass the packet. */
    5752         [ #  # ]:          0 :                 if (skb_sid == SECSID_NULL) {
    5753      [ #  #  # ]:          0 :                         switch (family) {
    5754                 :          0 :                         case PF_INET:
    5755         [ #  # ]:          0 :                                 if (IPCB(skb)->flags & IPSKB_XFRM_TRANSFORMED)
    5756                 :            :                                         return NF_ACCEPT;
    5757                 :            :                                 break;
    5758                 :          0 :                         case PF_INET6:
    5759         [ #  # ]:          0 :                                 if (IP6CB(skb)->flags & IP6SKB_XFRM_TRANSFORMED)
    5760                 :            :                                         return NF_ACCEPT;
    5761                 :            :                                 break;
    5762                 :            :                         default:
    5763                 :            :                                 return NF_DROP_ERR(-ECONNREFUSED);
    5764                 :            :                         }
    5765                 :          0 :                 }
    5766   [ #  #  #  # ]:          0 :                 if (selinux_conn_sid(sksec->sid, skb_sid, &peer_sid))
    5767                 :            :                         return NF_DROP;
    5768                 :          0 :                 secmark_perm = PACKET__SEND;
    5769                 :            :         } else {
    5770                 :            :                 /* Locally generated packet, fetch the security label from the
    5771                 :            :                  * associated socket. */
    5772                 :          0 :                 struct sk_security_struct *sksec = sk->sk_security;
    5773                 :          0 :                 peer_sid = sksec->sid;
    5774                 :          0 :                 secmark_perm = PACKET__SEND;
    5775                 :            :         }
    5776                 :            : 
    5777                 :          0 :         ad.type = LSM_AUDIT_DATA_NET;
    5778                 :          0 :         ad.u.net = &net;
    5779                 :          0 :         ad.u.net->netif = ifindex;
    5780                 :          0 :         ad.u.net->family = family;
    5781         [ #  # ]:          0 :         if (selinux_parse_skb(skb, &ad, &addrp, 0, NULL))
    5782                 :            :                 return NF_DROP;
    5783                 :            : 
    5784         [ #  # ]:          0 :         if (secmark_active)
    5785         [ #  # ]:          0 :                 if (avc_has_perm(&selinux_state,
    5786                 :            :                                  peer_sid, skb->secmark,
    5787                 :            :                                  SECCLASS_PACKET, secmark_perm, &ad))
    5788                 :            :                         return NF_DROP_ERR(-ECONNREFUSED);
    5789                 :            : 
    5790         [ #  # ]:          0 :         if (peerlbl_active) {
    5791                 :          0 :                 u32 if_sid;
    5792                 :          0 :                 u32 node_sid;
    5793                 :            : 
    5794         [ #  # ]:          0 :                 if (sel_netif_sid(dev_net(outdev), ifindex, &if_sid))
    5795                 :          0 :                         return NF_DROP;
    5796         [ #  # ]:          0 :                 if (avc_has_perm(&selinux_state,
    5797                 :            :                                  peer_sid, if_sid,
    5798                 :            :                                  SECCLASS_NETIF, NETIF__EGRESS, &ad))
    5799                 :            :                         return NF_DROP_ERR(-ECONNREFUSED);
    5800                 :            : 
    5801         [ #  # ]:          0 :                 if (sel_netnode_sid(addrp, family, &node_sid))
    5802                 :            :                         return NF_DROP;
    5803         [ #  # ]:          0 :                 if (avc_has_perm(&selinux_state,
    5804                 :            :                                  peer_sid, node_sid,
    5805                 :            :                                  SECCLASS_NODE, NODE__SENDTO, &ad))
    5806                 :            :                         return NF_DROP_ERR(-ECONNREFUSED);
    5807                 :            :         }
    5808                 :            : 
    5809                 :            :         return NF_ACCEPT;
    5810                 :            : }
    5811                 :            : 
    5812                 :          0 : static unsigned int selinux_ipv4_postroute(void *priv,
    5813                 :            :                                            struct sk_buff *skb,
    5814                 :            :                                            const struct nf_hook_state *state)
    5815                 :            : {
    5816                 :          0 :         return selinux_ip_postroute(skb, state->out, PF_INET);
    5817                 :            : }
    5818                 :            : 
    5819                 :            : #if IS_ENABLED(CONFIG_IPV6)
    5820                 :          0 : static unsigned int selinux_ipv6_postroute(void *priv,
    5821                 :            :                                            struct sk_buff *skb,
    5822                 :            :                                            const struct nf_hook_state *state)
    5823                 :            : {
    5824                 :          0 :         return selinux_ip_postroute(skb, state->out, PF_INET6);
    5825                 :            : }
    5826                 :            : #endif  /* IPV6 */
    5827                 :            : 
    5828                 :            : #endif  /* CONFIG_NETFILTER */
    5829                 :            : 
    5830                 :      33546 : static int selinux_netlink_send(struct sock *sk, struct sk_buff *skb)
    5831                 :            : {
    5832                 :      33546 :         int err = 0;
    5833                 :      33546 :         u32 perm;
    5834                 :      33546 :         struct nlmsghdr *nlh;
    5835                 :      33546 :         struct sk_security_struct *sksec = sk->sk_security;
    5836                 :            : 
    5837         [ -  + ]:      33546 :         if (skb->len < NLMSG_HDRLEN) {
    5838                 :          0 :                 err = -EINVAL;
    5839                 :          0 :                 goto out;
    5840                 :            :         }
    5841                 :      33546 :         nlh = nlmsg_hdr(skb);
    5842                 :            : 
    5843                 :      33546 :         err = selinux_nlmsg_lookup(sksec->sclass, nlh->nlmsg_type, &perm);
    5844         [ +  + ]:      33546 :         if (err) {
    5845         [ -  + ]:      32436 :                 if (err == -EINVAL) {
    5846         [ #  # ]:          0 :                         pr_warn_ratelimited("SELinux: unrecognized netlink"
    5847                 :            :                                " message: protocol=%hu nlmsg_type=%hu sclass=%s"
    5848                 :            :                                " pid=%d comm=%s\n",
    5849                 :            :                                sk->sk_protocol, nlh->nlmsg_type,
    5850                 :            :                                secclass_map[sksec->sclass - 1].name,
    5851                 :            :                                task_pid_nr(current), current->comm);
    5852   [ #  #  #  # ]:          0 :                         if (!enforcing_enabled(&selinux_state) ||
    5853                 :          0 :                             security_get_allow_unknown(&selinux_state))
    5854                 :            :                                 err = 0;
    5855                 :            :                 }
    5856                 :            : 
    5857                 :            :                 /* Ignore */
    5858         [ +  - ]:      32436 :                 if (err == -ENOENT)
    5859                 :      32436 :                         err = 0;
    5860                 :      32436 :                 goto out;
    5861                 :            :         }
    5862                 :            : 
    5863                 :       1110 :         err = sock_has_perm(sk, perm);
    5864                 :      33546 : out:
    5865                 :      33546 :         return err;
    5866                 :            : }
    5867                 :            : 
    5868                 :          0 : static void ipc_init_security(struct ipc_security_struct *isec, u16 sclass)
    5869                 :            : {
    5870                 :          0 :         isec->sclass = sclass;
    5871                 :          0 :         isec->sid = current_sid();
    5872                 :            : }
    5873                 :            : 
    5874                 :          0 : static int ipc_has_perm(struct kern_ipc_perm *ipc_perms,
    5875                 :            :                         u32 perms)
    5876                 :            : {
    5877                 :          0 :         struct ipc_security_struct *isec;
    5878                 :          0 :         struct common_audit_data ad;
    5879                 :          0 :         u32 sid = current_sid();
    5880                 :            : 
    5881                 :          0 :         isec = selinux_ipc(ipc_perms);
    5882                 :            : 
    5883                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    5884                 :          0 :         ad.u.ipc_id = ipc_perms->key;
    5885                 :            : 
    5886                 :          0 :         return avc_has_perm(&selinux_state,
    5887                 :          0 :                             sid, isec->sid, isec->sclass, perms, &ad);
    5888                 :            : }
    5889                 :            : 
    5890                 :          0 : static int selinux_msg_msg_alloc_security(struct msg_msg *msg)
    5891                 :            : {
    5892                 :          0 :         struct msg_security_struct *msec;
    5893                 :            : 
    5894                 :          0 :         msec = selinux_msg_msg(msg);
    5895                 :          0 :         msec->sid = SECINITSID_UNLABELED;
    5896                 :            : 
    5897                 :          0 :         return 0;
    5898                 :            : }
    5899                 :            : 
    5900                 :            : /* message queue security operations */
    5901                 :          0 : static int selinux_msg_queue_alloc_security(struct kern_ipc_perm *msq)
    5902                 :            : {
    5903                 :          0 :         struct ipc_security_struct *isec;
    5904                 :          0 :         struct common_audit_data ad;
    5905                 :          0 :         u32 sid = current_sid();
    5906                 :          0 :         int rc;
    5907                 :            : 
    5908                 :          0 :         isec = selinux_ipc(msq);
    5909                 :          0 :         ipc_init_security(isec, SECCLASS_MSGQ);
    5910                 :            : 
    5911                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    5912                 :          0 :         ad.u.ipc_id = msq->key;
    5913                 :            : 
    5914                 :          0 :         rc = avc_has_perm(&selinux_state,
    5915                 :            :                           sid, isec->sid, SECCLASS_MSGQ,
    5916                 :            :                           MSGQ__CREATE, &ad);
    5917                 :          0 :         return rc;
    5918                 :            : }
    5919                 :            : 
    5920                 :          0 : static int selinux_msg_queue_associate(struct kern_ipc_perm *msq, int msqflg)
    5921                 :            : {
    5922                 :          0 :         struct ipc_security_struct *isec;
    5923                 :          0 :         struct common_audit_data ad;
    5924                 :          0 :         u32 sid = current_sid();
    5925                 :            : 
    5926                 :          0 :         isec = selinux_ipc(msq);
    5927                 :            : 
    5928                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    5929                 :          0 :         ad.u.ipc_id = msq->key;
    5930                 :            : 
    5931                 :          0 :         return avc_has_perm(&selinux_state,
    5932                 :            :                             sid, isec->sid, SECCLASS_MSGQ,
    5933                 :            :                             MSGQ__ASSOCIATE, &ad);
    5934                 :            : }
    5935                 :            : 
    5936                 :          0 : static int selinux_msg_queue_msgctl(struct kern_ipc_perm *msq, int cmd)
    5937                 :            : {
    5938                 :          0 :         int err;
    5939                 :          0 :         int perms;
    5940                 :            : 
    5941   [ #  #  #  #  :          0 :         switch (cmd) {
                      # ]
    5942                 :            :         case IPC_INFO:
    5943                 :            :         case MSG_INFO:
    5944                 :            :                 /* No specific object, just general system-wide information. */
    5945                 :          0 :                 return avc_has_perm(&selinux_state,
    5946                 :            :                                     current_sid(), SECINITSID_KERNEL,
    5947                 :            :                                     SECCLASS_SYSTEM, SYSTEM__IPC_INFO, NULL);
    5948                 :            :         case IPC_STAT:
    5949                 :            :         case MSG_STAT:
    5950                 :            :         case MSG_STAT_ANY:
    5951                 :            :                 perms = MSGQ__GETATTR | MSGQ__ASSOCIATE;
    5952                 :            :                 break;
    5953                 :          0 :         case IPC_SET:
    5954                 :          0 :                 perms = MSGQ__SETATTR;
    5955                 :          0 :                 break;
    5956                 :          0 :         case IPC_RMID:
    5957                 :          0 :                 perms = MSGQ__DESTROY;
    5958                 :          0 :                 break;
    5959                 :            :         default:
    5960                 :            :                 return 0;
    5961                 :            :         }
    5962                 :            : 
    5963                 :          0 :         err = ipc_has_perm(msq, perms);
    5964                 :          0 :         return err;
    5965                 :            : }
    5966                 :            : 
    5967                 :          0 : static int selinux_msg_queue_msgsnd(struct kern_ipc_perm *msq, struct msg_msg *msg, int msqflg)
    5968                 :            : {
    5969                 :          0 :         struct ipc_security_struct *isec;
    5970                 :          0 :         struct msg_security_struct *msec;
    5971                 :          0 :         struct common_audit_data ad;
    5972         [ #  # ]:          0 :         u32 sid = current_sid();
    5973                 :          0 :         int rc;
    5974                 :            : 
