Branch data Line data Source code
1 : : /* SPDX-License-Identifier: GPL-2.0-only */
2 : : /*
3 : : * A policy database (policydb) specifies the
4 : : * configuration data for the security policy.
5 : : *
6 : : * Author : Stephen Smalley, <sds@tycho.nsa.gov>
7 : : */
8 : :
9 : : /*
10 : : * Updated: Trusted Computer Solutions, Inc. <dgoeddel@trustedcs.com>
11 : : *
12 : : * Support for enhanced MLS infrastructure.
13 : : *
14 : : * Updated: Frank Mayer <mayerf@tresys.com> and Karl MacMillan <kmacmillan@tresys.com>
15 : : *
16 : : * Added conditional policy language extensions
17 : : *
18 : : * Copyright (C) 2004-2005 Trusted Computer Solutions, Inc.
19 : : * Copyright (C) 2003 - 2004 Tresys Technology, LLC
20 : : */
21 : :
22 : : #ifndef _SS_POLICYDB_H_
23 : : #define _SS_POLICYDB_H_
24 : :
25 : : #include "symtab.h"
26 : : #include "avtab.h"
27 : : #include "sidtab.h"
28 : : #include "ebitmap.h"
29 : : #include "mls_types.h"
30 : : #include "context.h"
31 : : #include "constraint.h"
32 : :
33 : : /*
34 : : * A datum type is defined for each kind of symbol
35 : : * in the configuration data: individual permissions,
36 : : * common prefixes for access vectors, classes,
37 : : * users, roles, types, sensitivities, categories, etc.
38 : : */
39 : :
40 : : /* Permission attributes */
41 : : struct perm_datum {
42 : : u32 value; /* permission bit + 1 */
43 : : };
44 : :
45 : : /* Attributes of a common prefix for access vectors */
46 : : struct common_datum {
47 : : u32 value; /* internal common value */
48 : : struct symtab permissions; /* common permissions */
49 : : };
50 : :
51 : : /* Class attributes */
52 : : struct class_datum {
53 : : u32 value; /* class value */
54 : : char *comkey; /* common name */
55 : : struct common_datum *comdatum; /* common datum */
56 : : struct symtab permissions; /* class-specific permission symbol table */
57 : : struct constraint_node *constraints; /* constraints on class permissions */
58 : : struct constraint_node *validatetrans; /* special transition rules */
59 : : /* Options how a new object user, role, and type should be decided */
60 : : #define DEFAULT_SOURCE 1
61 : : #define DEFAULT_TARGET 2
62 : : char default_user;
63 : : char default_role;
64 : : char default_type;
65 : : /* Options how a new object range should be decided */
66 : : #define DEFAULT_SOURCE_LOW 1
67 : : #define DEFAULT_SOURCE_HIGH 2
68 : : #define DEFAULT_SOURCE_LOW_HIGH 3
69 : : #define DEFAULT_TARGET_LOW 4
70 : : #define DEFAULT_TARGET_HIGH 5
71 : : #define DEFAULT_TARGET_LOW_HIGH 6
72 : : #define DEFAULT_GLBLUB 7
73 : : char default_range;
74 : : };
75 : :
76 : : /* Role attributes */
77 : : struct role_datum {
78 : : u32 value; /* internal role value */
79 : : u32 bounds; /* boundary of role */
80 : : struct ebitmap dominates; /* set of roles dominated by this role */
81 : : struct ebitmap types; /* set of authorized types for role */
82 : : };
83 : :
84 : : struct role_trans {
85 : : u32 role; /* current role */
86 : : u32 type; /* program executable type, or new object type */
87 : : u32 tclass; /* process class, or new object class */
88 : : u32 new_role; /* new role */
89 : : struct role_trans *next;
90 : : };
91 : :
92 : : struct filename_trans {
93 : : u32 stype; /* current process */
94 : : u32 ttype; /* parent dir context */
95 : : u16 tclass; /* class of new object */
96 : : const char *name; /* last path component */
97 : : };
98 : :
99 : : struct filename_trans_datum {
100 : : u32 otype; /* expected of new object */
101 : : };
102 : :
103 : : struct role_allow {
104 : : u32 role; /* current role */
105 : : u32 new_role; /* new role */
106 : : struct role_allow *next;
107 : : };
108 : :
109 : : /* Type attributes */
110 : : struct type_datum {
111 : : u32 value; /* internal type value */
112 : : u32 bounds; /* boundary of type */
113 : : unsigned char primary; /* primary name? */
114 : : unsigned char attribute;/* attribute ?*/
115 : : };
116 : :
117 : : /* User attributes */
118 : : struct user_datum {
119 : : u32 value; /* internal user value */
120 : : u32 bounds; /* bounds of user */
121 : : struct ebitmap roles; /* set of authorized roles for user */
122 : : struct mls_range range; /* MLS range (min - max) for user */
123 : : struct mls_level dfltlevel; /* default login MLS level for user */
124 : : };
125 : :
126 : :
127 : : /* Sensitivity attributes */
128 : : struct level_datum {
129 : : struct mls_level *level; /* sensitivity and associated categories */
130 : : unsigned char isalias; /* is this sensitivity an alias for another? */
131 : : };
132 : :
133 : : /* Category attributes */
134 : : struct cat_datum {
135 : : u32 value; /* internal category bit + 1 */
136 : : unsigned char isalias; /* is this category an alias for another? */
137 : : };
138 : :
139 : : struct range_trans {
140 : : u32 source_type;
141 : : u32 target_type;
142 : : u32 target_class;
143 : : };
144 : :
145 : : /* Boolean data type */
146 : : struct cond_bool_datum {
147 : : __u32 value; /* internal type value */
148 : : int state;
149 : : };
150 : :
151 : : struct cond_node;
152 : :
153 : : /*
154 : : * type set preserves data needed to determine constraint info from
155 : : * policy source. This is not used by the kernel policy but allows
156 : : * utilities such as audit2allow to determine constraint denials.
