LCOV - code coverage report
Current view: top level - security/apparmor/include - lib.h (source / functions) Hit Total Coverage
Test: Real Lines: 0 16 0.0 %
Date: 2020-10-17 15:46:16 Functions: 0 3 0.0 %
Legend: Neither, QEMU, Real, Both Branches: 0 0 - 

           Branch data     Line data    Source code
       1                 :            : /* SPDX-License-Identifier: GPL-2.0-only */
       2                 :            : /*
       3                 :            :  * AppArmor security module
       4                 :            :  *
       5                 :            :  * This file contains AppArmor lib definitions
       6                 :            :  *
       7                 :            :  * 2017 Canonical Ltd.
       8                 :            :  */
       9                 :            : 
      10                 :            : #ifndef __AA_LIB_H
      11                 :            : #define __AA_LIB_H
      12                 :            : 
      13                 :            : #include <linux/slab.h>
      14                 :            : #include <linux/fs.h>
      15                 :            : #include <linux/lsm_hooks.h>
      16                 :            : 
      17                 :            : #include "match.h"
      18                 :            : 
      19                 :            : /*
      20                 :            :  * DEBUG remains global (no per profile flag) since it is mostly used in sysctl
      21                 :            :  * which is not related to profile accesses.
      22                 :            :  */
      23                 :            : 
      24                 :            : #define DEBUG_ON (aa_g_debug)
      25                 :            : #define dbg_printk(__fmt, __args...) pr_debug(__fmt, ##__args)
      26                 :            : #define AA_DEBUG(fmt, args...)                                          \
      27                 :            :         do {                                                            \
      28                 :            :                 if (DEBUG_ON)                                           \
      29                 :            :                         pr_debug_ratelimited("AppArmor: " fmt, ##args);       \
      30                 :            :         } while (0)
      31                 :            : 
      32                 :            : #define AA_WARN(X) WARN((X), "APPARMOR WARN %s: %s\n", __func__, #X)
      33                 :            : 
      34                 :            : #define AA_BUG(X, args...) AA_BUG_FMT((X), "" args)
      35                 :            : #ifdef CONFIG_SECURITY_APPARMOR_DEBUG_ASSERTS
      36                 :            : #define AA_BUG_FMT(X, fmt, args...)                                     \
      37                 :            :         WARN((X), "AppArmor WARN %s: (" #X "): " fmt, __func__, ##args)
      38                 :            : #else
      39                 :            : #define AA_BUG_FMT(X, fmt, args...)
      40                 :            : #endif
      41                 :            : 
      42                 :            : #define AA_ERROR(fmt, args...)                                          \
      43                 :            :         pr_err_ratelimited("AppArmor: " fmt, ##args)
      44                 :            : 
      45                 :            : /* Flag indicating whether initialization completed */
      46                 :            : extern int apparmor_initialized;
      47                 :            : 
      48                 :            : /* fn's in lib */
      49                 :            : const char *skipn_spaces(const char *str, size_t n);
      50                 :            : char *aa_split_fqname(char *args, char **ns_name);
      51                 :            : const char *aa_splitn_fqname(const char *fqname, size_t n, const char **ns_name,
      52                 :            :                              size_t *ns_len);
      53                 :            : void aa_info_message(const char *str);
      54                 :            : 
      55                 :            : /* Security blob offsets */
      56                 :            : extern struct lsm_blob_sizes apparmor_blob_sizes;
      57                 :            : 
      58                 :            : /**
      59                 :            :  * aa_strneq - compare null terminated @str to a non null terminated substring
      60                 :            :  * @str: a null terminated string
      61                 :            :  * @sub: a substring, not necessarily null terminated
      62                 :            :  * @len: length of @sub to compare
      63                 :            :  *
      64                 :            :  * The @str string must be full consumed for this to be considered a match
      65                 :            :  */
      66                 :          0 : static inline bool aa_strneq(const char *str, const char *sub, int len)
      67                 :            : {
      68                 :          0 :         return !strncmp(str, sub, len) && !str[len];
      69                 :            : }
      70                 :            : 
      71                 :            : /**
      72                 :            :  * aa_dfa_null_transition - step to next state after null character
      73                 :            :  * @dfa: the dfa to match against
      74                 :            :  * @start: the state of the dfa to start matching in
      75                 :            :  *
      76                 :            :  * aa_dfa_null_transition transitions to the next state after a null
      77                 :            :  * character which is not used in standard matching and is only
      78                 :            :  * used to separate pairs.
