LCOV - code coverage report
Current view: top level - security/integrity - iint.c (source / functions) Hit Total Coverage
Test: combined.info Lines: 14 101 13.9 %
Date: 2022-04-01 14:35:51 Functions: 4 9 44.4 %
Branches: 2 36 5.6 %

           Branch data     Line data    Source code
       1                 :            : // SPDX-License-Identifier: GPL-2.0-only
       2                 :            : /*
       3                 :            :  * Copyright (C) 2008 IBM Corporation
       4                 :            :  *
       5                 :            :  * Authors:
       6                 :            :  * Mimi Zohar <zohar@us.ibm.com>
       7                 :            :  *
       8                 :            :  * File: integrity_iint.c
       9                 :            :  *      - implements the integrity hooks: integrity_inode_alloc,
      10                 :            :  *        integrity_inode_free
      11                 :            :  *      - cache integrity information associated with an inode
      12                 :            :  *        using a rbtree tree.
      13                 :            :  */
      14                 :            : #include <linux/slab.h>
      15                 :            : #include <linux/init.h>
      16                 :            : #include <linux/spinlock.h>
      17                 :            : #include <linux/rbtree.h>
      18                 :            : #include <linux/file.h>
      19                 :            : #include <linux/uaccess.h>
      20                 :            : #include <linux/security.h>
      21                 :            : #include <linux/lsm_hooks.h>
      22                 :            : #include "integrity.h"
      23                 :            : 
      24                 :            : static struct rb_root integrity_iint_tree = RB_ROOT;
      25                 :            : static DEFINE_RWLOCK(integrity_iint_lock);
      26                 :            : static struct kmem_cache *iint_cache __read_mostly;
      27                 :            : 
      28                 :            : struct dentry *integrity_dir;
      29                 :            : 
      30                 :            : /*
      31                 :            :  * __integrity_iint_find - return the iint associated with an inode
      32                 :            :  */
      33                 :          0 : static struct integrity_iint_cache *__integrity_iint_find(struct inode *inode)
      34                 :            : {
      35                 :          0 :         struct integrity_iint_cache *iint;
      36                 :          0 :         struct rb_node *n = integrity_iint_tree.rb_node;
      37                 :            : 
      38   [ #  #  #  # ]:          0 :         while (n) {
      39                 :          0 :                 iint = rb_entry(n, struct integrity_iint_cache, rb_node);
      40                 :            : 
      41   [ #  #  #  # ]:          0 :                 if (inode < iint->inode)
      42                 :          0 :                         n = n->rb_left;
      43   [ #  #  #  # ]:          0 :                 else if (inode > iint->inode)
      44                 :          0 :                         n = n->rb_right;
      45                 :            :                 else
      46                 :            :                         break;
      47                 :            :         }
      48   [ #  #  #  # ]:          0 :         if (!n)
      49                 :          0 :                 return NULL;
      50                 :            : 
      51                 :            :         return iint;
      52                 :            : }
      53                 :            : 
      54                 :            : /*
      55                 :            :  * integrity_iint_find - return the iint associated with an inode
      56                 :            :  */
      57                 :          0 : struct integrity_iint_cache *integrity_iint_find(struct inode *inode)
      58                 :            : {
      59                 :          0 :         struct integrity_iint_cache *iint;
      60                 :            : 
      61         [ #  # ]:          0 :         if (!IS_IMA(inode))
      62                 :            :                 return NULL;
      63                 :            : 
      64                 :          0 :         read_lock(&integrity_iint_lock);
      65                 :          0 :         iint = __integrity_iint_find(inode);
      66                 :          0 :         read_unlock(&integrity_iint_lock);
      67                 :            : 