157 : : */
158 : : struct type_set {
159 : : struct ebitmap types;
160 : : struct ebitmap negset;
161 : : u32 flags;
162 : : };
163 : :
164 : : /*
165 : : * The configuration data includes security contexts for
166 : : * initial SIDs, unlabeled file systems, TCP and UDP port numbers,
167 : : * network interfaces, and nodes. This structure stores the
168 : : * relevant data for one such entry. Entries of the same kind
169 : : * (e.g. all initial SIDs) are linked together into a list.
170 : : */
171 : : struct ocontext {
172 : : union {
173 : : char *name; /* name of initial SID, fs, netif, fstype, path */
174 : : struct {
175 : : u8 protocol;
176 : : u16 low_port;
177 : : u16 high_port;
178 : : } port; /* TCP or UDP port information */
179 : : struct {
180 : : u32 addr;
181 : : u32 mask;
182 : : } node; /* node information */
183 : : struct {
184 : : u32 addr[4];
185 : : u32 mask[4];
186 : : } node6; /* IPv6 node information */
187 : : struct {
188 : : u64 subnet_prefix;
189 : : u16 low_pkey;
190 : : u16 high_pkey;
191 : : } ibpkey;
192 : : struct {
193 : : char *dev_name;
194 : : u8 port;
195 : : } ibendport;
196 : : } u;
197 : : union {
198 : : u32 sclass; /* security class for genfs */
199 : : u32 behavior; /* labeling behavior for fs_use */
200 : : } v;
201 : : struct context context[2]; /* security context(s) */
202 : : u32 sid[2]; /* SID(s) */
203 : : struct ocontext *next;
204 : : };
205 : :
206 : : struct genfs {
207 : : char *fstype;
208 : : struct ocontext *head;
209 : : struct genfs *next;
210 : : };
211 : :
212 : : /* symbol table array indices */
213 : : #define SYM_COMMONS 0
214 : : #define SYM_CLASSES 1
215 : : #define SYM_ROLES 2
216 : : #define SYM_TYPES 3
217 : : #define SYM_USERS 4
218 : : #define SYM_BOOLS 5
219 : : #define SYM_LEVELS 6
220 : : #define SYM_CATS 7
221 : : #define SYM_NUM 8
222 : :
223 : : /* object context array indices */
224 : : #define OCON_ISID 0 /* initial SIDs */
225 : : #define OCON_FS 1 /* unlabeled file systems */
226 : : #define OCON_PORT 2 /* TCP and UDP port numbers */
227 : : #define OCON_NETIF 3 /* network interfaces */
228 : : #define OCON_NODE 4 /* nodes */
229 : : #define OCON_FSUSE 5 /* fs_use */
230 : : #define OCON_NODE6 6 /* IPv6 nodes */
231 : : #define OCON_IBPKEY 7 /* Infiniband PKeys */
232 : : #define OCON_IBENDPORT 8 /* Infiniband end ports */
233 : : #define OCON_NUM 9
234 : :
235 : : /* The policy database */
236 : : struct policydb {
237 : : int mls_enabled;
238 : :
239 : : /* symbol tables */
240 : : struct symtab symtab[SYM_NUM];
241 : : #define p_commons symtab[SYM_COMMONS]
242 : : #define p_classes symtab[SYM_CLASSES]
243 : : #define p_roles symtab[SYM_ROLES]
244 : : #define p_types symtab[SYM_TYPES]
245 : : #define p_users symtab[SYM_USERS]
246 : : #define p_bools symtab[SYM_BOOLS]
247 : : #define p_levels symtab[SYM_LEVELS]
248 : : #define p_cats symtab[SYM_CATS]
249 : :
250 : : /* symbol names indexed by (value - 1) */
251 : : char **sym_val_to_name[SYM_NUM];
252 : :
253 : : /* class, role, and user attributes indexed by (value - 1) */
254 : : struct class_datum **class_val_to_struct;
255 : : struct role_datum **role_val_to_struct;
256 : : struct user_datum **user_val_to_struct;
257 : : struct type_datum **type_val_to_struct;
258 : :
259 : : /* type enforcement access vectors and transitions */
260 : : struct avtab te_avtab;
261 : :
262 : : /* role transitions */
263 : : struct role_trans *role_tr;
264 : :
265 : : /* file transitions with the last path component */
266 : : /* quickly exclude lookups when parent ttype has no rules */
267 : : struct ebitmap filename_trans_ttypes;
268 : : /* actual set of filename_trans rules */
269 : : struct hashtab *filename_trans;
270 : :
271 : : /* bools indexed by (value - 1) */
