LCOV - code coverage report
Current view: top level - security - commoncap.c (source / functions) Hit Total Coverage
Test: Real Lines: 218 370 58.9 %
Date: 2020-10-17 15:46:16 Functions: 0 32 0.0 %
Legend: Neither, QEMU, Real, Both Branches: 0 0 -

           Branch data     Line data    Source code
       1                 :            : // SPDX-License-Identifier: GPL-2.0-or-later
       2                 :            : /* Common capabilities, needed by capability.o.
       3                 :            :  */
       4                 :            : 
       5                 :            : #include <linux/capability.h>
       6                 :            : #include <linux/audit.h>
       7                 :            : #include <linux/init.h>
       8                 :            : #include <linux/kernel.h>
       9                 :            : #include <linux/lsm_hooks.h>
      10                 :            : #include <linux/file.h>
      11                 :            : #include <linux/mm.h>
      12                 :            : #include <linux/mman.h>
      13                 :            : #include <linux/pagemap.h>
      14                 :            : #include <linux/swap.h>
      15                 :            : #include <linux/skbuff.h>
      16                 :            : #include <linux/netlink.h>
      17                 :            : #include <linux/ptrace.h>
      18                 :            : #include <linux/xattr.h>
      19                 :            : #include <linux/hugetlb.h>
      20                 :            : #include <linux/mount.h>
      21                 :            : #include <linux/sched.h>
      22                 :            : #include <linux/prctl.h>
      23                 :            : #include <linux/securebits.h>
      24                 :            : #include <linux/user_namespace.h>
      25                 :            : #include <linux/binfmts.h>
      26                 :            : #include <linux/personality.h>
      27                 :            : 
      28                 :            : /*
      29                 :            :  * If a non-root user executes a setuid-root binary in
      30                 :            :  * !secure(SECURE_NOROOT) mode, then we raise capabilities.
      31                 :            :  * However if fE is also set, then the intent is for only
      32                 :            :  * the file capabilities to be applied, and the setuid-root
      33                 :            :  * bit is left on either to change the uid (plausible) or
      34                 :            :  * to get full privilege on a kernel without file capabilities
      35                 :            :  * support.  So in that case we do not raise capabilities.
      36                 :            :  *
      37                 :            :  * Warn if that happens, once per boot.
      38                 :            :  */
      39                 :            : static void warn_setuid_and_fcaps_mixed(const char *fname)
      40                 :            : {
      41                 :            :         static int warned;
      42                 :          0 :         if (!warned) {
      43                 :          0 :                 printk(KERN_INFO "warning: `%s' has both setuid-root and"
      44                 :            :                         " effective capabilities. Therefore not raising all"
      45                 :            :                         " capabilities.\n", fname);
      46                 :          0 :                 warned = 1;
      47                 :            :         }
      48                 :            : }
      49                 :            : 
      50                 :            : /**
      51                 :            :  * cap_capable - Determine whether a task has a particular effective capability
      52                 :            :  * @cred: The credentials to use
      53                 :            :  * @ns:  The user namespace in which we need the capability
      54                 :            :  * @cap: The capability to check for
      55                 :            :  * @opts: Bitmask of options defined in include/linux/security.h
      56                 :            :  *
      57                 :            :  * Determine whether the nominated task has the specified capability amongst
      58                 :            :  * its effective set, returning 0 if it does, -ve if it does not.
      59                 :            :  *
      60                 :            :  * NOTE WELL: cap_has_capability() cannot be used like the kernel's capable()
      61                 :            :  * and has_capability() functions.  That is, it has the reverse semantics:
      62                 :            :  * cap_has_capability() returns 0 when a task has a capability, but the
      63                 :            :  * kernel's capable() and has_capability() returns 1 for this case.
      64                 :            :  */
      65                 :          3 : int cap_capable(const struct cred *cred, struct user_namespace *targ_ns,
      66                 :            :                 int cap, unsigned int opts)
      67                 :            : {
      68                 :            :         struct user_namespace *ns = targ_ns;
      69                 :            : 
      70                 :            :         /* See if cred has the capability in the target user namespace
      71                 :            :          * by examining the target user namespace and all of the target
      72                 :            :          * user namespace's parents.
      73                 :            :          */
      74                 :            :         for (;;) {
      75                 :            :                 /* Do we have the necessary capabilities? */
      76                 :          3 :                 if (ns == cred->user_ns)
      77                 :          3 :                         return cap_raised(cred->cap_effective, cap) ? 0 : -EPERM;
      78                 :            : 
      79                 :            :                 /*
      80                 :            :                  * If we're already at a lower level than we're looking for,
      81                 :            :                  * we're done searching.
      82                 :            :                  */
      83                 :          1 :                 if (ns->level <= cred->user_ns->level)
      84                 :            :                         return -EPERM;
      85                 :            : 
      86                 :            :                 /* 
      87                 :            :                  * The owner of the user namespace in the parent of the
      88                 :            :                  * user namespace has all caps.
      89                 :            :                  */
      90                 :          1 :                 if ((ns->parent == cred->user_ns) && uid_eq(ns->owner, cred->euid))
      91                 :            :                         return 0;
      92                 :            : 
      93                 :            :                 /*
      94                 :            :                  * If you have a capability in a parent user ns, then you have
      95                 :            :                  * it over all children user namespaces as well.
      96                 :            :                  */
      97                 :            :                 ns = ns->parent;
      98                 :            :         }
      99                 :            : 
     100                 :            :         /* We never get here */
     101                 :            : }
     102                 :            : 
     103                 :            : /**
     104                 :            :  * cap_settime - Determine whether the current process may set the system clock
     105                 :            :  * @ts: The time to set
     106                 :            :  * @tz: The timezone to set
     107                 :            :  *
     108                 :            :  * Determine whether the current process may set the system clock and timezone
     109                 :            :  * information, returning 0 if permission granted, -ve if denied.
     110                 :            :  */
     111                 :          3 : int cap_settime(const struct timespec64 *ts, const struct timezone *tz)
     112                 :            : {
     113                 :          3 :         if (!capable(CAP_SYS_TIME))
     114                 :            :                 return -EPERM;
     115                 :          3 :         return 0;
     116                 :            : }
     117                 :            : 
     118                 :            : /**
     119                 :            :  * cap_ptrace_access_check - Determine whether the current process may access
     120                 :            :  *                         another
     121                 :            :  * @child: The process to be accessed
     122                 :            :  * @mode: The mode of attachment.
     123                 :            :  *
     124                 :            :  * If we are in the same or an ancestor user_ns and have all the target
     125                 :            :  * task's capabilities, then ptrace access is allowed.
     126                 :            :  * If we have the ptrace capability to the target user_ns, then ptrace
     127                 :            :  * access is allowed.
     128                 :            :  * Else denied.
     129                 :            :  *
     130                 :            :  * Determine whether a process may access another, returning 0 if permission
     131                 :            :  * granted, -ve if denied.
     132                 :            :  */
     133                 :          3 : int cap_ptrace_access_check(struct task_struct *child, unsigned int mode)
     134                 :            : {
     135                 :            :         int ret = 0;
     136                 :            :         const struct cred *cred, *child_cred;
     137                 :            :         const kernel_cap_t *caller_caps;
     138                 :            : 
     139                 :            :         rcu_read_lock();
     140                 :          3 :         cred = current_cred();
     141                 :          3 :         child_cred = __task_cred(child);
     142                 :          3 :         if (mode & PTRACE_MODE_FSCREDS)
     143                 :          3 :                 caller_caps = &cred->cap_effective;
     144                 :            :         else
     145                 :          0 :                 caller_caps = &cred->cap_permitted;
     146                 :          3 :         if (cred->user_ns == child_cred->user_ns &&
     147                 :          3 :             cap_issubset(child_cred->cap_permitted, *caller_caps))
     148                 :            :                 goto out;
     149                 :          3 :         if (ns_capable(child_cred->user_ns, CAP_SYS_PTRACE))
     150                 :            :                 goto out;
     151                 :            :         ret = -EPERM;
     152                 :            : out:
     153                 :            :         rcu_read_unlock();
     154                 :          3 :         return ret;
     155                 :            : }
     156                 :            : 
     157                 :            : /**
     158                 :            :  * cap_ptrace_traceme - Determine whether another process may trace the current
     159                 :            :  * @parent: The task proposed to be the tracer
     160                 :            :  *
     161                 :            :  * If parent is in the same or an ancestor user_ns and has all current's
     162                 :            :  * capabilities, then ptrace access is allowed.