      79                 :            :  */
      80                 :            : static inline unsigned int aa_dfa_null_transition(struct aa_dfa *dfa,
      81                 :            :                                                   unsigned int start)
      82                 :            : {
      83                 :            :         /* the null transition only needs the string's null terminator byte */
      84                 :          0 :         return aa_dfa_next(dfa, start, 0);
      85                 :            : }
      86                 :            : 
      87                 :            : static inline bool path_mediated_fs(struct dentry *dentry)
      88                 :            : {
      89                 :          0 :         return !(dentry->d_sb->s_flags & SB_NOUSER);
      90                 :            : }
      91                 :            : 
      92                 :            : 
      93                 :            : struct counted_str {
      94                 :            :         struct kref count;
      95                 :            :         char name[];
      96                 :            : };
      97                 :            : 
      98                 :            : #define str_to_counted(str) \
      99                 :            :         ((struct counted_str *)(str - offsetof(struct counted_str, name)))
     100                 :            : 
     101                 :            : #define __counted       /* atm just a notation */
     102                 :            : 
     103                 :            : void aa_str_kref(struct kref *kref);
     104                 :            : char *aa_str_alloc(int size, gfp_t gfp);
     105                 :            : 
     106                 :            : 
     107                 :            : static inline __counted char *aa_get_str(__counted char *str)
     108                 :            : {
     109                 :          0 :         if (str)
     110                 :            :                 kref_get(&(str_to_counted(str)->count));
     111                 :            : 
     112                 :            :         return str;
     113                 :            : }
     114                 :            : 
     115                 :            : static inline void aa_put_str(__counted char *str)
     116                 :            : {
     117                 :          0 :         if (str)
     118                 :          0 :                 kref_put(&str_to_counted(str)->count, aa_str_kref);
     119                 :            : }
     120                 :            : 
     121                 :            : 
     122                 :            : /* struct aa_policy - common part of both namespaces and profiles
     123                 :            :  * @name: name of the object
     124                 :            :  * @hname - The hierarchical name
     125                 :            :  * @list: list policy object is on
     126                 :            :  * @profiles: head of the profiles list contained in the object
     127                 :            :  */
     128                 :            : struct aa_policy {
     129                 :            :         const char *name;
     130                 :            :         __counted char *hname;
     131                 :            :         struct list_head list;
     132                 :            :         struct list_head profiles;
     133                 :            : };
     134                 :            : 
     135                 :            : /**
     136                 :            :  * basename - find the last component of an hname
     137                 :            :  * @name: hname to find the base profile name component of  (NOT NULL)
     138                 :            :  *
     139                 :            :  * Returns: the tail (base profile name) name component of an hname
     140                 :            :  */
     141                 :          0 : static inline const char *basename(const char *hname)
     142                 :            : {
     143                 :            :         char *split;
     144                 :            : 
     145                 :          0 :         hname = strim((char *)hname);
     146                 :          0 :         for (split = strstr(hname, "//"); split; split = strstr(hname, "//"))
     147                 :          0 :                 hname = split + 2;
     148                 :            : 
     149                 :          0 :         return hname;
     150                 :            : }
     151                 :            : 
     152                 :            : /**
     153                 :            :  * __policy_find - find a policy by @name on a policy list
     154                 :            :  * @head: list to search  (NOT NULL)
     155                 :            :  * @name: name to search for  (NOT NULL)
     156                 :            :  *
     157                 :            :  * Requires: rcu_read_lock be held
     158                 :            :  *
     159                 :            :  * Returns: unrefcounted policy that match @name or NULL if not found
     160                 :            :  */
     161                 :            : static inline struct aa_policy *__policy_find(struct list_head *head,
     162                 :            :                                               const char *name)
     163                 :            : {
     164                 :            :         struct aa_policy *policy;
     165                 :            : 
     166                 :            :         list_for_each_entry_rcu(policy, head, list) {
     167                 :            :                 if (!strcmp(policy->name, name))
     168                 :            :                         return policy;
     169                 :            :         }
     170                 :            :         return NULL;
     171                 :            : }
     172                 :            : 
     173                 :            : /**
     174                 :            :  * __policy_strn_find - find a policy that's name matches @len chars of @str
     175                 :            :  * @head: list to search  (NOT NULL)
     176                 :            :  * @str: string to search for  (NOT NULL)
     177                 :            :  * @len: length of match required
     178                 :            :  *
     179                 :            :  * Requires: rcu_read_lock be held
     180                 :            :  *
     181                 :            :  * Returns: unrefcounted policy that match @str or NULL if not found
     182                 :            :  *
     183                 :            :  * if @len == strlen(@strlen) then this is equiv to __policy_find
     184                 :            :  * other wise it allows searching for policy by a partial match of name
     185                 :            :  */
     186                 :          0 : static inline struct aa_policy *__policy_strn_find(struct list_head *head,
     187                 :            :                                             const char *str, int len)
     188                 :            : {
     189                 :            :         struct aa_policy *policy;
     190                 :            : 
     191                 :          0 :         list_for_each_entry_rcu(policy, head, list) {
     192                 :          0 :                 if (aa_strneq(policy->name, str, len))
     193                 :          0 :                         return policy;
     194                 :            :         }
     195                 :            : 
     196                 :            :         return NULL;
     197                 :            : }
     198                 :            : 
     199                 :            : bool aa_policy_init(struct aa_policy *policy, const char *prefix,
     200                 :            :                     const char *name, gfp_t gfp);
     201                 :            : void aa_policy_destroy(struct aa_policy *policy);
     202                 :            : 
     203                 :            : 
     204                 :            : /*
     205                 :            :  * fn_label_build - abstract out the build of a label transition