272 : : struct cond_bool_datum **bool_val_to_struct;
273 : : /* type enforcement conditional access vectors and transitions */
274 : : struct avtab te_cond_avtab;
275 : : /* linked list indexing te_cond_avtab by conditional */
276 : : struct cond_node *cond_list;
277 : :
278 : : /* role allows */
279 : : struct role_allow *role_allow;
280 : :
281 : : /* security contexts of initial SIDs, unlabeled file systems,
282 : : TCP or UDP port numbers, network interfaces and nodes */
283 : : struct ocontext *ocontexts[OCON_NUM];
284 : :
285 : : /* security contexts for files in filesystems that cannot support
286 : : a persistent label mapping or use another
287 : : fixed labeling behavior. */
288 : : struct genfs *genfs;
289 : :
290 : : /* range transitions table (range_trans_key -> mls_range) */
291 : : struct hashtab *range_tr;
292 : :
293 : : /* type -> attribute reverse mapping */
294 : : struct ebitmap *type_attr_map_array;
295 : :
296 : : struct ebitmap policycaps;
297 : :
298 : : struct ebitmap permissive_map;
299 : :
300 : : /* length of this policy when it was loaded */
301 : : size_t len;
302 : :
303 : : unsigned int policyvers;
304 : :
305 : : unsigned int reject_unknown : 1;
306 : : unsigned int allow_unknown : 1;
307 : :
308 : : u16 process_class;
309 : : u32 process_trans_perms;
310 : : } __randomize_layout;
311 : :
312 : : extern void policydb_destroy(struct policydb *p);
313 : : extern int policydb_load_isids(struct policydb *p, struct sidtab *s);
314 : : extern int policydb_context_isvalid(struct policydb *p, struct context *c);
315 : : extern int policydb_class_isvalid(struct policydb *p, unsigned int class);
316 : : extern int policydb_type_isvalid(struct policydb *p, unsigned int type);
317 : : extern int policydb_role_isvalid(struct policydb *p, unsigned int role);
318 : : extern int policydb_read(struct policydb *p, void *fp);
319 : : extern int policydb_write(struct policydb *p, void *fp);
320 : :
321 : : #define PERM_SYMTAB_SIZE 32
322 : :
323 : : #define POLICYDB_CONFIG_MLS 1
324 : :
325 : : /* the config flags related to unknown classes/perms are bits 2 and 3 */
326 : : #define REJECT_UNKNOWN 0x00000002
327 : : #define ALLOW_UNKNOWN 0x00000004
328 : :
329 : : #define OBJECT_R "object_r"
330 : : #define OBJECT_R_VAL 1
331 : :
332 : : #define POLICYDB_MAGIC SELINUX_MAGIC
333 : : #define POLICYDB_STRING "SE Linux"
334 : :
335 : : struct policy_file {
336 : : char *data;
337 : : size_t len;
338 : : };
339 : :
340 : : struct policy_data {
341 : : struct policydb *p;
342 : : void *fp;
343 : : };
344 : :
345 : 0 : static inline int next_entry(void *buf, struct policy_file *fp, size_t bytes)
346 : : {
347 [ # # # # : 0 : if (bytes > fp->len)
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # # #
# # # ]
348 : : return -EINVAL;
349 : :
350 : 0 : memcpy(buf, fp->data, bytes);
351 : 0 : fp->data += bytes;
352 : 0 : fp->len -= bytes;
353 [ # # # # : 0 : return 0;
# # # # #
# # # # #
# # # # #
# # # #
# ]
354 : : }
355 : :
356 : 0 : static inline int put_entry(const void *buf, size_t bytes, int num, struct policy_file *fp)
357 : : {
358 : 0 : size_t len = bytes * num;
359 : :
360 : 0 : memcpy(fp->data, buf, len);
361 : 0 : fp->data += len;
362 : 0 : fp->len -= len;
363 : :
364 [ # # # # : 0 : return 0;
# # ]
365 : : }
366 : :
367 : 0 : static inline char *sym_name(struct policydb *p, unsigned int sym_num, unsigned int element_nr)
368 : : {
369 [ # # ]: 0 : return p->sym_val_to_name[sym_num][element_nr];
370 : : }
371 : :
372 : : extern u16 string_to_security_class(struct policydb *p, const char *name);
373 : : extern u32 string_to_av_perm(struct policydb *p, u16 tclass, const char *name);
374 : :
375 : : #endif /* _SS_POLICYDB_H_ */
376 : :
|