    5975         [ #  # ]:          0 :         isec = selinux_ipc(msq);
    5976         [ #  # ]:          0 :         msec = selinux_msg_msg(msg);
    5977                 :            : 
    5978                 :            :         /*
    5979                 :            :          * First time through, need to assign label to the message
    5980                 :            :          */
    5981         [ #  # ]:          0 :         if (msec->sid == SECINITSID_UNLABELED) {
    5982                 :            :                 /*
    5983                 :            :                  * Compute new sid based on current process and
    5984                 :            :                  * message queue this message will be stored in
    5985                 :            :                  */
    5986                 :          0 :                 rc = security_transition_sid(&selinux_state, sid, isec->sid,
    5987                 :            :                                              SECCLASS_MSG, NULL, &msec->sid);
    5988         [ #  # ]:          0 :                 if (rc)
    5989                 :            :                         return rc;
    5990                 :            :         }
    5991                 :            : 
    5992                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    5993                 :          0 :         ad.u.ipc_id = msq->key;
    5994                 :            : 
    5995                 :            :         /* Can this process write to the queue? */
    5996                 :          0 :         rc = avc_has_perm(&selinux_state,
    5997                 :            :                           sid, isec->sid, SECCLASS_MSGQ,
    5998                 :            :                           MSGQ__WRITE, &ad);
    5999         [ #  # ]:          0 :         if (!rc)
    6000                 :            :                 /* Can this process send the message */
    6001                 :          0 :                 rc = avc_has_perm(&selinux_state,
    6002                 :            :                                   sid, msec->sid, SECCLASS_MSG,
    6003                 :            :                                   MSG__SEND, &ad);
    6004         [ #  # ]:          0 :         if (!rc)
    6005                 :            :                 /* Can the message be put in the queue? */
    6006                 :          0 :                 rc = avc_has_perm(&selinux_state,
    6007                 :            :                                   msec->sid, isec->sid, SECCLASS_MSGQ,
    6008                 :            :                                   MSGQ__ENQUEUE, &ad);
    6009                 :            : 
    6010                 :            :         return rc;
    6011                 :            : }
    6012                 :            : 
    6013                 :          0 : static int selinux_msg_queue_msgrcv(struct kern_ipc_perm *msq, struct msg_msg *msg,
    6014                 :            :                                     struct task_struct *target,
    6015                 :            :                                     long type, int mode)
    6016                 :            : {
    6017                 :          0 :         struct ipc_security_struct *isec;
    6018                 :          0 :         struct msg_security_struct *msec;
    6019                 :          0 :         struct common_audit_data ad;
    6020                 :          0 :         u32 sid = task_sid(target);
    6021                 :          0 :         int rc;
    6022                 :            : 
    6023                 :          0 :         isec = selinux_ipc(msq);
    6024                 :          0 :         msec = selinux_msg_msg(msg);
    6025                 :            : 
    6026                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    6027                 :          0 :         ad.u.ipc_id = msq->key;
    6028                 :            : 
    6029                 :          0 :         rc = avc_has_perm(&selinux_state,
    6030                 :            :                           sid, isec->sid,
    6031                 :            :                           SECCLASS_MSGQ, MSGQ__READ, &ad);
    6032         [ #  # ]:          0 :         if (!rc)
    6033                 :          0 :                 rc = avc_has_perm(&selinux_state,
    6034                 :            :                                   sid, msec->sid,
    6035                 :            :                                   SECCLASS_MSG, MSG__RECEIVE, &ad);
    6036                 :          0 :         return rc;
    6037                 :            : }
    6038                 :            : 
    6039                 :            : /* Shared Memory security operations */
    6040                 :          0 : static int selinux_shm_alloc_security(struct kern_ipc_perm *shp)
    6041                 :            : {
    6042                 :          0 :         struct ipc_security_struct *isec;
    6043                 :          0 :         struct common_audit_data ad;
    6044                 :          0 :         u32 sid = current_sid();
    6045                 :          0 :         int rc;
    6046                 :            : 
    6047                 :          0 :         isec = selinux_ipc(shp);
    6048                 :          0 :         ipc_init_security(isec, SECCLASS_SHM);
    6049                 :            : 
    6050                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    6051                 :          0 :         ad.u.ipc_id = shp->key;
    6052                 :            : 
    6053                 :          0 :         rc = avc_has_perm(&selinux_state,
    6054                 :            :                           sid, isec->sid, SECCLASS_SHM,
    6055                 :            :                           SHM__CREATE, &ad);
    6056                 :          0 :         return rc;
    6057                 :            : }
    6058                 :            : 
    6059                 :          0 : static int selinux_shm_associate(struct kern_ipc_perm *shp, int shmflg)
    6060                 :            : {
    6061                 :          0 :         struct ipc_security_struct *isec;
    6062                 :          0 :         struct common_audit_data ad;
    6063                 :          0 :         u32 sid = current_sid();
    6064                 :            : 
    6065                 :          0 :         isec = selinux_ipc(shp);
    6066                 :            : 
    6067                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    6068                 :          0 :         ad.u.ipc_id = shp->key;
    6069                 :            : 
    6070                 :          0 :         return avc_has_perm(&selinux_state,
    6071                 :            :                             sid, isec->sid, SECCLASS_SHM,
    6072                 :            :                             SHM__ASSOCIATE, &ad);
    6073                 :            : }
    6074                 :            : 
    6075                 :            : /* Note, at this point, shp is locked down */
    6076                 :          0 : static int selinux_shm_shmctl(struct kern_ipc_perm *shp, int cmd)
    6077                 :            : {
    6078                 :          0 :         int perms;
    6079                 :          0 :         int err;
    6080                 :            : 
    6081   [ #  #  #  #  :          0 :         switch (cmd) {
                   #  # ]
    6082                 :            :         case IPC_INFO:
    6083                 :            :         case SHM_INFO:
    6084                 :            :                 /* No specific object, just general system-wide information. */
    6085                 :          0 :                 return avc_has_perm(&selinux_state,
    6086                 :            :                                     current_sid(), SECINITSID_KERNEL,
    6087                 :            :                                     SECCLASS_SYSTEM, SYSTEM__IPC_INFO, NULL);
    6088                 :            :         case IPC_STAT:
    6089                 :            :         case SHM_STAT:
    6090                 :            :         case SHM_STAT_ANY:
    6091                 :            :                 perms = SHM__GETATTR | SHM__ASSOCIATE;
    6092                 :            :                 break;
    6093                 :          0 :         case IPC_SET:
    6094                 :          0 :                 perms = SHM__SETATTR;
    6095                 :          0 :                 break;
    6096                 :          0 :         case SHM_LOCK:
    6097                 :            :         case SHM_UNLOCK:
    6098                 :          0 :                 perms = SHM__LOCK;
    6099                 :          0 :                 break;
    6100                 :          0 :         case IPC_RMID:
    6101                 :          0 :                 perms = SHM__DESTROY;
    6102                 :          0 :                 break;
    6103                 :            :         default:
    6104                 :            :                 return 0;
    6105                 :            :         }
    6106                 :            : 
    6107                 :          0 :         err = ipc_has_perm(shp, perms);
    6108                 :          0 :         return err;
    6109                 :            : }
    6110                 :            : 
    6111                 :          0 : static int selinux_shm_shmat(struct kern_ipc_perm *shp,
    6112                 :            :                              char __user *shmaddr, int shmflg)
    6113                 :            : {
    6114                 :          0 :         u32 perms;
    6115                 :            : 
    6116         [ #  # ]:          0 :         if (shmflg & SHM_RDONLY)
    6117                 :            :                 perms = SHM__READ;
    6118                 :            :         else
    6119                 :          0 :                 perms = SHM__READ | SHM__WRITE;
    6120                 :            : 
    6121                 :          0 :         return ipc_has_perm(shp, perms);
    6122                 :            : }
    6123                 :            : 
    6124                 :            : /* Semaphore security operations */
    6125                 :          0 : static int selinux_sem_alloc_security(struct kern_ipc_perm *sma)
    6126                 :            : {
    6127                 :          0 :         struct ipc_security_struct *isec;
    6128                 :          0 :         struct common_audit_data ad;
    6129                 :          0 :         u32 sid = current_sid();
    6130                 :          0 :         int rc;
    6131                 :            : 
    6132                 :          0 :         isec = selinux_ipc(sma);
    6133                 :          0 :         ipc_init_security(isec, SECCLASS_SEM);
    6134                 :            : 
    6135                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    6136                 :          0 :         ad.u.ipc_id = sma->key;
    6137                 :            : 
    6138                 :          0 :         rc = avc_has_perm(&selinux_state,
    6139                 :            :                           sid, isec->sid, SECCLASS_SEM,
    6140                 :            :                           SEM__CREATE, &ad);
    6141                 :          0 :         return rc;
    6142                 :            : }
    6143                 :            : 
    6144                 :          0 : static int selinux_sem_associate(struct kern_ipc_perm *sma, int semflg)
    6145                 :            : {
    6146                 :          0 :         struct ipc_security_struct *isec;
    6147                 :          0 :         struct common_audit_data ad;
    6148                 :          0 :         u32 sid = current_sid();
    6149                 :            : 
    6150                 :          0 :         isec = selinux_ipc(sma);
    6151                 :            : 
    6152                 :          0 :         ad.type = LSM_AUDIT_DATA_IPC;
    6153                 :          0 :         ad.u.ipc_id = sma->key;
    6154                 :            : 
    6155                 :          0 :         return avc_has_perm(&selinux_state,
    6156                 :            :                             sid, isec->sid, SECCLASS_SEM,
    6157                 :            :                             SEM__ASSOCIATE, &ad);
    6158                 :            : }
    6159                 :            : 
    6160                 :            : /* Note, at this point, sma is locked down */
    6161                 :          0 : static int selinux_sem_semctl(struct kern_ipc_perm *sma, int cmd)
    6162                 :            : {
    6163                 :          0 :         int err;
    6164                 :          0 :         u32 perms;
    6165                 :            : 
    6166   [ #  #  #  #  :          0 :         switch (cmd) {
             #  #  #  # ]
    6167                 :            :         case IPC_INFO:
    6168                 :            :         case SEM_INFO:
    6169                 :            :                 /* No specific object, just general system-wide information. */
    6170                 :          0 :                 return avc_has_perm(&selinux_state,
    6171                 :            :                                     current_sid(), SECINITSID_KERNEL,
    6172                 :            :                                     SECCLASS_SYSTEM, SYSTEM__IPC_INFO, NULL);
    6173                 :            :         case GETPID:
    6174                 :            :         case GETNCNT:
    6175                 :            :         case GETZCNT:
    6176                 :            :                 perms = SEM__GETATTR;
    6177                 :            :                 break;
    6178                 :          0 :         case GETVAL:
    6179                 :            :         case GETALL:
    6180                 :          0 :                 perms = SEM__READ;
    6181                 :          0 :                 break;
    6182                 :          0 :         case SETVAL:
    6183                 :            :         case SETALL:
    6184                 :          0 :                 perms = SEM__WRITE;
    6185                 :          0 :                 break;
    6186                 :          0 :         case IPC_RMID:
    6187                 :          0 :                 perms = SEM__DESTROY;
    6188                 :          0 :                 break;
    6189                 :          0 :         case IPC_SET:
    6190                 :          0 :                 perms = SEM__SETATTR;
    6191                 :          0 :                 break;
    6192                 :          0 :         case IPC_STAT:
    6193                 :            :         case SEM_STAT:
    6194                 :            :         case SEM_STAT_ANY:
    6195                 :          0 :                 perms = SEM__GETATTR | SEM__ASSOCIATE;
    6196                 :          0 :                 break;
    6197                 :            :         default:
    6198                 :            :                 return 0;
    6199                 :            :         }
    6200                 :            : 
    6201                 :          0 :         err = ipc_has_perm(sma, perms);
    6202                 :          0 :         return err;
    6203                 :            : }
    6204                 :            : 
    6205                 :          0 : static int selinux_sem_semop(struct kern_ipc_perm *sma,