     163                 :            :  * If parent has the ptrace capability to current's user_ns, then ptrace
     164                 :            :  * access is allowed.
     165                 :            :  * Else denied.
     166                 :            :  *
     167                 :            :  * Determine whether the nominated task is permitted to trace the current
     168                 :            :  * process, returning 0 if permission is granted, -ve if denied.
     169                 :            :  */
     170                 :          0 : int cap_ptrace_traceme(struct task_struct *parent)
     171                 :            : {
     172                 :            :         int ret = 0;
     173                 :            :         const struct cred *cred, *child_cred;
     174                 :            : 
     175                 :            :         rcu_read_lock();
     176                 :          0 :         cred = __task_cred(parent);
     177                 :          0 :         child_cred = current_cred();
     178                 :          0 :         if (cred->user_ns == child_cred->user_ns &&
     179                 :          0 :             cap_issubset(child_cred->cap_permitted, cred->cap_permitted))
     180                 :            :                 goto out;
     181                 :          0 :         if (has_ns_capability(parent, child_cred->user_ns, CAP_SYS_PTRACE))
     182                 :            :                 goto out;
     183                 :            :         ret = -EPERM;
     184                 :            : out:
     185                 :            :         rcu_read_unlock();
     186                 :          0 :         return ret;
     187                 :            : }
     188                 :            : 
     189                 :            : /**
     190                 :            :  * cap_capget - Retrieve a task's capability sets
     191                 :            :  * @target: The task from which to retrieve the capability sets
     192                 :            :  * @effective: The place to record the effective set
     193                 :            :  * @inheritable: The place to record the inheritable set
     194                 :            :  * @permitted: The place to record the permitted set
     195                 :            :  *
     196                 :            :  * This function retrieves the capabilities of the nominated task and returns
     197                 :            :  * them to the caller.
     198                 :            :  */
     199                 :          3 : int cap_capget(struct task_struct *target, kernel_cap_t *effective,
     200                 :            :                kernel_cap_t *inheritable, kernel_cap_t *permitted)
     201                 :            : {
     202                 :            :         const struct cred *cred;
     203                 :            : 
     204                 :            :         /* Derived from kernel/capability.c:sys_capget. */
     205                 :            :         rcu_read_lock();
     206                 :          3 :         cred = __task_cred(target);
     207                 :          3 :         *effective   = cred->cap_effective;
     208                 :          3 :         *inheritable = cred->cap_inheritable;
     209                 :          3 :         *permitted   = cred->cap_permitted;
     210                 :            :         rcu_read_unlock();
     211                 :          3 :         return 0;
     212                 :            : }
     213                 :            : 
     214                 :            : /*
     215                 :            :  * Determine whether the inheritable capabilities are limited to the old
     216                 :            :  * permitted set.  Returns 1 if they are limited, 0 if they are not.
     217                 :            :  */
     218                 :          3 : static inline int cap_inh_is_capped(void)
     219                 :            : {
     220                 :            :         /* they are so limited unless the current task has the CAP_SETPCAP
     221                 :            :          * capability
     222                 :            :          */
     223                 :          3 :         if (cap_capable(current_cred(), current_cred()->user_ns,
     224                 :            :                         CAP_SETPCAP, CAP_OPT_NONE) == 0)
     225                 :            :                 return 0;
     226                 :          3 :         return 1;
     227                 :            : }
     228                 :            : 
     229                 :            : /**
     230                 :            :  * cap_capset - Validate and apply proposed changes to current's capabilities
     231                 :            :  * @new: The proposed new credentials; alterations should be made here
     232                 :            :  * @old: The current task's current credentials
     233                 :            :  * @effective: A pointer to the proposed new effective capabilities set
     234                 :            :  * @inheritable: A pointer to the proposed new inheritable capabilities set
     235                 :            :  * @permitted: A pointer to the proposed new permitted capabilities set
     236                 :            :  *
     237                 :            :  * This function validates and applies a proposed mass change to the current
     238                 :            :  * process's capability sets.  The changes are made to the proposed new
     239                 :            :  * credentials, and assuming no error, will be committed by the caller of LSM.
     240                 :            :  */
     241                 :          3 : int cap_capset(struct cred *new,
     242                 :            :                const struct cred *old,
     243                 :            :                const kernel_cap_t *effective,
     244                 :            :                const kernel_cap_t *inheritable,
     245                 :            :                const kernel_cap_t *permitted)
     246                 :            : {
     247                 :          3 :         if (cap_inh_is_capped() &&
     248                 :          3 :             !cap_issubset(*inheritable,
     249                 :            :                           cap_combine(old->cap_inheritable,
     250                 :            :                                       old->cap_permitted)))
     251                 :            :                 /* incapable of using this inheritable set */
     252                 :            :                 return -EPERM;
     253                 :            : 
     254                 :          3 :         if (!cap_issubset(*inheritable,
     255                 :            :                           cap_combine(old->cap_inheritable,
     256                 :            :                                       old->cap_bset)))
     257                 :            :                 /* no new pI capabilities outside bounding set */
     258                 :            :                 return -EPERM;
     259                 :            : 
     260                 :            :         /* verify restrictions on target's new Permitted set */
     261                 :          3 :         if (!cap_issubset(*permitted, old->cap_permitted))
     262                 :            :                 return -EPERM;
     263                 :            : 
     264                 :            :         /* verify the _new_Effective_ is a subset of the _new_Permitted_ */
     265                 :          3 :         if (!cap_issubset(*effective, *permitted))
     266                 :            :                 return -EPERM;
     267                 :            : 
     268                 :          3 :         new->cap_effective   = *effective;
     269                 :          3 :         new->cap_inheritable = *inheritable;
     270                 :          3 :         new->cap_permitted   = *permitted;
     271                 :            : 
     272                 :            :         /*
     273                 :            :          * Mask off ambient bits that are no longer both permitted and
     274                 :            :          * inheritable.
     275                 :            :          */
     276                 :          3 :         new->cap_ambient = cap_intersect(new->cap_ambient,
     277                 :            :                                          cap_intersect(*permitted,
     278                 :            :                                                        *inheritable));
     279                 :          3 :         if (WARN_ON(!cap_ambient_invariant_ok(new)))
     280                 :            :                 return -EINVAL;
     281                 :          3 :         return 0;
     282                 :            : }
     283                 :            : 
     284                 :            : /**
     285                 :            :  * cap_inode_need_killpriv - Determine if inode change affects privileges
     286                 :            :  * @dentry: The inode/dentry in being changed with change marked ATTR_KILL_PRIV
     287                 :            :  *
     288                 :            :  * Determine if an inode having a change applied that's marked ATTR_KILL_PRIV
     289                 :            :  * affects the security markings on that inode, and if it is, should
     290                 :            :  * inode_killpriv() be invoked or the change rejected.
     291                 :            :  *
     292                 :            :  * Returns 1 if security.capability has a value, meaning inode_killpriv()
     293                 :            :  * is required, 0 otherwise, meaning inode_killpriv() is not required.
     294                 :            :  */
     295                 :          3 : int cap_inode_need_killpriv(struct dentry *dentry)
     296                 :            : {
     297                 :            :         struct inode *inode = d_backing_inode(dentry);
     298                 :            :         int error;
     299                 :            : 
     300                 :          3 :         error = __vfs_getxattr(dentry, inode, XATTR_NAME_CAPS, NULL, 0);
     301                 :          3 :         return error > 0;
     302                 :            : }
     303                 :            : 
     304                 :            : /**
     305                 :            :  * cap_inode_killpriv - Erase the security markings on an inode
     306                 :            :  * @dentry: The inode/dentry to alter
     307                 :            :  *
     308                 :            :  * Erase the privilege-enhancing security markings on an inode.
     309                 :            :  *
     310                 :            :  * Returns 0 if successful, -ve on error.