     206                 :            :  * @L: label the transition is being computed for
     207                 :            :  * @P: profile parameter derived from L by this macro, can be passed to FN
     208                 :            :  * @GFP: memory allocation type to use
     209                 :            :  * @FN: fn to call for each profile transition. @P is set to the profile
     210                 :            :  *
     211                 :            :  * Returns: new label on success
     212                 :            :  *          ERR_PTR if build @FN fails
     213                 :            :  *          NULL if label_build fails due to low memory conditions
     214                 :            :  *
     215                 :            :  * @FN must return a label or ERR_PTR on failure. NULL is not allowed
     216                 :            :  */
     217                 :            : #define fn_label_build(L, P, GFP, FN)                                   \
     218                 :            : ({                                                                      \
     219                 :            :         __label__ __cleanup, __done;                                    \
     220                 :            :         struct aa_label *__new_;                                        \
     221                 :            :                                                                         \
     222                 :            :         if ((L)->size > 1) {                                              \
     223                 :            :                 /* TODO: add cache of transitions already done */       \
     224                 :            :                 struct label_it __i;                                    \
     225                 :            :                 int __j, __k, __count;                                  \
     226                 :            :                 DEFINE_VEC(label, __lvec);                              \
     227                 :            :                 DEFINE_VEC(profile, __pvec);                            \
     228                 :            :                 if (vec_setup(label, __lvec, (L)->size, (GFP)))      {       \
     229                 :            :                         __new_ = NULL;                                  \
     230                 :            :                         goto __done;                                    \
     231                 :            :                 }                                                       \
     232                 :            :                 __j = 0;                                                \
     233                 :            :                 label_for_each(__i, (L), (P)) {                         \
     234                 :            :                         __new_ = (FN);                                  \
     235                 :            :                         AA_BUG(!__new_);                                \
     236                 :            :                         if (IS_ERR(__new_))                             \
     237                 :            :                                 goto __cleanup;                         \
     238                 :            :                         __lvec[__j++] = __new_;                         \
     239                 :            :                 }                                                       \
     240                 :            :                 for (__j = __count = 0; __j < (L)->size; __j++)           \
     241                 :            :                         __count += __lvec[__j]->size;                        \
     242                 :            :                 if (!vec_setup(profile, __pvec, __count, (GFP))) {      \
     243                 :            :                         for (__j = __k = 0; __j < (L)->size; __j++) {     \
     244                 :            :                                 label_for_each(__i, __lvec[__j], (P))   \
     245                 :            :                                         __pvec[__k++] = aa_get_profile(P); \
     246                 :            :                         }                                               \
     247                 :            :                         __count -= aa_vec_unique(__pvec, __count, 0);   \
     248                 :            :                         if (__count > 1) {                           \
     249                 :            :                                 __new_ = aa_vec_find_or_create_label(__pvec,\
     250                 :            :                                                      __count, (GFP));   \
     251                 :            :                                 /* only fails if out of Mem */          \
     252                 :            :                                 if (!__new_)                            \
     253                 :            :                                         __new_ = NULL;                  \
     254                 :            :                         } else                                          \
     255                 :            :                                 __new_ = aa_get_label(&__pvec[0]->label); \
     256                 :            :                         vec_cleanup(profile, __pvec, __count);          \
     257                 :            :                 } else                                                  \
     258                 :            :                         __new_ = NULL;                                  \
     259                 :            : __cleanup:                                                              \
     260                 :            :                 vec_cleanup(label, __lvec, (L)->size);                       \
     261                 :            :         } else {                                                        \
     262                 :            :                 (P) = labels_profile(L);                                \
     263                 :            :                 __new_ = (FN);                                          \
     264                 :            :         }                                                               \
     265                 :            : __done:                                                                 \
     266                 :            :         if (!__new_)                                                    \
     267                 :            :                 AA_DEBUG("label build failed\n");                     \
     268                 :            :         (__new_);                                                       \
     269                 :            : })
     270                 :            : 
     271                 :            : 
     272                 :            : #define __fn_build_in_ns(NS, P, NS_FN, OTHER_FN)                        \
     273                 :            : ({                                                                      \
     274                 :            :         struct aa_label *__new;                                         \
     275                 :            :         if ((P)->ns != (NS))                                         \
     276                 :            :                 __new = (OTHER_FN);                                     \
     277                 :            :         else                                                            \
     278                 :            :                 __new = (NS_FN);                                        \
     279                 :            :         (__new);                                                        \
     280                 :            : })
     281                 :            : 
     282                 :            : #define fn_label_build_in_ns(L, P, GFP, NS_FN, OTHER_FN)                \
     283                 :            : ({                                                                      \
     284                 :            :         fn_label_build((L), (P), (GFP),                                 \
     285                 :            :                 __fn_build_in_ns(labels_ns(L), (P), (NS_FN), (OTHER_FN))); \
     286                 :            : })
     287                 :            : 
     288                 :            : #endif /* __AA_LIB_H */

Generated by: LCOV version 1.14