    6206                 :            :                              struct sembuf *sops, unsigned nsops, int alter)
    6207                 :            : {
    6208                 :          0 :         u32 perms;
    6209                 :            : 
    6210         [ #  # ]:          0 :         if (alter)
    6211                 :            :                 perms = SEM__READ | SEM__WRITE;
    6212                 :            :         else
    6213                 :          0 :                 perms = SEM__READ;
    6214                 :            : 
    6215                 :          0 :         return ipc_has_perm(sma, perms);
    6216                 :            : }
    6217                 :            : 
    6218                 :          0 : static int selinux_ipc_permission(struct kern_ipc_perm *ipcp, short flag)
    6219                 :            : {
    6220                 :          0 :         u32 av = 0;
    6221                 :            : 
    6222                 :          0 :         av = 0;
    6223         [ #  # ]:          0 :         if (flag & S_IRUGO)
    6224                 :          0 :                 av |= IPC__UNIX_READ;
    6225         [ #  # ]:          0 :         if (flag & S_IWUGO)
    6226                 :          0 :                 av |= IPC__UNIX_WRITE;
    6227                 :            : 
    6228         [ #  # ]:          0 :         if (av == 0)
    6229                 :            :                 return 0;
    6230                 :            : 
    6231                 :          0 :         return ipc_has_perm(ipcp, av);
    6232                 :            : }
    6233                 :            : 
    6234                 :          0 : static void selinux_ipc_getsecid(struct kern_ipc_perm *ipcp, u32 *secid)
    6235                 :            : {
    6236                 :          0 :         struct ipc_security_struct *isec = selinux_ipc(ipcp);
    6237                 :          0 :         *secid = isec->sid;
    6238                 :          0 : }
    6239                 :            : 
    6240                 :     616889 : static void selinux_d_instantiate(struct dentry *dentry, struct inode *inode)
    6241                 :            : {
    6242         [ +  - ]:     616889 :         if (inode)
    6243                 :     616889 :                 inode_doinit_with_dentry(inode, dentry);
    6244                 :     616889 : }
    6245                 :            : 
    6246                 :        150 : static int selinux_getprocattr(struct task_struct *p,
    6247                 :            :                                char *name, char **value)
    6248                 :            : {
    6249                 :        150 :         const struct task_security_struct *__tsec;
    6250                 :        150 :         u32 sid;
    6251                 :        150 :         int error;
    6252                 :        150 :         unsigned len;
    6253                 :            : 
    6254                 :        150 :         rcu_read_lock();
    6255         [ +  + ]:        150 :         __tsec = selinux_cred(__task_cred(p));
    6256                 :            : 
    6257         [ +  + ]:        150 :         if (current != p) {
    6258                 :         90 :                 error = avc_has_perm(&selinux_state,
    6259                 :            :                                      current_sid(), __tsec->sid,
    6260                 :            :                                      SECCLASS_PROCESS, PROCESS__GETATTR, NULL);
    6261         [ -  + ]:         90 :                 if (error)
    6262                 :          0 :                         goto bad;
    6263                 :            :         }
    6264                 :            : 
    6265         [ +  - ]:        150 :         if (!strcmp(name, "current"))
    6266                 :        150 :                 sid = __tsec->sid;
    6267         [ #  # ]:          0 :         else if (!strcmp(name, "prev"))
    6268                 :          0 :                 sid = __tsec->osid;
    6269         [ #  # ]:          0 :         else if (!strcmp(name, "exec"))
    6270                 :          0 :                 sid = __tsec->exec_sid;
    6271         [ #  # ]:          0 :         else if (!strcmp(name, "fscreate"))
    6272                 :          0 :                 sid = __tsec->create_sid;
    6273         [ #  # ]:          0 :         else if (!strcmp(name, "keycreate"))
    6274                 :          0 :                 sid = __tsec->keycreate_sid;
    6275         [ #  # ]:          0 :         else if (!strcmp(name, "sockcreate"))
    6276                 :          0 :                 sid = __tsec->sockcreate_sid;
    6277                 :            :         else {
    6278                 :          0 :                 error = -EINVAL;
    6279                 :          0 :                 goto bad;
    6280                 :            :         }
    6281                 :        150 :         rcu_read_unlock();
    6282                 :            : 
    6283         [ +  - ]:        150 :         if (!sid)
    6284                 :            :                 return 0;
    6285                 :            : 
    6286                 :        150 :         error = security_sid_to_context(&selinux_state, sid, value, &len);
    6287         [ +  - ]:        150 :         if (error)
    6288                 :            :                 return error;
    6289                 :        150 :         return len;
    6290                 :            : 
    6291                 :          0 : bad:
    6292                 :          0 :         rcu_read_unlock();
    6293                 :          0 :         return error;
    6294                 :            : }
    6295                 :            : 
    6296                 :          0 : static int selinux_setprocattr(const char *name, void *value, size_t size)
    6297                 :            : {
    6298                 :          0 :         struct task_security_struct *tsec;
    6299                 :          0 :         struct cred *new;
    6300         [ #  # ]:          0 :         u32 mysid = current_sid(), sid = 0, ptsid;
    6301                 :          0 :         int error;
    6302                 :          0 :         char *str = value;
    6303                 :            : 
    6304                 :            :         /*
    6305                 :            :          * Basic control over ability to set these attributes at all.
    6306                 :            :          */
    6307         [ #  # ]:          0 :         if (!strcmp(name, "exec"))
    6308                 :          0 :                 error = avc_has_perm(&selinux_state,
    6309                 :            :                                      mysid, mysid, SECCLASS_PROCESS,
    6310                 :            :                                      PROCESS__SETEXEC, NULL);
    6311         [ #  # ]:          0 :         else if (!strcmp(name, "fscreate"))
    6312                 :          0 :                 error = avc_has_perm(&selinux_state,
    6313                 :            :                                      mysid, mysid, SECCLASS_PROCESS,
    6314                 :            :                                      PROCESS__SETFSCREATE, NULL);
    6315         [ #  # ]:          0 :         else if (!strcmp(name, "keycreate"))
    6316                 :          0 :                 error = avc_has_perm(&selinux_state,
    6317                 :            :                                      mysid, mysid, SECCLASS_PROCESS,
    6318                 :            :                                      PROCESS__SETKEYCREATE, NULL);
    6319         [ #  # ]:          0 :         else if (!strcmp(name, "sockcreate"))
    6320                 :          0 :                 error = avc_has_perm(&selinux_state,
    6321                 :            :                                      mysid, mysid, SECCLASS_PROCESS,
    6322                 :            :                                      PROCESS__SETSOCKCREATE, NULL);
    6323         [ #  # ]:          0 :         else if (!strcmp(name, "current"))
    6324                 :          0 :                 error = avc_has_perm(&selinux_state,
    6325                 :            :                                      mysid, mysid, SECCLASS_PROCESS,
    6326                 :            :                                      PROCESS__SETCURRENT, NULL);
    6327                 :            :         else
    6328                 :            :                 error = -EINVAL;
    6329         [ #  # ]:          0 :         if (error)
    6330                 :          0 :                 return error;
    6331                 :            : 
    6332                 :            :         /* Obtain a SID for the context, if one was specified. */
    6333   [ #  #  #  #  :          0 :         if (size && str[0] && str[0] != '\n') {
                   #  # ]
    6334         [ #  # ]:          0 :                 if (str[size-1] == '\n') {
    6335                 :          0 :                         str[size-1] = 0;
    6336                 :          0 :                         size--;
    6337                 :            :                 }
    6338                 :          0 :                 error = security_context_to_sid(&selinux_state, value, size,
    6339                 :            :                                                 &sid, GFP_KERNEL);
    6340   [ #  #  #  # ]:          0 :                 if (error == -EINVAL && !strcmp(name, "fscreate")) {
    6341         [ #  # ]:          0 :                         if (!has_cap_mac_admin(true)) {
    6342                 :          0 :                                 struct audit_buffer *ab;
    6343                 :          0 :                                 size_t audit_size;
    6344                 :            : 
    6345                 :            :                                 /* We strip a nul only if it is at the end, otherwise the
    6346                 :            :                                  * context contains a nul and we should audit that */
    6347         [ #  # ]:          0 :                                 if (str[size - 1] == '\0')
    6348                 :          0 :                                         audit_size = size - 1;
    6349                 :            :                                 else
    6350                 :            :                                         audit_size = size;
    6351                 :          0 :                                 ab = audit_log_start(audit_context(),
    6352                 :            :                                                      GFP_ATOMIC,
    6353                 :            :                                                      AUDIT_SELINUX_ERR);
    6354                 :          0 :                                 audit_log_format(ab, "op=fscreate invalid_context=");
    6355                 :          0 :                                 audit_log_n_untrustedstring(ab, value, audit_size);
    6356                 :          0 :                                 audit_log_end(ab);
    6357                 :            : 
    6358                 :          0 :                                 return error;
    6359                 :            :                         }
    6360                 :          0 :                         error = security_context_to_sid_force(
    6361                 :            :                                                       &selinux_state,
    6362                 :            :                                                       value, size, &sid);
    6363                 :            :                 }
    6364         [ #  # ]:          0 :                 if (error)
    6365                 :            :                         return error;
    6366                 :            :         }
    6367                 :            : 
    6368                 :          0 :         new = prepare_creds();
    6369         [ #  # ]:          0 :         if (!new)
    6370                 :            :                 return -ENOMEM;
    6371                 :            : 
    6372                 :            :         /* Permission checking based on the specified context is
    6373                 :            :            performed during the actual operation (execve,
    6374                 :            :            open/mkdir/...), when we know the full context of the
    6375                 :            :            operation.  See selinux_bprm_set_creds for the execve
    6376                 :            :            checks and may_create for the file creation checks. The
    6377                 :            :            operation will then fail if the context is not permitted. */
    6378         [ #  # ]:          0 :         tsec = selinux_cred(new);
    6379         [ #  # ]:          0 :         if (!strcmp(name, "exec")) {
    6380                 :          0 :                 tsec->exec_sid = sid;
    6381         [ #  # ]:          0 :         } else if (!strcmp(name, "fscreate")) {
    6382                 :          0 :                 tsec->create_sid = sid;
    6383         [ #  # ]:          0 :         } else if (!strcmp(name, "keycreate")) {
    6384         [ #  # ]:          0 :                 if (sid) {
    6385                 :          0 :                         error = avc_has_perm(&selinux_state, mysid, sid,
    6386                 :            :                                              SECCLASS_KEY, KEY__CREATE, NULL);
    6387         [ #  # ]:          0 :                         if (error)
    6388                 :          0 :                                 goto abort_change;
    6389                 :            :                 }
    6390                 :          0 :                 tsec->keycreate_sid = sid;
    6391         [ #  # ]:          0 :         } else if (!strcmp(name, "sockcreate")) {
    6392                 :          0 :                 tsec->sockcreate_sid = sid;
    6393         [ #  # ]:          0 :         } else if (!strcmp(name, "current")) {
    6394                 :          0 :                 error = -EINVAL;
    6395         [ #  # ]:          0 :                 if (sid == 0)
    6396                 :          0 :                         goto abort_change;
    6397                 :            : 
    6398                 :            :                 /* Only allow single threaded processes to change context */
    6399                 :          0 :                 error = -EPERM;
    6400         [ #  # ]:          0 :                 if (!current_is_single_threaded()) {
    6401                 :          0 :                         error = security_bounded_transition(&selinux_state,
    6402                 :            :                                                             tsec->sid, sid);
    6403         [ #  # ]:          0 :                         if (error)
    6404                 :          0 :                                 goto abort_change;
    6405                 :            :                 }
    6406                 :            : 
    6407                 :            :                 /* Check permissions for the transition. */
    6408                 :          0 :                 error = avc_has_perm(&selinux_state,
    6409                 :            :                                      tsec->sid, sid, SECCLASS_PROCESS,
    6410                 :            :                                      PROCESS__DYNTRANSITION, NULL);
    6411         [ #  # ]:          0 :                 if (error)
    6412                 :          0 :                         goto abort_change;
    6413                 :            : 
    6414                 :            :                 /* Check for ptracing, and update the task SID if ok.