     311                 :            :  */
     312                 :          0 : int cap_inode_killpriv(struct dentry *dentry)
     313                 :            : {
     314                 :            :         int error;
     315                 :            : 
     316                 :          0 :         error = __vfs_removexattr(dentry, XATTR_NAME_CAPS);
     317                 :          0 :         if (error == -EOPNOTSUPP)
     318                 :            :                 error = 0;
     319                 :          0 :         return error;
     320                 :            : }
     321                 :            : 
     322                 :          0 : static bool rootid_owns_currentns(kuid_t kroot)
     323                 :            : {
     324                 :            :         struct user_namespace *ns;
     325                 :            : 
     326                 :          0 :         if (!uid_valid(kroot))
     327                 :            :                 return false;
     328                 :            : 
     329                 :          0 :         for (ns = current_user_ns(); ; ns = ns->parent) {
     330                 :          0 :                 if (from_kuid(ns, kroot) == 0)
     331                 :            :                         return true;
     332                 :          0 :                 if (ns == &init_user_ns)
     333                 :            :                         break;
     334                 :          0 :         }
     335                 :            : 
     336                 :            :         return false;
     337                 :            : }
     338                 :            : 
     339                 :            : static __u32 sansflags(__u32 m)
     340                 :            : {
     341                 :          0 :         return m & ~VFS_CAP_FLAGS_EFFECTIVE;
     342                 :            : }
     343                 :            : 
     344                 :            : static bool is_v2header(size_t size, const struct vfs_cap_data *cap)
     345                 :            : {
     346                 :          0 :         if (size != XATTR_CAPS_SZ_2)
     347                 :            :                 return false;
     348                 :          0 :         return sansflags(le32_to_cpu(cap->magic_etc)) == VFS_CAP_REVISION_2;
     349                 :            : }
     350                 :            : 
     351                 :            : static bool is_v3header(size_t size, const struct vfs_cap_data *cap)
     352                 :            : {
     353                 :          0 :         if (size != XATTR_CAPS_SZ_3)
     354                 :            :                 return false;
     355                 :          0 :         return sansflags(le32_to_cpu(cap->magic_etc)) == VFS_CAP_REVISION_3;
     356                 :            : }
     357                 :            : 
     358                 :            : /*
     359                 :            :  * getsecurity: We are called for security.* before any attempt to read the
     360                 :            :  * xattr from the inode itself.
     361                 :            :  *
     362                 :            :  * This gives us a chance to read the on-disk value and convert it.  If we
     363                 :            :  * return -EOPNOTSUPP, then vfs_getxattr() will call the i_op handler.
     364                 :            :  *
     365                 :            :  * Note we are not called by vfs_getxattr_alloc(), but that is only called
     366                 :            :  * by the integrity subsystem, which really wants the unconverted values -
     367                 :            :  * so that's good.
     368                 :            :  */
     369                 :          3 : int cap_inode_getsecurity(struct inode *inode, const char *name, void **buffer,
     370                 :            :                           bool alloc)
     371                 :            : {
     372                 :            :         int size, ret;
     373                 :            :         kuid_t kroot;
     374                 :            :         uid_t root, mappedroot;
     375                 :          3 :         char *tmpbuf = NULL;
     376                 :            :         struct vfs_cap_data *cap;
     377                 :            :         struct vfs_ns_cap_data *nscap;
     378                 :            :         struct dentry *dentry;
     379                 :            :         struct user_namespace *fs_ns;
     380                 :            : 
     381                 :          3 :         if (strcmp(name, "capability") != 0)
     382                 :            :                 return -EOPNOTSUPP;
     383                 :            : 
     384                 :          0 :         dentry = d_find_any_alias(inode);
     385                 :          0 :         if (!dentry)
     386                 :            :                 return -EINVAL;
     387                 :            : 
     388                 :            :         size = sizeof(struct vfs_ns_cap_data);
     389                 :          0 :         ret = (int) vfs_getxattr_alloc(dentry, XATTR_NAME_CAPS,
     390                 :            :                                  &tmpbuf, size, GFP_NOFS);
     391                 :          0 :         dput(dentry);
     392                 :            : 
     393                 :          0 :         if (ret < 0)
     394                 :            :                 return ret;
     395                 :            : 
     396                 :          0 :         fs_ns = inode->i_sb->s_user_ns;
     397                 :          0 :         cap = (struct vfs_cap_data *) tmpbuf;
     398                 :          0 :         if (is_v2header((size_t) ret, cap)) {
     399                 :            :                 /* If this is sizeof(vfs_cap_data) then we're ok with the
     400                 :            :                  * on-disk value, so return that.  */
     401                 :          0 :                 if (alloc)
     402                 :          0 :                         *buffer = tmpbuf;
     403                 :            :                 else
     404                 :          0 :                         kfree(tmpbuf);
     405                 :          0 :                 return ret;
     406                 :          0 :         } else if (!is_v3header((size_t) ret, cap)) {
     407                 :          0 :                 kfree(tmpbuf);
     408                 :          0 :                 return -EINVAL;
     409                 :            :         }
     410                 :            : 
     411                 :            :         nscap = (struct vfs_ns_cap_data *) tmpbuf;
     412                 :          0 :         root = le32_to_cpu(nscap->rootid);
     413                 :          0 :         kroot = make_kuid(fs_ns, root);
     414                 :            : 
     415                 :            :         /* If the root kuid maps to a valid uid in current ns, then return
     416                 :            :          * this as a nscap. */
     417                 :          0 :         mappedroot = from_kuid(current_user_ns(), kroot);
     418                 :          0 :         if (mappedroot != (uid_t)-1 && mappedroot != (uid_t)0) {
     419                 :          0 :                 if (alloc) {
     420                 :          0 :                         *buffer = tmpbuf;
     421                 :          0 :                         nscap->rootid = cpu_to_le32(mappedroot);
     422                 :            :                 } else
     423                 :          0 :                         kfree(tmpbuf);
     424                 :            :                 return size;
     425                 :            :         }
     426                 :            : 
     427                 :          0 :         if (!rootid_owns_currentns(kroot)) {
     428                 :          0 :                 kfree(tmpbuf);
     429                 :          0 :                 return -EOPNOTSUPP;
     430                 :            :         }
     431                 :            : 
     432                 :            :         /* This comes from a parent namespace.  Return as a v2 capability */
     433                 :            :         size = sizeof(struct vfs_cap_data);
     434                 :          0 :         if (alloc) {
     435                 :          0 :                 *buffer = kmalloc(size, GFP_ATOMIC);
     436                 :          0 :                 if (*buffer) {
     437                 :            :                         struct vfs_cap_data *cap = *buffer;
     438                 :            :                         __le32 nsmagic, magic;
     439                 :            :                         magic = VFS_CAP_REVISION_2;
     440                 :          0 :                         nsmagic = le32_to_cpu(nscap->magic_etc);
     441                 :          0 :                         if (nsmagic & VFS_CAP_FLAGS_EFFECTIVE)
     442                 :            :                                 magic |= VFS_CAP_FLAGS_EFFECTIVE;
     443                 :          0 :                         memcpy(&cap->data, &nscap->data, sizeof(__le32) * 2 * VFS_CAP_U32);
     444                 :          0 :                         cap->magic_etc = cpu_to_le32(magic);
     445                 :            :                 } else {
     446                 :            :                         size = -ENOMEM;
     447                 :            :                 }
     448                 :            :         }
     449                 :          0 :         kfree(tmpbuf);
     450                 :          0 :         return size;
     451                 :            : }
     452                 :            : 
     453                 :            : static kuid_t rootid_from_xattr(const void *value, size_t size,
     454                 :            :                                 struct user_namespace *task_ns)
     455                 :            : {
     456                 :            :         const struct vfs_ns_cap_data *nscap = value;
     457                 :            :         uid_t rootid = 0;
     458                 :            : 
     459                 :          0 :         if (size == XATTR_CAPS_SZ_3)
     460                 :          0 :                 rootid = le32_to_cpu(nscap->rootid);
     461                 :            : 
     462                 :          0 :         return make_kuid(task_ns, rootid);
     463                 :            : }
     464                 :            : 
     465                 :            : static bool validheader(size_t size, const struct vfs_cap_data *cap)
     466                 :            : {
     467                 :          0 :         return is_v2header(size, cap) || is_v3header(size, cap);
     468                 :            : }
     469                 :            : 
     470                 :            : /*
     471                 :            :  * User requested a write of security.capability.  If needed, update the
     472                 :            :  * xattr to change from v2 to v3, or to fixup the v3 rootid.
     473                 :            :  *
     474                 :            :  * If all is ok, we return the new size, on error return < 0.