      68                 :          0 :         return iint;
      69                 :            : }
      70                 :            : 
      71                 :          0 : static void iint_free(struct integrity_iint_cache *iint)
      72                 :            : {
      73                 :          0 :         kfree(iint->ima_hash);
      74                 :          0 :         iint->ima_hash = NULL;
      75                 :          0 :         iint->version = 0;
      76                 :          0 :         iint->flags = 0UL;
      77                 :          0 :         iint->atomic_flags = 0UL;
      78                 :          0 :         iint->ima_file_status = INTEGRITY_UNKNOWN;
      79                 :          0 :         iint->ima_mmap_status = INTEGRITY_UNKNOWN;
      80                 :          0 :         iint->ima_bprm_status = INTEGRITY_UNKNOWN;
      81                 :          0 :         iint->ima_read_status = INTEGRITY_UNKNOWN;
      82                 :          0 :         iint->ima_creds_status = INTEGRITY_UNKNOWN;
      83                 :          0 :         iint->evm_status = INTEGRITY_UNKNOWN;
      84                 :          0 :         iint->measured_pcrs = 0;
      85                 :          0 :         kmem_cache_free(iint_cache, iint);
      86                 :          0 : }
      87                 :            : 
      88                 :            : /**
      89                 :            :  * integrity_inode_get - find or allocate an iint associated with an inode
      90                 :            :  * @inode: pointer to the inode
      91                 :            :  * @return: allocated iint
      92                 :            :  *
      93                 :            :  * Caller must lock i_mutex
      94                 :            :  */
      95                 :          0 : struct integrity_iint_cache *integrity_inode_get(struct inode *inode)
      96                 :            : {
      97                 :          0 :         struct rb_node **p;
      98                 :          0 :         struct rb_node *node, *parent = NULL;
      99                 :          0 :         struct integrity_iint_cache *iint, *test_iint;
     100                 :            : 
     101                 :          0 :         iint = integrity_iint_find(inode);
     102         [ #  # ]:          0 :         if (iint)
     103                 :            :                 return iint;
     104                 :            : 
     105                 :          0 :         iint = kmem_cache_alloc(iint_cache, GFP_NOFS);
     106         [ #  # ]:          0 :         if (!iint)
     107                 :            :                 return NULL;
     108                 :            : 
     109                 :          0 :         write_lock(&integrity_iint_lock);
     110                 :            : 
     111                 :          0 :         p = &integrity_iint_tree.rb_node;
     112         [ #  # ]:          0 :         while (*p) {
     113                 :          0 :                 parent = *p;
     114                 :          0 :                 test_iint = rb_entry(parent, struct integrity_iint_cache,
     115                 :            :                                      rb_node);
     116         [ #  # ]:          0 :                 if (inode < test_iint->inode)
     117                 :          0 :                         p = &(*p)->rb_left;
     118                 :            :                 else
     119                 :          0 :                         p = &(*p)->rb_right;
     120                 :            :         }
     121                 :            : 
     122                 :          0 :         iint->inode = inode;
     123                 :          0 :         node = &iint->rb_node;
     124                 :          0 :         inode->i_flags |= S_IMA;
     125                 :          0 :         rb_link_node(node, parent, p);
     126                 :          0 :         rb_insert_color(node, &integrity_iint_tree);
     127                 :            : 
     128                 :          0 :         write_unlock(&integrity_iint_lock);
     129                 :          0 :         return iint;
     130                 :            : }
     131                 :            : 
     132                 :            : /**
     133                 :            :  * integrity_inode_free - called on security_inode_free
     134                 :            :  * @inode: pointer to the inode
     135                 :            :  *
     136                 :            :  * Free the integrity information(iint) associated with an inode.