    6415                 :            :                    Otherwise, leave SID unchanged and fail. */
    6416                 :          0 :                 ptsid = ptrace_parent_sid();
    6417         [ #  # ]:          0 :                 if (ptsid != 0) {
    6418                 :          0 :                         error = avc_has_perm(&selinux_state,
    6419                 :            :                                              ptsid, sid, SECCLASS_PROCESS,
    6420                 :            :                                              PROCESS__PTRACE, NULL);
    6421         [ #  # ]:          0 :                         if (error)
    6422                 :          0 :                                 goto abort_change;
    6423                 :            :                 }
    6424                 :            : 
    6425                 :          0 :                 tsec->sid = sid;
    6426                 :            :         } else {
    6427                 :          0 :                 error = -EINVAL;
    6428                 :          0 :                 goto abort_change;
    6429                 :            :         }
    6430                 :            : 
    6431                 :          0 :         commit_creds(new);
    6432                 :          0 :         return size;
    6433                 :            : 
    6434                 :          0 : abort_change:
    6435                 :          0 :         abort_creds(new);
    6436                 :          0 :         return error;
    6437                 :            : }
    6438                 :            : 
    6439                 :          0 : static int selinux_ismaclabel(const char *name)
    6440                 :            : {
    6441                 :          0 :         return (strcmp(name, XATTR_SELINUX_SUFFIX) == 0);
    6442                 :            : }
    6443                 :            : 
    6444                 :       5536 : static int selinux_secid_to_secctx(u32 secid, char **secdata, u32 *seclen)
    6445                 :            : {
    6446                 :       5536 :         return security_sid_to_context(&selinux_state, secid,
    6447                 :            :                                        secdata, seclen);
    6448                 :            : }
    6449                 :            : 
    6450                 :          0 : static int selinux_secctx_to_secid(const char *secdata, u32 seclen, u32 *secid)
    6451                 :            : {
    6452                 :          0 :         return security_context_to_sid(&selinux_state, secdata, seclen,
    6453                 :            :                                        secid, GFP_KERNEL);
    6454                 :            : }
    6455                 :            : 
    6456                 :       5536 : static void selinux_release_secctx(char *secdata, u32 seclen)
    6457                 :            : {
    6458                 :       5536 :         kfree(secdata);
    6459                 :       5536 : }
    6460                 :            : 
    6461                 :          0 : static void selinux_inode_invalidate_secctx(struct inode *inode)
    6462                 :            : {
    6463         [ #  # ]:          0 :         struct inode_security_struct *isec = selinux_inode(inode);
    6464                 :            : 
    6465                 :          0 :         spin_lock(&isec->lock);
    6466                 :          0 :         isec->initialized = LABEL_INVALID;
    6467                 :          0 :         spin_unlock(&isec->lock);
    6468                 :          0 : }
    6469                 :            : 
    6470                 :            : /*
    6471                 :            :  *      called with inode->i_mutex locked
    6472                 :            :  */
    6473                 :          0 : static int selinux_inode_notifysecctx(struct inode *inode, void *ctx, u32 ctxlen)
    6474                 :            : {
    6475                 :          0 :         int rc = selinux_inode_setsecurity(inode, XATTR_SELINUX_SUFFIX,
    6476                 :            :                                            ctx, ctxlen, 0);
    6477                 :            :         /* Do not return error when suppressing label (SBLABEL_MNT not set). */
    6478         [ #  # ]:          0 :         return rc == -EOPNOTSUPP ? 0 : rc;
    6479                 :            : }
    6480                 :            : 
    6481                 :            : /*
    6482                 :            :  *      called with inode->i_mutex locked
    6483                 :            :  */
    6484                 :          0 : static int selinux_inode_setsecctx(struct dentry *dentry, void *ctx, u32 ctxlen)
    6485                 :            : {
    6486                 :          0 :         return __vfs_setxattr_noperm(dentry, XATTR_NAME_SELINUX, ctx, ctxlen, 0);
    6487                 :            : }
    6488                 :            : 
    6489                 :          0 : static int selinux_inode_getsecctx(struct inode *inode, void **ctx, u32 *ctxlen)
    6490                 :            : {
    6491                 :          0 :         int len = 0;
    6492                 :          0 :         len = selinux_inode_getsecurity(inode, XATTR_SELINUX_SUFFIX,
    6493                 :            :                                                 ctx, true);
    6494         [ #  # ]:          0 :         if (len < 0)
    6495                 :            :                 return len;
    6496                 :          0 :         *ctxlen = len;
    6497                 :          0 :         return 0;
    6498                 :            : }
    6499                 :            : #ifdef CONFIG_KEYS
    6500                 :            : 
    6501                 :       1932 : static int selinux_key_alloc(struct key *k, const struct cred *cred,
    6502                 :            :                              unsigned long flags)
    6503                 :            : {
    6504                 :       1932 :         const struct task_security_struct *tsec;
    6505                 :       1932 :         struct key_security_struct *ksec;
    6506                 :            : 
    6507                 :       1932 :         ksec = kzalloc(sizeof(struct key_security_struct), GFP_KERNEL);
    6508         [ +  - ]:       1932 :         if (!ksec)
    6509                 :            :                 return -ENOMEM;
    6510                 :            : 
    6511         [ -  + ]:       1932 :         tsec = selinux_cred(cred);
    6512         [ -  + ]:       1932 :         if (tsec->keycreate_sid)
    6513                 :          0 :                 ksec->sid = tsec->keycreate_sid;
    6514                 :            :         else
    6515                 :       1932 :                 ksec->sid = tsec->sid;
    6516                 :            : 
    6517                 :       1932 :         k->security = ksec;
    6518                 :       1932 :         return 0;
    6519                 :            : }
    6520                 :            : 
    6521                 :       1260 : static void selinux_key_free(struct key *k)
    6522                 :            : {
    6523                 :       1260 :         struct key_security_struct *ksec = k->security;
    6524                 :            : 
    6525                 :       1260 :         k->security = NULL;
    6526                 :       1260 :         kfree(ksec);
    6527                 :       1260 : }
    6528                 :            : 
    6529                 :       5220 : static int selinux_key_permission(key_ref_t key_ref,
    6530                 :            :                                   const struct cred *cred,
    6531                 :            :                                   unsigned perm)
    6532                 :            : {
    6533                 :       5220 :         struct key *key;
    6534                 :       5220 :         struct key_security_struct *ksec;
    6535                 :       5220 :         u32 sid;
    6536                 :            : 
    6537                 :            :         /* if no specific permissions are requested, we skip the
    6538                 :            :            permission check. No serious, additional covert channels
    6539                 :            :            appear to be created. */
    6540         [ +  - ]:       5220 :         if (perm == 0)
    6541                 :            :                 return 0;
    6542                 :            : 
    6543                 :       5220 :         sid = cred_sid(cred);
    6544                 :            : 
    6545                 :       5220 :         key = key_ref_to_ptr(key_ref);
    6546                 :       5220 :         ksec = key->security;
    6547                 :            : 
    6548                 :       5220 :         return avc_has_perm(&selinux_state,
    6549                 :            :                             sid, ksec->sid, SECCLASS_KEY, perm, NULL);
    6550                 :            : }
    6551                 :            : 
    6552                 :          0 : static int selinux_key_getsecurity(struct key *key, char **_buffer)
    6553                 :            : {
    6554                 :          0 :         struct key_security_struct *ksec = key->security;
    6555                 :          0 :         char *context = NULL;
    6556                 :          0 :         unsigned len;
    6557                 :          0 :         int rc;
    6558                 :            : 
    6559                 :          0 :         rc = security_sid_to_context(&selinux_state, ksec->sid,
    6560                 :            :                                      &context, &len);
    6561         [ #  # ]:          0 :         if (!rc)
    6562                 :          0 :                 rc = len;
    6563                 :          0 :         *_buffer = context;
    6564                 :          0 :         return rc;
    6565                 :            : }
    6566                 :            : #endif
    6567                 :            : 
    6568                 :            : #ifdef CONFIG_SECURITY_INFINIBAND
    6569                 :            : static int selinux_ib_pkey_access(void *ib_sec, u64 subnet_prefix, u16 pkey_val)
    6570                 :            : {
    6571                 :            :         struct common_audit_data ad;
    6572                 :            :         int err;
    6573                 :            :         u32 sid = 0;
    6574                 :            :         struct ib_security_struct *sec = ib_sec;
    6575                 :            :         struct lsm_ibpkey_audit ibpkey;
    6576                 :            : 
    6577                 :            :         err = sel_ib_pkey_sid(subnet_prefix, pkey_val, &sid);
    6578                 :            :         if (err)
    6579                 :            :                 return err;
    6580                 :            : 
    6581                 :            :         ad.type = LSM_AUDIT_DATA_IBPKEY;
    6582                 :            :         ibpkey.subnet_prefix = subnet_prefix;
    6583                 :            :         ibpkey.pkey = pkey_val;
    6584                 :            :         ad.u.ibpkey = &ibpkey;
    6585                 :            :         return avc_has_perm(&selinux_state,
    6586                 :            :                             sec->sid, sid,
    6587                 :            :                             SECCLASS_INFINIBAND_PKEY,
    6588                 :            :                             INFINIBAND_PKEY__ACCESS, &ad);
    6589                 :            : }
    6590                 :            : 
    6591                 :            : static int selinux_ib_endport_manage_subnet(void *ib_sec, const char *dev_name,
    6592                 :            :                                             u8 port_num)
    6593                 :            : {
    6594                 :            :         struct common_audit_data ad;
    6595                 :            :         int err;
    6596                 :            :         u32 sid = 0;
    6597                 :            :         struct ib_security_struct *sec = ib_sec;
    6598                 :            :         struct lsm_ibendport_audit ibendport;
    6599                 :            : 
    6600                 :            :         err = security_ib_endport_sid(&selinux_state, dev_name, port_num,
    6601                 :            :                                       &sid);
    6602                 :            : 
    6603                 :            :         if (err)
    6604                 :            :                 return err;
    6605                 :            : 
    6606                 :            :         ad.type = LSM_AUDIT_DATA_IBENDPORT;
    6607                 :            :         strncpy(ibendport.dev_name, dev_name, sizeof(ibendport.dev_name));
    6608                 :            :         ibendport.port = port_num;
    6609                 :            :         ad.u.ibendport = &ibendport;
    6610                 :            :         return avc_has_perm(&selinux_state,
    6611                 :            :                             sec->sid, sid,
    6612                 :            :                             SECCLASS_INFINIBAND_ENDPORT,
    6613                 :            :                             INFINIBAND_ENDPORT__MANAGE_SUBNET, &ad);
    6614                 :            : }
    6615                 :            : 
    6616                 :            : static int selinux_ib_alloc_security(void **ib_sec)
    6617                 :            : {
    6618                 :            :         struct ib_security_struct *sec;
    6619                 :            : 
    6620                 :            :         sec = kzalloc(sizeof(*sec), GFP_KERNEL);
    6621                 :            :         if (!sec)
    6622                 :            :                 return -ENOMEM;
    6623                 :            :         sec->sid = current_sid();
    6624                 :            : 
    6625                 :            :         *ib_sec = sec;
    6626                 :            :         return 0;
    6627                 :            : }
    6628                 :            : 
    6629                 :            : static void selinux_ib_free_security(void *ib_sec)
    6630                 :            : {
    6631                 :            :         kfree(ib_sec);
    6632                 :            : }
    6633                 :            : #endif
    6634                 :            : 
    6635                 :            : #ifdef CONFIG_BPF_SYSCALL
    6636                 :            : static int selinux_bpf(int cmd, union bpf_attr *attr,
    6637                 :            :                                      unsigned int size)
    6638                 :            : {
    6639                 :            :         u32 sid = current_sid();
    6640                 :            :         int ret;
    6641                 :            : 
    6642                 :            :         switch (cmd) {
    6643                 :            :         case BPF_MAP_CREATE:
    6644                 :            :                 ret = avc_has_perm(&selinux_state,
    6645                 :            :                                    sid, sid, SECCLASS_BPF, BPF__MAP_CREATE,
    6646                 :            :                                    NULL);
    6647                 :            :                 break;
    6648                 :            :         case BPF_PROG_LOAD:
    6649                 :            :                 ret = avc_has_perm(&selinux_state,
    6650                 :            :                                    sid, sid, SECCLASS_BPF, BPF__PROG_LOAD,
    6651                 :            :                                    NULL);
    6652                 :            :                 break;
    6653                 :            :         default:
    6654                 :            :                 ret = 0;
    6655                 :            :                 break;
    6656                 :            :         }
    6657                 :            : 
    6658                 :            :         return ret;
    6659                 :            : }
    6660                 :            : 
    6661                 :            : static u32 bpf_map_fmode_to_av(fmode_t fmode)
    6662                 :            : {
    6663                 :            :         u32 av = 0;
    6664                 :            : 
    6665                 :            :         if (fmode & FMODE_READ)
    6666                 :            :                 av |= BPF__MAP_READ;
    6667                 :            :         if (fmode & FMODE_WRITE)
    6668                 :            :                 av |= BPF__MAP_WRITE;
    6669                 :            :         return av;
    6670                 :            : }
    6671                 :            : 
    6672                 :            : /* This function will check the file pass through unix socket or binder to see
    6673                 :            :  * if it is a bpf related object. And apply correspinding checks on the bpf
    6674                 :            :  * object based on the type. The bpf maps and programs, not like other files and
    6675                 :            :  * socket, are using a shared anonymous inode inside the kernel as their inode.