     475                 :            :  */
     476                 :          0 : int cap_convert_nscap(struct dentry *dentry, void **ivalue, size_t size)
     477                 :            : {
     478                 :            :         struct vfs_ns_cap_data *nscap;
     479                 :            :         uid_t nsrootid;
     480                 :          0 :         const struct vfs_cap_data *cap = *ivalue;
     481                 :            :         __u32 magic, nsmagic;
     482                 :            :         struct inode *inode = d_backing_inode(dentry);
     483                 :          0 :         struct user_namespace *task_ns = current_user_ns(),
     484                 :          0 :                 *fs_ns = inode->i_sb->s_user_ns;
     485                 :            :         kuid_t rootid;
     486                 :            :         size_t newsize;
     487                 :            : 
     488                 :          0 :         if (!*ivalue)
     489                 :            :                 return -EINVAL;
     490                 :          0 :         if (!validheader(size, cap))
     491                 :            :                 return -EINVAL;
     492                 :          0 :         if (!capable_wrt_inode_uidgid(inode, CAP_SETFCAP))
     493                 :            :                 return -EPERM;
     494                 :          0 :         if (size == XATTR_CAPS_SZ_2)
     495                 :          0 :                 if (ns_capable(inode->i_sb->s_user_ns, CAP_SETFCAP))
     496                 :            :                         /* user is privileged, just write the v2 */
     497                 :          0 :                         return size;
     498                 :            : 
     499                 :          0 :         rootid = rootid_from_xattr(*ivalue, size, task_ns);
     500                 :          0 :         if (!uid_valid(rootid))
     501                 :            :                 return -EINVAL;
     502                 :            : 
     503                 :          0 :         nsrootid = from_kuid(fs_ns, rootid);
     504                 :          0 :         if (nsrootid == -1)
     505                 :            :                 return -EINVAL;
     506                 :            : 
     507                 :            :         newsize = sizeof(struct vfs_ns_cap_data);
     508                 :            :         nscap = kmalloc(newsize, GFP_ATOMIC);
     509                 :          0 :         if (!nscap)
     510                 :            :                 return -ENOMEM;
     511                 :          0 :         nscap->rootid = cpu_to_le32(nsrootid);
     512                 :            :         nsmagic = VFS_CAP_REVISION_3;
     513                 :          0 :         magic = le32_to_cpu(cap->magic_etc);
     514                 :          0 :         if (magic & VFS_CAP_FLAGS_EFFECTIVE)
     515                 :            :                 nsmagic |= VFS_CAP_FLAGS_EFFECTIVE;
     516                 :          0 :         nscap->magic_etc = cpu_to_le32(nsmagic);
     517                 :          0 :         memcpy(&nscap->data, &cap->data, sizeof(__le32) * 2 * VFS_CAP_U32);
     518                 :            : 
     519                 :          0 :         kvfree(*ivalue);
     520                 :          0 :         *ivalue = nscap;
     521                 :          0 :         return newsize;
     522                 :            : }
     523                 :            : 
     524                 :            : /*
     525                 :            :  * Calculate the new process capability sets from the capability sets attached
     526                 :            :  * to a file.
     527                 :            :  */
     528                 :          0 : static inline int bprm_caps_from_vfs_caps(struct cpu_vfs_cap_data *caps,
     529                 :            :                                           struct linux_binprm *bprm,
     530                 :            :                                           bool *effective,
     531                 :            :                                           bool *has_fcap)
     532                 :            : {
     533                 :          0 :         struct cred *new = bprm->cred;
     534                 :            :         unsigned i;
     535                 :            :         int ret = 0;
     536                 :            : 
     537                 :          0 :         if (caps->magic_etc & VFS_CAP_FLAGS_EFFECTIVE)
     538                 :          0 :                 *effective = true;
     539                 :            : 
     540                 :          0 :         if (caps->magic_etc & VFS_CAP_REVISION_MASK)
     541                 :          0 :                 *has_fcap = true;
     542                 :            : 
     543                 :          0 :         CAP_FOR_EACH_U32(i) {
     544                 :          0 :                 __u32 permitted = caps->permitted.cap[i];
     545                 :          0 :                 __u32 inheritable = caps->inheritable.cap[i];
     546                 :            : 
     547                 :            :                 /*
     548                 :            :                  * pP' = (X & fP) | (pI & fI)
     549                 :            :                  * The addition of pA' is handled later.
     550                 :            :                  */
     551                 :          0 :                 new->cap_permitted.cap[i] =
     552                 :          0 :                         (new->cap_bset.cap[i] & permitted) |
     553                 :          0 :                         (new->cap_inheritable.cap[i] & inheritable);
     554                 :            : 
     555                 :          0 :                 if (permitted & ~new->cap_permitted.cap[i])
     556                 :            :                         /* insufficient to execute correctly */
     557                 :            :                         ret = -EPERM;
     558                 :            :         }
     559                 :            : 
     560                 :            :         /*
     561                 :            :          * For legacy apps, with no internal support for recognizing they
     562                 :            :          * do not have enough capabilities, we return an error if they are
     563                 :            :          * missing some "forced" (aka file-permitted) capabilities.
     564                 :            :          */
     565                 :          0 :         return *effective ? ret : 0;
     566                 :            : }
     567                 :            : 
     568                 :            : /*
     569                 :            :  * Extract the on-exec-apply capability sets for an executable file.
     570                 :            :  */
     571                 :          3 : int get_vfs_caps_from_disk(const struct dentry *dentry, struct cpu_vfs_cap_data *cpu_caps)
     572                 :            : {
     573                 :            :         struct inode *inode = d_backing_inode(dentry);
     574                 :            :         __u32 magic_etc;
     575                 :            :         unsigned tocopy, i;
     576                 :            :         int size;
     577                 :            :         struct vfs_ns_cap_data data, *nscaps = &data;
     578                 :            :         struct vfs_cap_data *caps = (struct vfs_cap_data *) &data;
     579                 :            :         kuid_t rootkuid;
     580                 :            :         struct user_namespace *fs_ns;
     581                 :            : 
     582                 :          3 :         memset(cpu_caps, 0, sizeof(struct cpu_vfs_cap_data));
     583                 :            : 
     584                 :          3 :         if (!inode)
     585                 :            :                 return -ENODATA;
     586                 :            : 
     587                 :          3 :         fs_ns = inode->i_sb->s_user_ns;
     588                 :          3 :         size = __vfs_getxattr((struct dentry *)dentry, inode,
     589                 :            :                               XATTR_NAME_CAPS, &data, XATTR_CAPS_SZ);
     590                 :          3 :         if (size == -ENODATA || size == -EOPNOTSUPP)
     591                 :            :                 /* no data, that's ok */
     592                 :            :                 return -ENODATA;
     593                 :            : 
     594                 :          0 :         if (size < 0)
     595                 :            :                 return size;
     596                 :            : 
     597                 :          0 :         if (size < sizeof(magic_etc))
     598                 :            :                 return -EINVAL;
     599                 :            : 
     600                 :          0 :         cpu_caps->magic_etc = magic_etc = le32_to_cpu(caps->magic_etc);
     601                 :            : 
     602                 :          0 :         rootkuid = make_kuid(fs_ns, 0);
     603                 :          0 :         switch (magic_etc & VFS_CAP_REVISION_MASK) {
     604                 :            :         case VFS_CAP_REVISION_1:
     605                 :          0 :                 if (size != XATTR_CAPS_SZ_1)
     606                 :            :                         return -EINVAL;
     607                 :            :                 tocopy = VFS_CAP_U32_1;
     608                 :            :                 break;
     609                 :            :         case VFS_CAP_REVISION_2:
     610                 :          0 :                 if (size != XATTR_CAPS_SZ_2)
     611                 :            :                         return -EINVAL;
     612                 :            :                 tocopy = VFS_CAP_U32_2;
     613                 :            :                 break;
     614                 :            :         case VFS_CAP_REVISION_3:
     615                 :          0 :                 if (size != XATTR_CAPS_SZ_3)
     616                 :            :                         return -EINVAL;
     617                 :            :                 tocopy = VFS_CAP_U32_3;
     618                 :          0 :                 rootkuid = make_kuid(fs_ns, le32_to_cpu(nscaps->rootid));
     619                 :          0 :                 break;
     620                 :            : 
     621                 :            :         default:
     622                 :            :                 return -EINVAL;
     623                 :            :         }
     624                 :            :         /* Limit the caps to the mounter of the filesystem
     625                 :            :          * or the more limited uid specified in the xattr.
     626                 :            :          */
     627                 :          0 :         if (!rootid_owns_currentns(rootkuid))
     628                 :            :                 return -ENODATA;
     629                 :            : 
     630                 :          0 :         CAP_FOR_EACH_U32(i) {
     631                 :          0 :                 if (i >= tocopy)
     632                 :            :                         break;
     633                 :          0 :                 cpu_caps->permitted.cap[i] = le32_to_cpu(caps->data[i].permitted);
     634                 :          0 :                 cpu_caps->inheritable.cap[i] = le32_to_cpu(caps->data[i].inheritable);
     635                 :            :         }
     636                 :            : 
     637                 :          0 :         cpu_caps->permitted.cap[CAP_LAST_U32] &= CAP_LAST_U32_VALID_MASK;
     638                 :          0 :         cpu_caps->inheritable.cap[CAP_LAST_U32] &= CAP_LAST_U32_VALID_MASK;
     639                 :            : 
     640                 :          0 :         cpu_caps->rootid = rootkuid;
     641                 :            : 
     642                 :          0 :         return 0;
     643                 :            : }
     644                 :            : 
     645                 :            : /*
     646                 :            :  * Attempt to get the on-exec apply capability sets for an executable file from
     647                 :            :  * its xattrs and, if present, apply them to the proposed credentials being
     648                 :            :  * constructed by execve().