     137                 :            :  */
     138                 :      39532 : void integrity_inode_free(struct inode *inode)
     139                 :            : {
     140                 :      39532 :         struct integrity_iint_cache *iint;
     141                 :            : 
     142         [ -  + ]:      39532 :         if (!IS_IMA(inode))
     143                 :            :                 return;
     144                 :            : 
     145                 :          0 :         write_lock(&integrity_iint_lock);
     146                 :          0 :         iint = __integrity_iint_find(inode);
     147                 :          0 :         rb_erase(&iint->rb_node, &integrity_iint_tree);
     148                 :          0 :         write_unlock(&integrity_iint_lock);
     149                 :            : 
     150                 :          0 :         iint_free(iint);
     151                 :            : }
     152                 :            : 
     153                 :          0 : static void init_once(void *foo)
     154                 :            : {
     155                 :          0 :         struct integrity_iint_cache *iint = foo;
     156                 :            : 
     157                 :          0 :         memset(iint, 0, sizeof(*iint));
     158                 :          0 :         iint->ima_file_status = INTEGRITY_UNKNOWN;
     159                 :          0 :         iint->ima_mmap_status = INTEGRITY_UNKNOWN;
     160                 :          0 :         iint->ima_bprm_status = INTEGRITY_UNKNOWN;
     161                 :          0 :         iint->ima_read_status = INTEGRITY_UNKNOWN;
     162                 :          0 :         iint->ima_creds_status = INTEGRITY_UNKNOWN;
     163                 :          0 :         iint->evm_status = INTEGRITY_UNKNOWN;
     164                 :          0 :         mutex_init(&iint->mutex);
     165                 :          0 : }
     166                 :            : 
     167                 :         21 : static int __init integrity_iintcache_init(void)
     168                 :            : {
     169                 :         42 :         iint_cache =
     170                 :         21 :             kmem_cache_create("iint_cache", sizeof(struct integrity_iint_cache),
     171                 :            :                               0, SLAB_PANIC, init_once);
     172                 :         21 :         return 0;
     173                 :            : }
     174                 :            : DEFINE_LSM(integrity) = {
     175                 :            :         .name = "integrity",
     176                 :            :         .init = integrity_iintcache_init,
     177                 :            : };
     178                 :            : 
     179                 :            : 
     180                 :            : /*
     181                 :            :  * integrity_kernel_read - read data from the file
     182                 :            :  *
     183                 :            :  * This is a function for reading file content instead of kernel_read().
     184                 :            :  * It does not perform locking checks to ensure it cannot be blocked.
     185                 :            :  * It does not perform security checks because it is irrelevant for IMA.
     186                 :            :  *
     187                 :            :  */
     188                 :          0 : int integrity_kernel_read(struct file *file, loff_t offset,
     189                 :            :                           void *addr, unsigned long count)
     190                 :            : {
     191                 :          0 :         mm_segment_t old_fs;
     192                 :          0 :         char __user *buf = (char __user *)addr;
     193                 :          0 :         ssize_t ret;
     194                 :            : 
     195         [ #  # ]:          0 :         if (!(file->f_mode & FMODE_READ))
     196                 :            :                 return -EBADF;
     197                 :            : 
     198                 :          0 :         old_fs = get_fs();
     199                 :          0 :         set_fs(KERNEL_DS);
     200                 :          0 :         ret = __vfs_read(file, buf, count, &offset);
     201                 :          0 :         set_fs(old_fs);
     202                 :            : 
     203                 :          0 :         return ret;
     204                 :            : }
     205                 :            : 
     206                 :            : /*
     207                 :            :  * integrity_load_keys - load integrity keys hook
     208                 :            :  *
     209                 :            :  * Hooks is called from init/main.c:kernel_init_freeable()
     210                 :            :  * when rootfs is ready
     211                 :            :  */
     212                 :         21 : void __init integrity_load_keys(void)
     213                 :            : {
     214                 :         21 :         ima_load_x509();
     215                 :         21 :         evm_load_x509();
     216                 :         21 : }
     217                 :            : 
     218                 :         21 : static int __init integrity_fs_init(void)
     219                 :            : {
     220                 :         21 :         integrity_dir = securityfs_create_dir("integrity", NULL);
     221         [ -  + ]:         21 :         if (IS_ERR(integrity_dir)) {
     222         [ #  # ]:          0 :                 int ret = PTR_ERR(integrity_dir);
     223                 :            : 
     224         [ #  # ]:          0 :                 if (ret != -ENODEV)
     225                 :          0 :                         pr_err("Unable to create integrity sysfs dir: %d\n",
     226                 :            :                                ret);
     227                 :          0 :                 integrity_dir = NULL;
     228                 :          0 :                 return ret;
     229                 :            :         }
     230                 :            : 
     231                 :            :         return 0;
     232                 :            : }
     233                 :            : 
     234                 :            : late_initcall(integrity_fs_init)

Generated by: LCOV version 1.14