    6676                 :            :  * So checking that inode cannot identify if the process have privilege to
    6677                 :            :  * access the bpf object and that's why we have to add this additional check in
    6678                 :            :  * selinux_file_receive and selinux_binder_transfer_files.
    6679                 :            :  */
    6680                 :            : static int bpf_fd_pass(struct file *file, u32 sid)
    6681                 :            : {
    6682                 :            :         struct bpf_security_struct *bpfsec;
    6683                 :            :         struct bpf_prog *prog;
    6684                 :            :         struct bpf_map *map;
    6685                 :            :         int ret;
    6686                 :            : 
    6687                 :            :         if (file->f_op == &bpf_map_fops) {
    6688                 :            :                 map = file->private_data;
    6689                 :            :                 bpfsec = map->security;
    6690                 :            :                 ret = avc_has_perm(&selinux_state,
    6691                 :            :                                    sid, bpfsec->sid, SECCLASS_BPF,
    6692                 :            :                                    bpf_map_fmode_to_av(file->f_mode), NULL);
    6693                 :            :                 if (ret)
    6694                 :            :                         return ret;
    6695                 :            :         } else if (file->f_op == &bpf_prog_fops) {
    6696                 :            :                 prog = file->private_data;
    6697                 :            :                 bpfsec = prog->aux->security;
    6698                 :            :                 ret = avc_has_perm(&selinux_state,
    6699                 :            :                                    sid, bpfsec->sid, SECCLASS_BPF,
    6700                 :            :                                    BPF__PROG_RUN, NULL);
    6701                 :            :                 if (ret)
    6702                 :            :                         return ret;
    6703                 :            :         }
    6704                 :            :         return 0;
    6705                 :            : }
    6706                 :            : 
    6707                 :            : static int selinux_bpf_map(struct bpf_map *map, fmode_t fmode)
    6708                 :            : {
    6709                 :            :         u32 sid = current_sid();
    6710                 :            :         struct bpf_security_struct *bpfsec;
    6711                 :            : 
    6712                 :            :         bpfsec = map->security;
    6713                 :            :         return avc_has_perm(&selinux_state,
    6714                 :            :                             sid, bpfsec->sid, SECCLASS_BPF,
    6715                 :            :                             bpf_map_fmode_to_av(fmode), NULL);
    6716                 :            : }
    6717                 :            : 
    6718                 :            : static int selinux_bpf_prog(struct bpf_prog *prog)
    6719                 :            : {
    6720                 :            :         u32 sid = current_sid();
    6721                 :            :         struct bpf_security_struct *bpfsec;
    6722                 :            : 
    6723                 :            :         bpfsec = prog->aux->security;
    6724                 :            :         return avc_has_perm(&selinux_state,
    6725                 :            :                             sid, bpfsec->sid, SECCLASS_BPF,
    6726                 :            :                             BPF__PROG_RUN, NULL);
    6727                 :            : }
    6728                 :            : 
    6729                 :            : static int selinux_bpf_map_alloc(struct bpf_map *map)
    6730                 :            : {
    6731                 :            :         struct bpf_security_struct *bpfsec;
    6732                 :            : 
    6733                 :            :         bpfsec = kzalloc(sizeof(*bpfsec), GFP_KERNEL);
    6734                 :            :         if (!bpfsec)
    6735                 :            :                 return -ENOMEM;
    6736                 :            : 
    6737                 :            :         bpfsec->sid = current_sid();
    6738                 :            :         map->security = bpfsec;
    6739                 :            : 
    6740                 :            :         return 0;
    6741                 :            : }
    6742                 :            : 
    6743                 :            : static void selinux_bpf_map_free(struct bpf_map *map)
    6744                 :            : {
    6745                 :            :         struct bpf_security_struct *bpfsec = map->security;
    6746                 :            : 
    6747                 :            :         map->security = NULL;
    6748                 :            :         kfree(bpfsec);
    6749                 :            : }
    6750                 :            : 
    6751                 :            : static int selinux_bpf_prog_alloc(struct bpf_prog_aux *aux)
    6752                 :            : {
    6753                 :            :         struct bpf_security_struct *bpfsec;
    6754                 :            : 
    6755                 :            :         bpfsec = kzalloc(sizeof(*bpfsec), GFP_KERNEL);
    6756                 :            :         if (!bpfsec)
    6757                 :            :                 return -ENOMEM;
    6758                 :            : 
    6759                 :            :         bpfsec->sid = current_sid();
    6760                 :            :         aux->security = bpfsec;
    6761                 :            : 
    6762                 :            :         return 0;
    6763                 :            : }
    6764                 :            : 
    6765                 :            : static void selinux_bpf_prog_free(struct bpf_prog_aux *aux)
    6766                 :            : {
    6767                 :            :         struct bpf_security_struct *bpfsec = aux->security;
    6768                 :            : 
    6769                 :            :         aux->security = NULL;
    6770                 :            :         kfree(bpfsec);
    6771                 :            : }
    6772                 :            : #endif
    6773                 :            : 
    6774                 :     208110 : static int selinux_lockdown(enum lockdown_reason what)
    6775                 :            : {
    6776                 :     208110 :         struct common_audit_data ad;
    6777         [ +  - ]:     208110 :         u32 sid = current_sid();
    6778                 :     208110 :         int invalid_reason = (what <= LOCKDOWN_NONE) ||
    6779   [ +  -  +  - ]:     208110 :                              (what == LOCKDOWN_INTEGRITY_MAX) ||
    6780                 :            :                              (what >= LOCKDOWN_CONFIDENTIALITY_MAX);
    6781                 :            : 
    6782   [ -  +  -  + ]:     208110 :         if (WARN(invalid_reason, "Invalid lockdown reason")) {
    6783                 :          0 :                 audit_log(audit_context(),
    6784                 :            :                           GFP_ATOMIC, AUDIT_SELINUX_ERR,
    6785                 :            :                           "lockdown_reason=invalid");
    6786                 :          0 :                 return -EINVAL;
    6787                 :            :         }
    6788                 :            : 
    6789                 :     208110 :         ad.type = LSM_AUDIT_DATA_LOCKDOWN;
    6790                 :     208110 :         ad.u.reason = what;
    6791                 :            : 
    6792         [ +  + ]:     208110 :         if (what <= LOCKDOWN_INTEGRITY_MAX)
    6793                 :      17520 :                 return avc_has_perm(&selinux_state,
    6794                 :            :                                     sid, sid, SECCLASS_LOCKDOWN,
    6795                 :            :                                     LOCKDOWN__INTEGRITY, &ad);
    6796                 :            :         else
    6797                 :     190590 :                 return avc_has_perm(&selinux_state,
    6798                 :            :                                     sid, sid, SECCLASS_LOCKDOWN,
    6799                 :            :                                     LOCKDOWN__CONFIDENTIALITY, &ad);
    6800                 :            : }
    6801                 :            : 
    6802                 :            : struct lsm_blob_sizes selinux_blob_sizes __lsm_ro_after_init = {
    6803                 :            :         .lbs_cred = sizeof(struct task_security_struct),
    6804                 :            :         .lbs_file = sizeof(struct file_security_struct),
    6805                 :            :         .lbs_inode = sizeof(struct inode_security_struct),
    6806                 :            :         .lbs_ipc = sizeof(struct ipc_security_struct),
    6807                 :            :         .lbs_msg_msg = sizeof(struct msg_security_struct),
    6808                 :            : };
    6809                 :            : 
    6810                 :            : #ifdef CONFIG_PERF_EVENTS
    6811                 :          0 : static int selinux_perf_event_open(struct perf_event_attr *attr, int type)
    6812                 :            : {
    6813         [ #  # ]:          0 :         u32 requested, sid = current_sid();
    6814                 :            : 
    6815         [ #  # ]:          0 :         if (type == PERF_SECURITY_OPEN)
    6816                 :            :                 requested = PERF_EVENT__OPEN;
    6817         [ #  # ]:          0 :         else if (type == PERF_SECURITY_CPU)
    6818                 :            :                 requested = PERF_EVENT__CPU;
    6819         [ #  # ]:          0 :         else if (type == PERF_SECURITY_KERNEL)
    6820                 :            :                 requested = PERF_EVENT__KERNEL;
    6821         [ #  # ]:          0 :         else if (type == PERF_SECURITY_TRACEPOINT)
    6822                 :            :                 requested = PERF_EVENT__TRACEPOINT;
    6823                 :            :         else
    6824                 :            :                 return -EINVAL;
    6825                 :            : 
    6826                 :          0 :         return avc_has_perm(&selinux_state, sid, sid, SECCLASS_PERF_EVENT,
    6827                 :            :                             requested, NULL);
    6828                 :            : }
    6829                 :            : 
    6830                 :          0 : static int selinux_perf_event_alloc(struct perf_event *event)
    6831                 :            : {
    6832                 :          0 :         struct perf_event_security_struct *perfsec;
    6833                 :            : 
    6834                 :          0 :         perfsec = kzalloc(sizeof(*perfsec), GFP_KERNEL);
    6835         [ #  # ]:          0 :         if (!perfsec)
    6836                 :            :                 return -ENOMEM;
    6837                 :            : 
    6838                 :          0 :         perfsec->sid = current_sid();
    6839                 :          0 :         event->security = perfsec;
    6840                 :            : 
    6841                 :          0 :         return 0;
    6842                 :            : }
    6843                 :            : 
    6844                 :          0 : static void selinux_perf_event_free(struct perf_event *event)
    6845                 :            : {
    6846                 :          0 :         struct perf_event_security_struct *perfsec = event->security;
    6847                 :            : 
    6848                 :          0 :         event->security = NULL;
    6849                 :          0 :         kfree(perfsec);
    6850                 :          0 : }
    6851                 :            : 
    6852                 :          0 : static int selinux_perf_event_read(struct perf_event *event)
    6853                 :            : {
    6854                 :          0 :         struct perf_event_security_struct *perfsec = event->security;
    6855                 :          0 :         u32 sid = current_sid();
    6856                 :            : 
    6857                 :          0 :         return avc_has_perm(&selinux_state, sid, perfsec->sid,
    6858                 :            :                             SECCLASS_PERF_EVENT, PERF_EVENT__READ, NULL);
    6859                 :            : }
    6860                 :            : 
    6861                 :          0 : static int selinux_perf_event_write(struct perf_event *event)
    6862                 :            : {
    6863                 :          0 :         struct perf_event_security_struct *perfsec = event->security;
    6864                 :          0 :         u32 sid = current_sid();
    6865                 :            : 
    6866                 :          0 :         return avc_has_perm(&selinux_state, sid, perfsec->sid,
    6867                 :            :                             SECCLASS_PERF_EVENT, PERF_EVENT__WRITE, NULL);
    6868                 :            : }
    6869                 :            : #endif
    6870                 :            : 
    6871                 :            : /*
    6872                 :            :  * IMPORTANT NOTE: When adding new hooks, please be careful to keep this order:
    6873                 :            :  * 1. any hooks that don't belong to (2.) or (3.) below,
    6874                 :            :  * 2. hooks that both access structures allocated by other hooks, and allocate
    6875                 :            :  *    structures that can be later accessed by other hooks (mostly "cloning"
    6876                 :            :  *    hooks),
    6877                 :            :  * 3. hooks that only allocate structures that can be later accessed by other
    6878                 :            :  *    hooks ("allocating" hooks).