     649                 :            :  */
     650                 :          3 : static int get_file_caps(struct linux_binprm *bprm, bool *effective, bool *has_fcap)
     651                 :            : {
     652                 :            :         int rc = 0;
     653                 :            :         struct cpu_vfs_cap_data vcaps;
     654                 :            : 
     655                 :          3 :         cap_clear(bprm->cred->cap_permitted);
     656                 :            : 
     657                 :          3 :         if (!file_caps_enabled)
     658                 :            :                 return 0;
     659                 :            : 
     660                 :          3 :         if (!mnt_may_suid(bprm->file->f_path.mnt))
     661                 :            :                 return 0;
     662                 :            : 
     663                 :            :         /*
     664                 :            :          * This check is redundant with mnt_may_suid() but is kept to make
     665                 :            :          * explicit that capability bits are limited to s_user_ns and its
     666                 :            :          * descendants.
     667                 :            :          */
     668                 :          3 :         if (!current_in_userns(bprm->file->f_path.mnt->mnt_sb->s_user_ns))
     669                 :            :                 return 0;
     670                 :            : 
     671                 :          3 :         rc = get_vfs_caps_from_disk(bprm->file->f_path.dentry, &vcaps);
     672                 :          3 :         if (rc < 0) {
     673                 :          3 :                 if (rc == -EINVAL)
     674                 :          0 :                         printk(KERN_NOTICE "Invalid argument reading file caps for %s\n",
     675                 :            :                                         bprm->filename);
     676                 :          3 :                 else if (rc == -ENODATA)
     677                 :            :                         rc = 0;
     678                 :            :                 goto out;
     679                 :            :         }
     680                 :            : 
     681                 :          0 :         rc = bprm_caps_from_vfs_caps(&vcaps, bprm, effective, has_fcap);
     682                 :            : 
     683                 :            : out:
     684                 :          3 :         if (rc)
     685                 :          0 :                 cap_clear(bprm->cred->cap_permitted);
     686                 :            : 
     687                 :          3 :         return rc;
     688                 :            : }
     689                 :            : 
     690                 :          3 : static inline bool root_privileged(void) { return !issecure(SECURE_NOROOT); }
     691                 :            : 
     692                 :            : static inline bool __is_real(kuid_t uid, struct cred *cred)
     693                 :            : { return uid_eq(cred->uid, uid); }
     694                 :            : 
     695                 :            : static inline bool __is_eff(kuid_t uid, struct cred *cred)
     696                 :            : { return uid_eq(cred->euid, uid); }
     697                 :            : 
     698                 :            : static inline bool __is_suid(kuid_t uid, struct cred *cred)
     699                 :          3 : { return !__is_real(uid, cred) && __is_eff(uid, cred); }
     700                 :            : 
     701                 :            : /*
     702                 :            :  * handle_privileged_root - Handle case of privileged root
     703                 :            :  * @bprm: The execution parameters, including the proposed creds
     704                 :            :  * @has_fcap: Are any file capabilities set?
     705                 :            :  * @effective: Do we have effective root privilege?
     706                 :            :  * @root_uid: This namespace' root UID WRT initial USER namespace
     707                 :            :  *
     708                 :            :  * Handle the case where root is privileged and hasn't been neutered by
     709                 :            :  * SECURE_NOROOT.  If file capabilities are set, they won't be combined with
     710                 :            :  * set UID root and nothing is changed.  If we are root, cap_permitted is
     711                 :            :  * updated.  If we have become set UID root, the effective bit is set.
     712                 :            :  */
     713                 :          3 : static void handle_privileged_root(struct linux_binprm *bprm, bool has_fcap,
     714                 :            :                                    bool *effective, kuid_t root_uid)
     715                 :            : {
     716                 :          3 :         const struct cred *old = current_cred();
     717                 :          3 :         struct cred *new = bprm->cred;
     718                 :            : 
     719                 :          3 :         if (!root_privileged())
     720                 :            :                 return;
     721                 :            :         /*
     722                 :            :          * If the legacy file capability is set, then don't set privs
     723                 :            :          * for a setuid root binary run by a non-root user.  Do set it
     724                 :            :          * for a root user just to cause least surprise to an admin.
     725                 :            :          */
     726                 :          3 :         if (has_fcap && __is_suid(root_uid, new)) {
     727                 :          0 :                 warn_setuid_and_fcaps_mixed(bprm->filename);
     728                 :            :                 return;
     729                 :            :         }
     730                 :            :         /*
     731                 :            :          * To support inheritance of root-permissions and suid-root
     732                 :            :          * executables under compatibility mode, we override the
     733                 :            :          * capability sets for the file.
     734                 :            :          */
     735                 :          3 :         if (__is_eff(root_uid, new) || __is_real(root_uid, new)) {
     736                 :            :                 /* pP' = (cap_bset & ~0) | (pI & ~0) */
     737                 :          3 :                 new->cap_permitted = cap_combine(old->cap_bset,
     738                 :            :                                                  old->cap_inheritable);
     739                 :            :         }
     740                 :            :         /*
     741                 :            :          * If only the real uid is 0, we do not set the effective bit.
     742                 :            :          */
     743                 :          3 :         if (__is_eff(root_uid, new))
     744                 :          3 :                 *effective = true;
     745                 :            : }
     746                 :            : 
     747                 :            : #define __cap_gained(field, target, source) \
     748                 :            :         !cap_issubset(target->cap_##field, source->cap_##field)
     749                 :            : #define __cap_grew(target, source, cred) \
     750                 :            :         !cap_issubset(cred->cap_##target, cred->cap_##source)
     751                 :            : #define __cap_full(field, cred) \
     752                 :            :         cap_issubset(CAP_FULL_SET, cred->cap_##field)
     753                 :            : 
     754                 :            : static inline bool __is_setuid(struct cred *new, const struct cred *old)
     755                 :            : { return !uid_eq(new->euid, old->uid); }
     756                 :            : 
     757                 :            : static inline bool __is_setgid(struct cred *new, const struct cred *old)
     758                 :            : { return !gid_eq(new->egid, old->gid); }
     759                 :            : 
     760                 :            : /*
     761                 :            :  * 1) Audit candidate if current->cap_effective is set
     762                 :            :  *
     763                 :            :  * We do not bother to audit if 3 things are true:
     764                 :            :  *   1) cap_effective has all caps
     765                 :            :  *   2) we became root *OR* are were already root
     766                 :            :  *   3) root is supposed to have all caps (SECURE_NOROOT)
     767                 :            :  * Since this is just a normal root execing a process.
     768                 :            :  *
     769                 :            :  * Number 1 above might fail if you don't have a full bset, but I think
     770                 :            :  * that is interesting information to audit.
     771                 :            :  *
     772                 :            :  * A number of other conditions require logging:
     773                 :            :  * 2) something prevented setuid root getting all caps
     774                 :            :  * 3) non-setuid root gets fcaps
     775                 :            :  * 4) non-setuid root gets ambient
     776                 :            :  */
     777                 :          3 : static inline bool nonroot_raised_pE(struct cred *new, const struct cred *old,
     778                 :            :                                      kuid_t root, bool has_fcap)
     779                 :            : {
     780                 :            :         bool ret = false;
     781                 :            : 
     782                 :          3 :         if ((__cap_grew(effective, ambient, new) &&
     783                 :          3 :              !(__cap_full(effective, new) &&
     784                 :          0 :                (__is_eff(root, new) || __is_real(root, new)) &&
     785                 :          3 :                root_privileged())) ||
     786                 :          3 :             (root_privileged() &&
     787                 :          3 :              __is_suid(root, new) &&
     788                 :          3 :              !__cap_full(effective, new)) ||
     789                 :          3 :             (!__is_setuid(new, old) &&
     790                 :          0 :              ((has_fcap &&
     791                 :          3 :                __cap_gained(permitted, new, old)) ||
     792                 :          3 :               __cap_gained(ambient, new, old))))
     793                 :            : 
     794                 :            :                 ret = true;
     795                 :            : 
     796                 :          3 :         return ret;
     797                 :            : }
     798                 :            : 
     799                 :            : /**
     800                 :            :  * cap_bprm_set_creds - Set up the proposed credentials for execve().