    6879                 :            :  *
    6880                 :            :  * Please follow block comment delimiters in the list to keep this order.
    6881                 :            :  *
    6882                 :            :  * This ordering is needed for SELinux runtime disable to work at least somewhat
    6883                 :            :  * safely. Breaking the ordering rules above might lead to NULL pointer derefs
    6884                 :            :  * when disabling SELinux at runtime.
    6885                 :            :  */
    6886                 :            : static struct security_hook_list selinux_hooks[] __lsm_ro_after_init = {
    6887                 :            :         LSM_HOOK_INIT(binder_set_context_mgr, selinux_binder_set_context_mgr),
    6888                 :            :         LSM_HOOK_INIT(binder_transaction, selinux_binder_transaction),
    6889                 :            :         LSM_HOOK_INIT(binder_transfer_binder, selinux_binder_transfer_binder),
    6890                 :            :         LSM_HOOK_INIT(binder_transfer_file, selinux_binder_transfer_file),
    6891                 :            : 
    6892                 :            :         LSM_HOOK_INIT(ptrace_access_check, selinux_ptrace_access_check),
    6893                 :            :         LSM_HOOK_INIT(ptrace_traceme, selinux_ptrace_traceme),
    6894                 :            :         LSM_HOOK_INIT(capget, selinux_capget),
    6895                 :            :         LSM_HOOK_INIT(capset, selinux_capset),
    6896                 :            :         LSM_HOOK_INIT(capable, selinux_capable),
    6897                 :            :         LSM_HOOK_INIT(quotactl, selinux_quotactl),
    6898                 :            :         LSM_HOOK_INIT(quota_on, selinux_quota_on),
    6899                 :            :         LSM_HOOK_INIT(syslog, selinux_syslog),
    6900                 :            :         LSM_HOOK_INIT(vm_enough_memory, selinux_vm_enough_memory),
    6901                 :            : 
    6902                 :            :         LSM_HOOK_INIT(netlink_send, selinux_netlink_send),
    6903                 :            : 
    6904                 :            :         LSM_HOOK_INIT(bprm_set_creds, selinux_bprm_set_creds),
    6905                 :            :         LSM_HOOK_INIT(bprm_committing_creds, selinux_bprm_committing_creds),
    6906                 :            :         LSM_HOOK_INIT(bprm_committed_creds, selinux_bprm_committed_creds),
    6907                 :            : 
    6908                 :            :         LSM_HOOK_INIT(sb_free_security, selinux_sb_free_security),
    6909                 :            :         LSM_HOOK_INIT(sb_free_mnt_opts, selinux_free_mnt_opts),
    6910                 :            :         LSM_HOOK_INIT(sb_remount, selinux_sb_remount),
    6911                 :            :         LSM_HOOK_INIT(sb_kern_mount, selinux_sb_kern_mount),
    6912                 :            :         LSM_HOOK_INIT(sb_show_options, selinux_sb_show_options),
    6913                 :            :         LSM_HOOK_INIT(sb_statfs, selinux_sb_statfs),
    6914                 :            :         LSM_HOOK_INIT(sb_mount, selinux_mount),
    6915                 :            :         LSM_HOOK_INIT(sb_umount, selinux_umount),
    6916                 :            :         LSM_HOOK_INIT(sb_set_mnt_opts, selinux_set_mnt_opts),
    6917                 :            :         LSM_HOOK_INIT(sb_clone_mnt_opts, selinux_sb_clone_mnt_opts),
    6918                 :            : 
    6919                 :            :         LSM_HOOK_INIT(move_mount, selinux_move_mount),
    6920                 :            : 
    6921                 :            :         LSM_HOOK_INIT(dentry_init_security, selinux_dentry_init_security),
    6922                 :            :         LSM_HOOK_INIT(dentry_create_files_as, selinux_dentry_create_files_as),
    6923                 :            : 
    6924                 :            :         LSM_HOOK_INIT(inode_free_security, selinux_inode_free_security),
    6925                 :            :         LSM_HOOK_INIT(inode_init_security, selinux_inode_init_security),
    6926                 :            :         LSM_HOOK_INIT(inode_create, selinux_inode_create),
    6927                 :            :         LSM_HOOK_INIT(inode_link, selinux_inode_link),
    6928                 :            :         LSM_HOOK_INIT(inode_unlink, selinux_inode_unlink),
    6929                 :            :         LSM_HOOK_INIT(inode_symlink, selinux_inode_symlink),
    6930                 :            :         LSM_HOOK_INIT(inode_mkdir, selinux_inode_mkdir),
    6931                 :            :         LSM_HOOK_INIT(inode_rmdir, selinux_inode_rmdir),
    6932                 :            :         LSM_HOOK_INIT(inode_mknod, selinux_inode_mknod),
    6933                 :            :         LSM_HOOK_INIT(inode_rename, selinux_inode_rename),
    6934                 :            :         LSM_HOOK_INIT(inode_readlink, selinux_inode_readlink),
    6935                 :            :         LSM_HOOK_INIT(inode_follow_link, selinux_inode_follow_link),
    6936                 :            :         LSM_HOOK_INIT(inode_permission, selinux_inode_permission),
    6937                 :            :         LSM_HOOK_INIT(inode_setattr, selinux_inode_setattr),
    6938                 :            :         LSM_HOOK_INIT(inode_getattr, selinux_inode_getattr),
    6939                 :            :         LSM_HOOK_INIT(inode_setxattr, selinux_inode_setxattr),
    6940                 :            :         LSM_HOOK_INIT(inode_post_setxattr, selinux_inode_post_setxattr),
    6941                 :            :         LSM_HOOK_INIT(inode_getxattr, selinux_inode_getxattr),
    6942                 :            :         LSM_HOOK_INIT(inode_listxattr, selinux_inode_listxattr),
    6943                 :            :         LSM_HOOK_INIT(inode_removexattr, selinux_inode_removexattr),
    6944                 :            :         LSM_HOOK_INIT(inode_getsecurity, selinux_inode_getsecurity),
    6945                 :            :         LSM_HOOK_INIT(inode_setsecurity, selinux_inode_setsecurity),
    6946                 :            :         LSM_HOOK_INIT(inode_listsecurity, selinux_inode_listsecurity),
    6947                 :            :         LSM_HOOK_INIT(inode_getsecid, selinux_inode_getsecid),
    6948                 :            :         LSM_HOOK_INIT(inode_copy_up, selinux_inode_copy_up),
    6949                 :            :         LSM_HOOK_INIT(inode_copy_up_xattr, selinux_inode_copy_up_xattr),
    6950                 :            :         LSM_HOOK_INIT(path_notify, selinux_path_notify),
    6951                 :            : 
    6952                 :            :         LSM_HOOK_INIT(kernfs_init_security, selinux_kernfs_init_security),
    6953                 :            : 
    6954                 :            :         LSM_HOOK_INIT(file_permission, selinux_file_permission),
    6955                 :            :         LSM_HOOK_INIT(file_alloc_security, selinux_file_alloc_security),
    6956                 :            :         LSM_HOOK_INIT(file_ioctl, selinux_file_ioctl),
    6957                 :            :         LSM_HOOK_INIT(mmap_file, selinux_mmap_file),
    6958                 :            :         LSM_HOOK_INIT(mmap_addr, selinux_mmap_addr),
    6959                 :            :         LSM_HOOK_INIT(file_mprotect, selinux_file_mprotect),
    6960                 :            :         LSM_HOOK_INIT(file_lock, selinux_file_lock),
    6961                 :            :         LSM_HOOK_INIT(file_fcntl, selinux_file_fcntl),
    6962                 :            :         LSM_HOOK_INIT(file_set_fowner, selinux_file_set_fowner),
    6963                 :            :         LSM_HOOK_INIT(file_send_sigiotask, selinux_file_send_sigiotask),
    6964                 :            :         LSM_HOOK_INIT(file_receive, selinux_file_receive),
    6965                 :            : 
    6966                 :            :         LSM_HOOK_INIT(file_open, selinux_file_open),
    6967                 :            : 
    6968                 :            :         LSM_HOOK_INIT(task_alloc, selinux_task_alloc),
    6969                 :            :         LSM_HOOK_INIT(cred_prepare, selinux_cred_prepare),
    6970                 :            :         LSM_HOOK_INIT(cred_transfer, selinux_cred_transfer),
    6971                 :            :         LSM_HOOK_INIT(cred_getsecid, selinux_cred_getsecid),
    6972                 :            :         LSM_HOOK_INIT(kernel_act_as, selinux_kernel_act_as),
    6973                 :            :         LSM_HOOK_INIT(kernel_create_files_as, selinux_kernel_create_files_as),
    6974                 :            :         LSM_HOOK_INIT(kernel_module_request, selinux_kernel_module_request),
    6975                 :            :         LSM_HOOK_INIT(kernel_load_data, selinux_kernel_load_data),
    6976                 :            :         LSM_HOOK_INIT(kernel_read_file, selinux_kernel_read_file),
    6977                 :            :         LSM_HOOK_INIT(task_setpgid, selinux_task_setpgid),
    6978                 :            :         LSM_HOOK_INIT(task_getpgid, selinux_task_getpgid),
    6979                 :            :         LSM_HOOK_INIT(task_getsid, selinux_task_getsid),
    6980                 :            :         LSM_HOOK_INIT(task_getsecid, selinux_task_getsecid),
    6981                 :            :         LSM_HOOK_INIT(task_setnice, selinux_task_setnice),
    6982                 :            :         LSM_HOOK_INIT(task_setioprio, selinux_task_setioprio),
    6983                 :            :         LSM_HOOK_INIT(task_getioprio, selinux_task_getioprio),
    6984                 :            :         LSM_HOOK_INIT(task_prlimit, selinux_task_prlimit),
    6985                 :            :         LSM_HOOK_INIT(task_setrlimit, selinux_task_setrlimit),
    6986                 :            :         LSM_HOOK_INIT(task_setscheduler, selinux_task_setscheduler),
    6987                 :            :         LSM_HOOK_INIT(task_getscheduler, selinux_task_getscheduler),
    6988                 :            :         LSM_HOOK_INIT(task_movememory, selinux_task_movememory),
    6989                 :            :         LSM_HOOK_INIT(task_kill, selinux_task_kill),
    6990                 :            :         LSM_HOOK_INIT(task_to_inode, selinux_task_to_inode),
    6991                 :            : 
    6992                 :            :         LSM_HOOK_INIT(ipc_permission, selinux_ipc_permission),
    6993                 :            :         LSM_HOOK_INIT(ipc_getsecid, selinux_ipc_getsecid),
    6994                 :            : 
    6995                 :            :         LSM_HOOK_INIT(msg_queue_associate, selinux_msg_queue_associate),
    6996                 :            :         LSM_HOOK_INIT(msg_queue_msgctl, selinux_msg_queue_msgctl),
    6997                 :            :         LSM_HOOK_INIT(msg_queue_msgsnd, selinux_msg_queue_msgsnd),
    6998                 :            :         LSM_HOOK_INIT(msg_queue_msgrcv, selinux_msg_queue_msgrcv),
    6999                 :            : 
    7000                 :            :         LSM_HOOK_INIT(shm_associate, selinux_shm_associate),
    7001                 :            :         LSM_HOOK_INIT(shm_shmctl, selinux_shm_shmctl),
    7002                 :            :         LSM_HOOK_INIT(shm_shmat, selinux_shm_shmat),
    7003                 :            : 
    7004                 :            :         LSM_HOOK_INIT(sem_associate, selinux_sem_associate),
    7005                 :            :         LSM_HOOK_INIT(sem_semctl, selinux_sem_semctl),
    7006                 :            :         LSM_HOOK_INIT(sem_semop, selinux_sem_semop),
    7007                 :            : 
    7008                 :            :         LSM_HOOK_INIT(d_instantiate, selinux_d_instantiate),
    7009                 :            : 
    7010                 :            :         LSM_HOOK_INIT(getprocattr, selinux_getprocattr),
    7011                 :            :         LSM_HOOK_INIT(setprocattr, selinux_setprocattr),
    7012                 :            : 
    7013                 :            :         LSM_HOOK_INIT(ismaclabel, selinux_ismaclabel),
    7014                 :            :         LSM_HOOK_INIT(secctx_to_secid, selinux_secctx_to_secid),
    7015                 :            :         LSM_HOOK_INIT(release_secctx, selinux_release_secctx),
    7016                 :            :         LSM_HOOK_INIT(inode_invalidate_secctx, selinux_inode_invalidate_secctx),