     801                 :            :  * @bprm: The execution parameters, including the proposed creds
     802                 :            :  *
     803                 :            :  * Set up the proposed credentials for a new execution context being
     804                 :            :  * constructed by execve().  The proposed creds in @bprm->cred is altered,
     805                 :            :  * which won't take effect immediately.  Returns 0 if successful, -ve on error.
     806                 :            :  */
     807                 :          3 : int cap_bprm_set_creds(struct linux_binprm *bprm)
     808                 :            : {
     809                 :          3 :         const struct cred *old = current_cred();
     810                 :          3 :         struct cred *new = bprm->cred;
     811                 :          3 :         bool effective = false, has_fcap = false, is_setid;
     812                 :            :         int ret;
     813                 :            :         kuid_t root_uid;
     814                 :            : 
     815                 :          3 :         new->cap_ambient = old->cap_ambient;
     816                 :          3 :         if (WARN_ON(!cap_ambient_invariant_ok(old)))
     817                 :            :                 return -EPERM;
     818                 :            : 
     819                 :          3 :         ret = get_file_caps(bprm, &effective, &has_fcap);
     820                 :          3 :         if (ret < 0)
     821                 :            :                 return ret;
     822                 :            : 
     823                 :          3 :         root_uid = make_kuid(new->user_ns, 0);
     824                 :            : 
     825                 :          3 :         handle_privileged_root(bprm, has_fcap, &effective, root_uid);
     826                 :            : 
     827                 :            :         /* if we have fs caps, clear dangerous personality flags */
     828                 :          3 :         if (__cap_gained(permitted, new, old))
     829                 :          3 :                 bprm->per_clear |= PER_CLEAR_ON_SETID;
     830                 :            : 
     831                 :            :         /* Don't let someone trace a set[ug]id/setpcap binary with the revised
     832                 :            :          * credentials unless they have the appropriate permit.
     833                 :            :          *
     834                 :            :          * In addition, if NO_NEW_PRIVS, then ensure we get no new privs.
     835                 :            :          */
     836                 :          3 :         is_setid = __is_setuid(new, old) || __is_setgid(new, old);
     837                 :            : 
     838                 :          3 :         if ((is_setid || __cap_gained(permitted, new, old)) &&
     839                 :          3 :             ((bprm->unsafe & ~LSM_UNSAFE_PTRACE) ||
     840                 :          3 :              !ptracer_capable(current, new->user_ns))) {
     841                 :            :                 /* downgrade; they get no more than they had, and maybe less */
     842                 :          3 :                 if (!ns_capable(new->user_ns, CAP_SETUID) ||
     843                 :          0 :                     (bprm->unsafe & LSM_UNSAFE_NO_NEW_PRIVS)) {
     844                 :          0 :                         new->euid = new->uid;
     845                 :          0 :                         new->egid = new->gid;
     846                 :            :                 }
     847                 :          0 :                 new->cap_permitted = cap_intersect(new->cap_permitted,
     848                 :            :                                                    old->cap_permitted);
     849                 :            :         }
     850                 :            : 
     851                 :          3 :         new->suid = new->fsuid = new->euid;
     852                 :          3 :         new->sgid = new->fsgid = new->egid;
     853                 :            : 
     854                 :            :         /* File caps or setid cancels ambient. */
     855                 :          3 :         if (has_fcap || is_setid)
     856                 :          3 :                 cap_clear(new->cap_ambient);
     857                 :            : 
     858                 :            :         /*
     859                 :            :          * Now that we've computed pA', update pP' to give:
     860                 :            :          *   pP' = (X & fP) | (pI & fI) | pA'
     861                 :            :          */
     862                 :          3 :         new->cap_permitted = cap_combine(new->cap_permitted, new->cap_ambient);
     863                 :            : 
     864                 :            :         /*
     865                 :            :          * Set pE' = (fE ? pP' : pA').  Because pA' is zero if fE is set,
     866                 :            :          * this is the same as pE' = (fE ? pP' : 0) | pA'.
     867                 :            :          */
     868                 :          3 :         if (effective)
     869                 :          3 :                 new->cap_effective = new->cap_permitted;
     870                 :            :         else
     871                 :          3 :                 new->cap_effective = new->cap_ambient;
     872                 :            : 
     873                 :          3 :         if (WARN_ON(!cap_ambient_invariant_ok(new)))
     874                 :            :                 return -EPERM;
     875                 :            : 
     876                 :          3 :         if (nonroot_raised_pE(new, old, root_uid, has_fcap)) {
     877                 :          3 :                 ret = audit_log_bprm_fcaps(bprm, new, old);
     878                 :          3 :                 if (ret < 0)
     879                 :            :                         return ret;
     880                 :            :         }
     881                 :            : 
     882                 :          3 :         new->securebits &= ~issecure_mask(SECURE_KEEP_CAPS);
     883                 :            : 
     884                 :          3 :         if (WARN_ON(!cap_ambient_invariant_ok(new)))
     885                 :            :                 return -EPERM;
     886                 :            : 
     887                 :            :         /* Check for privilege-elevated exec. */
     888                 :          3 :         bprm->cap_elevated = 0;
     889                 :          3 :         if (is_setid ||
     890                 :          3 :             (!__is_real(root_uid, new) &&
     891                 :          3 :              (effective ||
     892                 :          3 :               __cap_grew(permitted, ambient, new))))
     893                 :          3 :                 bprm->cap_elevated = 1;
     894                 :            : 
     895                 :            :         return 0;
     896                 :            : }
     897                 :            : 
     898                 :            : /**
     899                 :            :  * cap_inode_setxattr - Determine whether an xattr may be altered
     900                 :            :  * @dentry: The inode/dentry being altered
     901                 :            :  * @name: The name of the xattr to be changed
     902                 :            :  * @value: The value that the xattr will be changed to
     903                 :            :  * @size: The size of value
     904                 :            :  * @flags: The replacement flag
     905                 :            :  *
     906                 :            :  * Determine whether an xattr may be altered or set on an inode, returning 0 if
     907                 :            :  * permission is granted, -ve if denied.
     908                 :            :  *
     909                 :            :  * This is used to make sure security xattrs don't get updated or set by those
     910                 :            :  * who aren't privileged to do so.
     911                 :            :  */
     912                 :          3 : int cap_inode_setxattr(struct dentry *dentry, const char *name,
     913                 :            :                        const void *value, size_t size, int flags)
     914                 :            : {
     915                 :          3 :         struct user_namespace *user_ns = dentry->d_sb->s_user_ns;
     916                 :            : 
     917                 :            :         /* Ignore non-security xattrs */
     918                 :          3 :         if (strncmp(name, XATTR_SECURITY_PREFIX,
     919                 :            :                         XATTR_SECURITY_PREFIX_LEN) != 0)
     920                 :            :                 return 0;
     921                 :            : 
     922                 :            :         /*
     923                 :            :          * For XATTR_NAME_CAPS the check will be done in
     924                 :            :          * cap_convert_nscap(), called by setxattr()
     925                 :            :          */
     926                 :          0 :         if (strcmp(name, XATTR_NAME_CAPS) == 0)
     927                 :            :                 return 0;
     928                 :            : 
     929                 :          0 :         if (!ns_capable(user_ns, CAP_SYS_ADMIN))
     930                 :            :                 return -EPERM;
     931                 :          0 :         return 0;
     932                 :            : }
     933                 :            : 
     934                 :            : /**
     935                 :            :  * cap_inode_removexattr - Determine whether an xattr may be removed
     936                 :            :  * @dentry: The inode/dentry being altered
     937                 :            :  * @name: The name of the xattr to be changed
     938                 :            :  *
     939                 :            :  * Determine whether an xattr may be removed from an inode, returning 0 if
     940                 :            :  * permission is granted, -ve if denied.
     941                 :            :  *
     942                 :            :  * This is used to make sure security xattrs don't get removed by those who
     943                 :            :  * aren't privileged to remove them.