    7017                 :            :         LSM_HOOK_INIT(inode_notifysecctx, selinux_inode_notifysecctx),
    7018                 :            :         LSM_HOOK_INIT(inode_setsecctx, selinux_inode_setsecctx),
    7019                 :            : 
    7020                 :            :         LSM_HOOK_INIT(unix_stream_connect, selinux_socket_unix_stream_connect),
    7021                 :            :         LSM_HOOK_INIT(unix_may_send, selinux_socket_unix_may_send),
    7022                 :            : 
    7023                 :            :         LSM_HOOK_INIT(socket_create, selinux_socket_create),
    7024                 :            :         LSM_HOOK_INIT(socket_post_create, selinux_socket_post_create),
    7025                 :            :         LSM_HOOK_INIT(socket_socketpair, selinux_socket_socketpair),
    7026                 :            :         LSM_HOOK_INIT(socket_bind, selinux_socket_bind),
    7027                 :            :         LSM_HOOK_INIT(socket_connect, selinux_socket_connect),
    7028                 :            :         LSM_HOOK_INIT(socket_listen, selinux_socket_listen),
    7029                 :            :         LSM_HOOK_INIT(socket_accept, selinux_socket_accept),
    7030                 :            :         LSM_HOOK_INIT(socket_sendmsg, selinux_socket_sendmsg),
    7031                 :            :         LSM_HOOK_INIT(socket_recvmsg, selinux_socket_recvmsg),
    7032                 :            :         LSM_HOOK_INIT(socket_getsockname, selinux_socket_getsockname),
    7033                 :            :         LSM_HOOK_INIT(socket_getpeername, selinux_socket_getpeername),
    7034                 :            :         LSM_HOOK_INIT(socket_getsockopt, selinux_socket_getsockopt),
    7035                 :            :         LSM_HOOK_INIT(socket_setsockopt, selinux_socket_setsockopt),
    7036                 :            :         LSM_HOOK_INIT(socket_shutdown, selinux_socket_shutdown),
    7037                 :            :         LSM_HOOK_INIT(socket_sock_rcv_skb, selinux_socket_sock_rcv_skb),
    7038                 :            :         LSM_HOOK_INIT(socket_getpeersec_stream,
    7039                 :            :                         selinux_socket_getpeersec_stream),
    7040                 :            :         LSM_HOOK_INIT(socket_getpeersec_dgram, selinux_socket_getpeersec_dgram),
    7041                 :            :         LSM_HOOK_INIT(sk_free_security, selinux_sk_free_security),
    7042                 :            :         LSM_HOOK_INIT(sk_clone_security, selinux_sk_clone_security),
    7043                 :            :         LSM_HOOK_INIT(sk_getsecid, selinux_sk_getsecid),
    7044                 :            :         LSM_HOOK_INIT(sock_graft, selinux_sock_graft),
    7045                 :            :         LSM_HOOK_INIT(sctp_assoc_request, selinux_sctp_assoc_request),
    7046                 :            :         LSM_HOOK_INIT(sctp_sk_clone, selinux_sctp_sk_clone),
    7047                 :            :         LSM_HOOK_INIT(sctp_bind_connect, selinux_sctp_bind_connect),
    7048                 :            :         LSM_HOOK_INIT(inet_conn_request, selinux_inet_conn_request),
    7049                 :            :         LSM_HOOK_INIT(inet_csk_clone, selinux_inet_csk_clone),
    7050                 :            :         LSM_HOOK_INIT(inet_conn_established, selinux_inet_conn_established),
    7051                 :            :         LSM_HOOK_INIT(secmark_relabel_packet, selinux_secmark_relabel_packet),
    7052                 :            :         LSM_HOOK_INIT(secmark_refcount_inc, selinux_secmark_refcount_inc),
    7053                 :            :         LSM_HOOK_INIT(secmark_refcount_dec, selinux_secmark_refcount_dec),
    7054                 :            :         LSM_HOOK_INIT(req_classify_flow, selinux_req_classify_flow),
    7055                 :            :         LSM_HOOK_INIT(tun_dev_free_security, selinux_tun_dev_free_security),
    7056                 :            :         LSM_HOOK_INIT(tun_dev_create, selinux_tun_dev_create),
    7057                 :            :         LSM_HOOK_INIT(tun_dev_attach_queue, selinux_tun_dev_attach_queue),
    7058                 :            :         LSM_HOOK_INIT(tun_dev_attach, selinux_tun_dev_attach),
    7059                 :            :         LSM_HOOK_INIT(tun_dev_open, selinux_tun_dev_open),
    7060                 :            : #ifdef CONFIG_SECURITY_INFINIBAND
    7061                 :            :         LSM_HOOK_INIT(ib_pkey_access, selinux_ib_pkey_access),
    7062                 :            :         LSM_HOOK_INIT(ib_endport_manage_subnet,
    7063                 :            :                       selinux_ib_endport_manage_subnet),
    7064                 :            :         LSM_HOOK_INIT(ib_free_security, selinux_ib_free_security),
    7065                 :            : #endif
    7066                 :            : #ifdef CONFIG_SECURITY_NETWORK_XFRM
    7067                 :            :         LSM_HOOK_INIT(xfrm_policy_free_security, selinux_xfrm_policy_free),
    7068                 :            :         LSM_HOOK_INIT(xfrm_policy_delete_security, selinux_xfrm_policy_delete),
    7069                 :            :         LSM_HOOK_INIT(xfrm_state_free_security, selinux_xfrm_state_free),
    7070                 :            :         LSM_HOOK_INIT(xfrm_state_delete_security, selinux_xfrm_state_delete),
    7071                 :            :         LSM_HOOK_INIT(xfrm_policy_lookup, selinux_xfrm_policy_lookup),
    7072                 :            :         LSM_HOOK_INIT(xfrm_state_pol_flow_match,
    7073                 :            :                         selinux_xfrm_state_pol_flow_match),
    7074                 :            :         LSM_HOOK_INIT(xfrm_decode_session, selinux_xfrm_decode_session),
    7075                 :            : #endif
    7076                 :            : 
    7077                 :            : #ifdef CONFIG_KEYS
    7078                 :            :         LSM_HOOK_INIT(key_free, selinux_key_free),
    7079                 :            :         LSM_HOOK_INIT(key_permission, selinux_key_permission),
    7080                 :            :         LSM_HOOK_INIT(key_getsecurity, selinux_key_getsecurity),
    7081                 :            : #endif
    7082                 :            : 
    7083                 :            : #ifdef CONFIG_AUDIT
    7084                 :            :         LSM_HOOK_INIT(audit_rule_known, selinux_audit_rule_known),
    7085                 :            :         LSM_HOOK_INIT(audit_rule_match, selinux_audit_rule_match),
    7086                 :            :         LSM_HOOK_INIT(audit_rule_free, selinux_audit_rule_free),
    7087                 :            : #endif
    7088                 :            : 
    7089                 :            : #ifdef CONFIG_BPF_SYSCALL
    7090                 :            :         LSM_HOOK_INIT(bpf, selinux_bpf),
    7091                 :            :         LSM_HOOK_INIT(bpf_map, selinux_bpf_map),
    7092                 :            :         LSM_HOOK_INIT(bpf_prog, selinux_bpf_prog),
    7093                 :            :         LSM_HOOK_INIT(bpf_map_free_security, selinux_bpf_map_free),
    7094                 :            :         LSM_HOOK_INIT(bpf_prog_free_security, selinux_bpf_prog_free),
    7095                 :            : #endif
    7096                 :            : 
    7097                 :            : #ifdef CONFIG_PERF_EVENTS
    7098                 :            :         LSM_HOOK_INIT(perf_event_open, selinux_perf_event_open),
    7099                 :            :         LSM_HOOK_INIT(perf_event_free, selinux_perf_event_free),
    7100                 :            :         LSM_HOOK_INIT(perf_event_read, selinux_perf_event_read),
    7101                 :            :         LSM_HOOK_INIT(perf_event_write, selinux_perf_event_write),
    7102                 :            : #endif
    7103                 :            : 
    7104                 :            :         LSM_HOOK_INIT(locked_down, selinux_lockdown),
    7105                 :            : 
    7106                 :            :         /*
    7107                 :            :          * PUT "CLONING" (ACCESSING + ALLOCATING) HOOKS HERE
    7108                 :            :          */
    7109                 :            :         LSM_HOOK_INIT(fs_context_dup, selinux_fs_context_dup),
    7110                 :            :         LSM_HOOK_INIT(fs_context_parse_param, selinux_fs_context_parse_param),
    7111                 :            :         LSM_HOOK_INIT(sb_eat_lsm_opts, selinux_sb_eat_lsm_opts),
    7112                 :            :         LSM_HOOK_INIT(sb_add_mnt_opt, selinux_add_mnt_opt),
    7113                 :            : #ifdef CONFIG_SECURITY_NETWORK_XFRM
    7114                 :            :         LSM_HOOK_INIT(xfrm_policy_clone_security, selinux_xfrm_policy_clone),
    7115                 :            : #endif
    7116                 :            : 
    7117                 :            :         /*
    7118                 :            :          * PUT "ALLOCATING" HOOKS HERE
    7119                 :            :          */
    7120                 :            :         LSM_HOOK_INIT(msg_msg_alloc_security, selinux_msg_msg_alloc_security),
    7121                 :            :         LSM_HOOK_INIT(msg_queue_alloc_security,
    7122                 :            :                       selinux_msg_queue_alloc_security),
    7123                 :            :         LSM_HOOK_INIT(shm_alloc_security, selinux_shm_alloc_security),
    7124                 :            :         LSM_HOOK_INIT(sb_alloc_security, selinux_sb_alloc_security),
    7125                 :            :         LSM_HOOK_INIT(inode_alloc_security, selinux_inode_alloc_security),
    7126                 :            :         LSM_HOOK_INIT(sem_alloc_security, selinux_sem_alloc_security),
    7127                 :            :         LSM_HOOK_INIT(secid_to_secctx, selinux_secid_to_secctx),
    7128                 :            :         LSM_HOOK_INIT(inode_getsecctx, selinux_inode_getsecctx),
    7129                 :            :         LSM_HOOK_INIT(sk_alloc_security, selinux_sk_alloc_security),
    7130                 :            :         LSM_HOOK_INIT(tun_dev_alloc_security, selinux_tun_dev_alloc_security),
    7131                 :            : #ifdef CONFIG_SECURITY_INFINIBAND
    7132                 :            :         LSM_HOOK_INIT(ib_alloc_security, selinux_ib_alloc_security),
    7133                 :            : #endif
    7134                 :            : #ifdef CONFIG_SECURITY_NETWORK_XFRM
    7135                 :            :         LSM_HOOK_INIT(xfrm_policy_alloc_security, selinux_xfrm_policy_alloc),
    7136                 :            :         LSM_HOOK_INIT(xfrm_state_alloc, selinux_xfrm_state_alloc),
    7137                 :            :         LSM_HOOK_INIT(xfrm_state_alloc_acquire,
    7138                 :            :                       selinux_xfrm_state_alloc_acquire),
    7139                 :            : #endif
    7140                 :            : #ifdef CONFIG_KEYS
    7141                 :            :         LSM_HOOK_INIT(key_alloc, selinux_key_alloc),
    7142                 :            : #endif
    7143                 :            : #ifdef CONFIG_AUDIT
    7144                 :            :         LSM_HOOK_INIT(audit_rule_init, selinux_audit_rule_init),
    7145                 :            : #endif
    7146                 :            : #ifdef CONFIG_BPF_SYSCALL
    7147                 :            :         LSM_HOOK_INIT(bpf_map_alloc_security, selinux_bpf_map_alloc),
    7148                 :            :         LSM_HOOK_INIT(bpf_prog_alloc_security, selinux_bpf_prog_alloc),
    7149                 :            : #endif
    7150                 :            : #ifdef CONFIG_PERF_EVENTS
    7151                 :            :         LSM_HOOK_INIT(perf_event_alloc, selinux_perf_event_alloc),
    7152                 :            : #endif
    7153                 :            : };
    7154                 :            : 
    7155                 :         30 : static __init int selinux_init(void)
    7156                 :            : {
    7157                 :         30 :         pr_info("SELinux:  Initializing.\n");
    7158                 :            : 
    7159                 :         30 :         memset(&selinux_state, 0, sizeof(selinux_state));
    7160                 :         30 :         enforcing_set(&selinux_state, selinux_enforcing_boot);
    7161                 :         30 :         selinux_state.checkreqprot = selinux_checkreqprot_boot;
    7162                 :         30 :         selinux_ss_init(&selinux_state.ss);
    7163                 :         30 :         selinux_avc_init(&selinux_state.avc);
    7164                 :            : 
    7165                 :            :         /* Set the security state for the initial task. */
    7166                 :         30 :         cred_init_security();
    7167                 :            : 
    7168                 :         30 :         default_noexec = !(VM_DATA_DEFAULT_FLAGS & VM_EXEC);
    7169                 :            : 
    7170                 :         30 :         avc_init();
    7171                 :            : 
    7172                 :         30 :         avtab_cache_init();
    7173                 :            : 
    7174                 :         30 :         ebitmap_cache_init();
    7175                 :            : 
    7176                 :         30 :         hashtab_cache_init();
    7177                 :            : 
    7178                 :         30 :         security_add_hooks(selinux_hooks, ARRAY_SIZE(selinux_hooks), "selinux");
    7179                 :            : 
    7180         [ -  + ]:         30 :         if (avc_add_callback(selinux_netcache_avc_callback, AVC_CALLBACK_RESET))
    7181                 :          0 :                 panic("SELinux: Unable to register AVC netcache callback\n");
    7182                 :            : 
    7183         [ -  + ]:         30 :         if (avc_add_callback(selinux_lsm_notifier_avc_callback, AVC_CALLBACK_RESET))
    7184                 :          0 :                 panic("SELinux: Unable to register AVC LSM notifier callback\n");
    7185                 :            : 
    7186                 :         30 :         if (selinux_enforcing_boot)
    7187                 :            :                 pr_debug("SELinux:  Starting in enforcing mode\n");
    7188                 :            :         else
    7189                 :            :                 pr_debug("SELinux:  Starting in permissive mode\n");
    7190                 :            : 
    7191                 :         30 :         fs_validate_description("selinux", selinux_fs_parameters);
    7192                 :            : 
    7193                 :         30 :         return 0;
    7194                 :            : }
    7195                 :            : 
    7196                 :          0 : static void delayed_superblock_init(struct super_block *sb, void *unused)
    7197                 :            : {
    7198                 :          0 :         selinux_set_mnt_opts(sb, NULL, 0, NULL);
    7199                 :          0 : }
    7200                 :            : 
    7201                 :          0 : void selinux_complete_init(void)
    7202                 :            : {
    7203                 :          0 :         pr_debug("SELinux:  Completing initialization.\n");
    7204                 :            : 
    7205                 :            :         /* Set up any superblocks initialized prior to the policy load. */
    7206                 :          0 :         pr_debug("SELinux:  Setting up existing superblocks.\n");
    7207                 :          0 :         iterate_supers(delayed_superblock_init, NULL);
    7208                 :          0 : }
    7209                 :            : 
    7210                 :            : /* SELinux requires early initialization in order to label
    7211                 :            :    all processes and objects when they are created. */
    7212                 :            : DEFINE_LSM(selinux) = {
    7213                 :            :         .name = "selinux",
    7214                 :            :         .flags = LSM_FLAG_LEGACY_MAJOR | LSM_FLAG_EXCLUSIVE,
    7215                 :            :         .enabled = &selinux_enabled_boot,
    7216                 :            :         .blobs = &selinux_blob_sizes,
    7217                 :            :         .init = selinux_init,
    7218                 :            : };
    7219                 :            : 
    7220                 :            : #if defined(CONFIG_NETFILTER)
    7221                 :            : 
    7222                 :            : static const struct nf_hook_ops selinux_nf_ops[] = {
    7223                 :            :         {
    7224                 :            :                 .hook =         selinux_ipv4_postroute,
    7225                 :            :                 .pf =           NFPROTO_IPV4,
    7226                 :            :                 .hooknum =      NF_INET_POST_ROUTING,
    7227                 :            :                 .priority =     NF_IP_PRI_SELINUX_LAST,
    7228                 :            :         },
    7229                 :            :         {
    7230                 :            :                 .hook =         selinux_ipv4_forward,
    7231                 :            :                 .pf =           NFPROTO_IPV4,
    7232                 :            :                 .hooknum =      NF_INET_FORWARD,
    7233                 :            :                 .priority =     NF_IP_PRI_SELINUX_FIRST,
    7234                 :            :         },
    7235                 :            :         {
    7236                 :            :                 .hook =         selinux_ipv4_output,
    7237                 :            :                 .pf =           NFPROTO_IPV4,
    7238                 :            :                 .hooknum =      NF_INET_LOCAL_OUT,
    7239                 :            :                 .priority =     NF_IP_PRI_SELINUX_FIRST,
    7240                 :            :         },
    7241                 :            : #if IS_ENABLED(CONFIG_IPV6)
    7242                 :            :         {
    7243                 :            :                 .hook =         selinux_ipv6_postroute,
    7244                 :            :                 .pf =           NFPROTO_IPV6,
    7245                 :            :                 .hooknum =      NF_INET_POST_ROUTING,
    7246                 :            :                 .priority =     NF_IP6_PRI_SELINUX_LAST,
    7247                 :            :         },
    7248                 :            :         {
    7249                 :            :                 .hook =         selinux_ipv6_forward,
    7250                 :            :                 .pf =           NFPROTO_IPV6,
    7251                 :            :                 .hooknum =      NF_INET_FORWARD,
    7252                 :            :                 .priority =     NF_IP6_PRI_SELINUX_FIRST,
    7253                 :            :         },
    7254                 :            :         {
    7255                 :            :                 .hook =         selinux_ipv6_output,
    7256                 :            :                 .pf =           NFPROTO_IPV6,
    7257                 :            :                 .hooknum =      NF_INET_LOCAL_OUT,
    7258                 :            :                 .priority =     NF_IP6_PRI_SELINUX_FIRST,
    7259                 :            :         },
    7260                 :            : #endif  /* IPV6 */
    7261                 :            : };
    7262                 :            : 
    7263                 :         30 : static int __net_init selinux_nf_register(struct net *net)
    7264                 :            : {
    7265                 :         30 :         return nf_register_net_hooks(net, selinux_nf_ops,
    7266                 :            :                                      ARRAY_SIZE(selinux_nf_ops));
    7267                 :            : }
    7268                 :            : 
    7269                 :          0 : static void __net_exit selinux_nf_unregister(struct net *net)
    7270                 :            : {
    7271                 :          0 :         nf_unregister_net_hooks(net, selinux_nf_ops,
    7272                 :            :                                 ARRAY_SIZE(selinux_nf_ops));
    7273                 :          0 : }
    7274                 :            : 
    7275                 :            : static struct pernet_operations selinux_net_ops = {
    7276                 :            :         .init = selinux_nf_register,
    7277                 :            :         .exit = selinux_nf_unregister,
    7278                 :            : };
    7279                 :            : 
    7280                 :         30 : static int __init selinux_nf_ip_init(void)
    7281                 :            : {
    7282                 :         30 :         int err;
    7283                 :            : 
    7284         [ +  - ]:         30 :         if (!selinux_enabled_boot)
    7285                 :            :                 return 0;
    7286                 :            : 
    7287                 :         30 :         pr_debug("SELinux:  Registering netfilter hooks\n");
    7288                 :            : 
    7289                 :         30 :         err = register_pernet_subsys(&selinux_net_ops);
    7290         [ -  + ]:         30 :         if (err)
    7291                 :          0 :                 panic("SELinux: register_pernet_subsys: error %d\n", err);
    7292                 :            : 
    7293                 :            :         return 0;
    7294                 :            : }
    7295                 :            : __initcall(selinux_nf_ip_init);
    7296                 :            : 
    7297                 :            : #ifdef CONFIG_SECURITY_SELINUX_DISABLE
    7298                 :          0 : static void selinux_nf_ip_exit(void)
    7299                 :            : {
    7300                 :          0 :         pr_debug("SELinux:  Unregistering netfilter hooks\n");
    7301                 :            : 
    7302                 :          0 :         unregister_pernet_subsys(&selinux_net_ops);
    7303                 :          0 : }
    7304                 :            : #endif
    7305                 :            : 
    7306                 :            : #else /* CONFIG_NETFILTER */
    7307                 :            : 
    7308                 :            : #ifdef CONFIG_SECURITY_SELINUX_DISABLE
    7309                 :            : #define selinux_nf_ip_exit()
    7310                 :            : #endif
    7311                 :            : 
    7312                 :            : #endif /* CONFIG_NETFILTER */
    7313                 :            : 
    7314                 :            : #ifdef CONFIG_SECURITY_SELINUX_DISABLE
    7315                 :          0 : int selinux_disable(struct selinux_state *state)
    7316                 :            : {
    7317         [ #  # ]:          0 :         if (selinux_initialized(state)) {
    7318                 :            :                 /* Not permitted after initial policy load. */
    7319                 :            :                 return -EINVAL;
    7320                 :            :         }
    7321                 :            : 
    7322         [ #  # ]:          0 :         if (selinux_disabled(state)) {
    7323                 :            :                 /* Only do this once. */
    7324                 :            :                 return -EINVAL;
    7325                 :            :         }
    7326                 :            : 
    7327                 :          0 :         selinux_mark_disabled(state);
    7328                 :            : 
    7329                 :          0 :         pr_info("SELinux:  Disabled at runtime.\n");
    7330                 :            : 
    7331                 :            :         /*
    7332                 :            :          * Unregister netfilter hooks.
    7333                 :            :          * Must be done before security_delete_hooks() to avoid breaking
    7334                 :            :          * runtime disable.
    7335                 :            :          */
    7336                 :          0 :         selinux_nf_ip_exit();
    7337                 :            : 
    7338                 :            :         security_delete_hooks(selinux_hooks, ARRAY_SIZE(selinux_hooks));
    7339                 :            : 
    7340                 :            :         /* Try to destroy the avc node cache */
    7341                 :          0 :         avc_disable();
    7342                 :            : 
    7343                 :            :         /* Unregister selinuxfs. */
    7344                 :          0 :         exit_sel_fs();
    7345                 :            : 
    7346                 :          0 :         return 0;
    7347                 :            : }
    7348                 :            : #endif

Generated by: LCOV version 1.14