     944                 :            :  */
     945                 :          3 : int cap_inode_removexattr(struct dentry *dentry, const char *name)
     946                 :            : {
     947                 :          3 :         struct user_namespace *user_ns = dentry->d_sb->s_user_ns;
     948                 :            : 
     949                 :            :         /* Ignore non-security xattrs */
     950                 :          3 :         if (strncmp(name, XATTR_SECURITY_PREFIX,
     951                 :            :                         XATTR_SECURITY_PREFIX_LEN) != 0)
     952                 :            :                 return 0;
     953                 :            : 
     954                 :          0 :         if (strcmp(name, XATTR_NAME_CAPS) == 0) {
     955                 :            :                 /* security.capability gets namespaced */
     956                 :            :                 struct inode *inode = d_backing_inode(dentry);
     957                 :          0 :                 if (!inode)
     958                 :            :                         return -EINVAL;
     959                 :          0 :                 if (!capable_wrt_inode_uidgid(inode, CAP_SETFCAP))
     960                 :            :                         return -EPERM;
     961                 :          0 :                 return 0;
     962                 :            :         }
     963                 :            : 
     964                 :          0 :         if (!ns_capable(user_ns, CAP_SYS_ADMIN))
     965                 :            :                 return -EPERM;
     966                 :          0 :         return 0;
     967                 :            : }
     968                 :            : 
     969                 :            : /*
     970                 :            :  * cap_emulate_setxuid() fixes the effective / permitted capabilities of
     971                 :            :  * a process after a call to setuid, setreuid, or setresuid.
     972                 :            :  *
     973                 :            :  *  1) When set*uiding _from_ one of {r,e,s}uid == 0 _to_ all of
     974                 :            :  *  {r,e,s}uid != 0, the permitted and effective capabilities are
     975                 :            :  *  cleared.
     976                 :            :  *
     977                 :            :  *  2) When set*uiding _from_ euid == 0 _to_ euid != 0, the effective
     978                 :            :  *  capabilities of the process are cleared.
     979                 :            :  *
     980                 :            :  *  3) When set*uiding _from_ euid != 0 _to_ euid == 0, the effective
     981                 :            :  *  capabilities are set to the permitted capabilities.
     982                 :            :  *
     983                 :            :  *  fsuid is handled elsewhere. fsuid == 0 and {r,e,s}uid!= 0 should
     984                 :            :  *  never happen.
     985                 :            :  *
     986                 :            :  *  -astor
     987                 :            :  *
     988                 :            :  * cevans - New behaviour, Oct '99
     989                 :            :  * A process may, via prctl(), elect to keep its capabilities when it
     990                 :            :  * calls setuid() and switches away from uid==0. Both permitted and
     991                 :            :  * effective sets will be retained.
     992                 :            :  * Without this change, it was impossible for a daemon to drop only some
     993                 :            :  * of its privilege. The call to setuid(!=0) would drop all privileges!
     994                 :            :  * Keeping uid 0 is not an option because uid 0 owns too many vital
     995                 :            :  * files..
     996                 :            :  * Thanks to Olaf Kirch and Peter Benie for spotting this.
     997                 :            :  */
     998                 :          3 : static inline void cap_emulate_setxuid(struct cred *new, const struct cred *old)
     999                 :            : {
    1000                 :          3 :         kuid_t root_uid = make_kuid(old->user_ns, 0);
    1001                 :            : 
    1002                 :          3 :         if ((uid_eq(old->uid, root_uid) ||
    1003                 :          3 :              uid_eq(old->euid, root_uid) ||
    1004                 :          3 :              uid_eq(old->suid, root_uid)) &&
    1005                 :          3 :             (!uid_eq(new->uid, root_uid) &&
    1006                 :          3 :              !uid_eq(new->euid, root_uid) &&
    1007                 :            :              !uid_eq(new->suid, root_uid))) {
    1008                 :          3 :                 if (!issecure(SECURE_KEEP_CAPS)) {
    1009                 :          3 :                         cap_clear(new->cap_permitted);
    1010                 :          3 :                         cap_clear(new->cap_effective);
    1011                 :            :                 }
    1012                 :            : 
    1013                 :            :                 /*
    1014                 :            :                  * Pre-ambient programs expect setresuid to nonroot followed
    1015                 :            :                  * by exec to drop capabilities.  We should make sure that
    1016                 :            :                  * this remains the case.
    1017                 :            :                  */
    1018                 :          3 :                 cap_clear(new->cap_ambient);
    1019                 :            :         }
    1020                 :          3 :         if (uid_eq(old->euid, root_uid) && !uid_eq(new->euid, root_uid))
    1021                 :          3 :                 cap_clear(new->cap_effective);
    1022                 :          3 :         if (!uid_eq(old->euid, root_uid) && uid_eq(new->euid, root_uid))
    1023                 :          3 :                 new->cap_effective = new->cap_permitted;
    1024                 :          3 : }
    1025                 :            : 
    1026                 :            : /**
    1027                 :            :  * cap_task_fix_setuid - Fix up the results of setuid() call
    1028                 :            :  * @new: The proposed credentials
    1029                 :            :  * @old: The current task's current credentials
    1030                 :            :  * @flags: Indications of what has changed
    1031                 :            :  *
    1032                 :            :  * Fix up the results of setuid() call before the credential changes are
    1033                 :            :  * actually applied, returning 0 to grant the changes, -ve to deny them.
    1034                 :            :  */
    1035                 :          3 : int cap_task_fix_setuid(struct cred *new, const struct cred *old, int flags)
    1036                 :            : {
    1037                 :          3 :         switch (flags) {
    1038                 :            :         case LSM_SETID_RE:
    1039                 :            :         case LSM_SETID_ID:
    1040                 :            :         case LSM_SETID_RES:
    1041                 :            :                 /* juggle the capabilities to follow [RES]UID changes unless
    1042                 :            :                  * otherwise suppressed */
    1043                 :          3 :                 if (!issecure(SECURE_NO_SETUID_FIXUP))
    1044                 :          3 :                         cap_emulate_setxuid(new, old);
    1045                 :            :                 break;
    1046                 :            : 
    1047                 :            :         case LSM_SETID_FS:
    1048                 :            :                 /* juggle the capabilties to follow FSUID changes, unless
    1049                 :            :                  * otherwise suppressed
    1050                 :            :                  *
    1051                 :            :                  * FIXME - is fsuser used for all CAP_FS_MASK capabilities?
    1052                 :            :                  *          if not, we might be a bit too harsh here.
    1053                 :            :                  */
    1054                 :          3 :                 if (!issecure(SECURE_NO_SETUID_FIXUP)) {
    1055                 :          3 :                         kuid_t root_uid = make_kuid(old->user_ns, 0);
    1056                 :          3 :                         if (uid_eq(old->fsuid, root_uid) && !uid_eq(new->fsuid, root_uid))
    1057                 :          3 :                                 new->cap_effective =
    1058                 :            :                                         cap_drop_fs_set(new->cap_effective);
    1059                 :            : 
    1060                 :          3 :                         if (!uid_eq(old->fsuid, root_uid) && uid_eq(new->fsuid, root_uid))
    1061                 :          3 :                                 new->cap_effective =
    1062                 :            :                                         cap_raise_fs_set(new->cap_effective,
    1063                 :            :                                                          new->cap_permitted);
    1064                 :            :                 }
    1065                 :            :                 break;
    1066                 :            : 
    1067                 :            :         default:
    1068                 :            :                 return -EINVAL;
    1069                 :            :         }
    1070                 :            : 
    1071                 :            :         return 0;
    1072                 :            : }
    1073                 :            : 
    1074                 :            : /*
    1075                 :            :  * Rationale: code calling task_setscheduler, task_setioprio, and
    1076                 :            :  * task_setnice, assumes that
    1077                 :            :  *   . if capable(cap_sys_nice), then those actions should be allowed
    1078                 :            :  *   . if not capable(cap_sys_nice), but acting on your own processes,
    1079                 :            :  *      then those actions should be allowed
    1080                 :            :  * This is insufficient now since you can call code without suid, but
    1081                 :            :  * yet with increased caps.
    1082                 :            :  * So we check for increased caps on the target process.
    1083                 :            :  */
    1084                 :          3 : static int cap_safe_nice(struct task_struct *p)
    1085                 :            : {
    1086                 :            :         int is_subset, ret = 0;
    1087                 :            : 
    1088                 :            :         rcu_read_lock();
    1089                 :          3 :         is_subset = cap_issubset(__task_cred(p)->cap_permitted,
    1090                 :          3 :                                  current_cred()->cap_permitted);
    1091                 :          3 :         if (!is_subset && !ns_capable(__task_cred(p)->user_ns, CAP_SYS_NICE))
    1092                 :            :                 ret = -EPERM;
    1093                 :            :         rcu_read_unlock();
    1094                 :            : 
    1095                 :          3 :         return ret;
    1096                 :            : }
    1097                 :            : 
    1098                 :            : /**
    1099                 :            :  * cap_task_setscheduler - Detemine if scheduler policy change is permitted
    1100                 :            :  * @p: The task to affect
    1101                 :            :  *
    1102                 :            :  * Detemine if the requested scheduler policy change is permitted for the
    1103                 :            :  * specified task, returning 0 if permission is granted, -ve if denied.
    1104                 :            :  */
    1105                 :          3 : int cap_task_setscheduler(struct task_struct *p)
    1106                 :            : {
    1107                 :          3 :         return cap_safe_nice(p);
    1108                 :            : }
    1109                 :            : 
    1110                 :            : /**
    1111                 :            :  * cap_task_ioprio - Detemine if I/O priority change is permitted
    1112                 :            :  * @p: The task to affect
    1113                 :            :  * @ioprio: The I/O priority to set
    1114                 :            :  *
    1115                 :            :  * Detemine if the requested I/O priority change is permitted for the specified
    1116                 :            :  * task, returning 0 if permission is granted, -ve if denied.
    1117                 :            :  */
    1118                 :          3 : int cap_task_setioprio(struct task_struct *p, int ioprio)
    1119                 :            : {
    1120                 :          3 :         return cap_safe_nice(p);
    1121                 :            : }
    1122                 :            : 
    1123                 :            : /**
    1124                 :            :  * cap_task_ioprio - Detemine if task priority change is permitted
    1125                 :            :  * @p: The task to affect
    1126                 :            :  * @nice: The nice value to set
    1127                 :            :  *
    1128                 :            :  * Detemine if the requested task priority change is permitted for the
    1129                 :            :  * specified task, returning 0 if permission is granted, -ve if denied.
    1130                 :            :  */
    1131                 :          3 : int cap_task_setnice(struct task_struct *p, int nice)
    1132                 :            : {
    1133                 :          3 :         return cap_safe_nice(p);
    1134                 :            : }
    1135                 :            : 
    1136                 :            : /*
    1137                 :            :  * Implement PR_CAPBSET_DROP.  Attempt to remove the specified capability from
    1138                 :            :  * the current task's bounding set.  Returns 0 on success, -ve on error.
    1139                 :            :  */
    1140                 :          3 : static int cap_prctl_drop(unsigned long cap)
    1141                 :            : {
    1142                 :            :         struct cred *new;
    1143                 :            : 
    1144                 :          3 :         if (!ns_capable(current_user_ns(), CAP_SETPCAP))
    1145                 :            :                 return -EPERM;
    1146                 :          3 :         if (!cap_valid(cap))
    1147                 :            :                 return -EINVAL;
    1148                 :            : 
    1149                 :          3 :         new = prepare_creds();
    1150                 :          3 :         if (!new)
    1151                 :            :                 return -ENOMEM;
    1152                 :          3 :         cap_lower(new->cap_bset, cap);
    1153                 :          3 :         return commit_creds(new);
    1154                 :            : }
    1155                 :            : 
    1156                 :            : /**
    1157                 :            :  * cap_task_prctl - Implement process control functions for this security module
    1158                 :            :  * @option: The process control function requested
    1159                 :            :  * @arg2, @arg3, @arg4, @arg5: The argument data for this function
    1160                 :            :  *
    1161                 :            :  * Allow process control functions (sys_prctl()) to alter capabilities; may
    1162                 :            :  * also deny access to other functions not otherwise implemented here.
    1163                 :            :  *
    1164                 :            :  * Returns 0 or +ve on success, -ENOSYS if this function is not implemented
    1165                 :            :  * here, other -ve on error.  If -ENOSYS is returned, sys_prctl() and other LSM
    1166                 :            :  * modules will consider performing the function.
    1167                 :            :  */
    1168                 :          3 : int cap_task_prctl(int option, unsigned long arg2, unsigned long arg3,
    1169                 :            :                    unsigned long arg4, unsigned long arg5)
    1170                 :            : {
    1171                 :          3 :         const struct cred *old = current_cred();
    1172                 :            :         struct cred *new;
    1173                 :            : 
    1174                 :          3 :         switch (option) {
    1175                 :            :         case PR_CAPBSET_READ:
    1176                 :          0 :                 if (!cap_valid(arg2))
    1177                 :            :                         return -EINVAL;
    1178                 :          0 :                 return !!cap_raised(old->cap_bset, arg2);
    1179                 :            : 
    1180                 :            :         case PR_CAPBSET_DROP:
    1181                 :          3 :                 return cap_prctl_drop(arg2);
    1182                 :            : 
    1183                 :            :         /*
    1184                 :            :          * The next four prctl's remain to assist with transitioning a
    1185                 :            :          * system from legacy UID=0 based privilege (when filesystem
    1186                 :            :          * capabilities are not in use) to a system using filesystem
    1187                 :            :          * capabilities only - as the POSIX.1e draft intended.
    1188                 :            :          *
    1189                 :            :          * Note:
    1190                 :            :          *
    1191                 :            :          *  PR_SET_SECUREBITS =
    1192                 :            :          *      issecure_mask(SECURE_KEEP_CAPS_LOCKED)
    1193                 :            :          *    | issecure_mask(SECURE_NOROOT)
    1194                 :            :          *    | issecure_mask(SECURE_NOROOT_LOCKED)
    1195                 :            :          *    | issecure_mask(SECURE_NO_SETUID_FIXUP)
    1196                 :            :          *    | issecure_mask(SECURE_NO_SETUID_FIXUP_LOCKED)
    1197                 :            :          *
    1198                 :            :          * will ensure that the current process and all of its
    1199                 :            :          * children will be locked into a pure
    1200                 :            :          * capability-based-privilege environment.
    1201                 :            :          */
    1202                 :            :         case PR_SET_SECUREBITS:
    1203                 :          3 :                 if ((((old->securebits & SECURE_ALL_LOCKS) >> 1)
    1204                 :          3 :                      & (old->securebits ^ arg2))                 /*[1]*/
    1205                 :          3 :                     || ((old->securebits & SECURE_ALL_LOCKS & ~arg2))        /*[2]*/
    1206                 :          3 :                     || (arg2 & ~(SECURE_ALL_LOCKS | SECURE_ALL_BITS))       /*[3]*/
    1207                 :          3 :                     || (cap_capable(current_cred(),
    1208                 :            :                                     current_cred()->user_ns,
    1209                 :            :                                     CAP_SETPCAP,
    1210                 :            :                                     CAP_OPT_NONE) != 0)                 /*[4]*/
    1211                 :            :                         /*
    1212                 :            :                          * [1] no changing of bits that are locked
    1213                 :            :                          * [2] no unlocking of locks
    1214                 :            :                          * [3] no setting of unsupported bits
    1215                 :            :                          * [4] doing anything requires privilege (go read about
    1216                 :            :                          *     the "sendmail capabilities bug")
    1217                 :            :                          */
    1218                 :            :                     )
    1219                 :            :                         /* cannot change a locked bit */
    1220                 :            :                         return -EPERM;
    1221                 :            : 
    1222                 :          3 :                 new = prepare_creds();
    1223                 :          3 :                 if (!new)
    1224                 :            :                         return -ENOMEM;
    1225                 :          3 :                 new->securebits = arg2;
    1226                 :          3 :                 return commit_creds(new);
    1227                 :            : 
    1228                 :            :         case PR_GET_SECUREBITS:
    1229                 :          3 :                 return old->securebits;
    1230                 :            : 
    1231                 :            :         case PR_GET_KEEPCAPS:
    1232                 :          0 :                 return !!issecure(SECURE_KEEP_CAPS);
    1233                 :            : 
    1234                 :            :         case PR_SET_KEEPCAPS:
    1235                 :          3 :                 if (arg2 > 1) /* Note, we rely on arg2 being unsigned here */
    1236                 :            :                         return -EINVAL;
    1237                 :          3 :                 if (issecure(SECURE_KEEP_CAPS_LOCKED))
    1238                 :            :                         return -EPERM;
    1239                 :            : 
    1240                 :          3 :                 new = prepare_creds();
    1241                 :          3 :                 if (!new)
    1242                 :            :                         return -ENOMEM;
    1243                 :          3 :                 if (arg2)
    1244                 :          3 :                         new->securebits |= issecure_mask(SECURE_KEEP_CAPS);
    1245                 :            :                 else
    1246                 :          3 :                         new->securebits &= ~issecure_mask(SECURE_KEEP_CAPS);
    1247                 :          3 :                 return commit_creds(new);
    1248                 :            : 
    1249                 :            :         case PR_CAP_AMBIENT:
    1250                 :          3 :                 if (arg2 == PR_CAP_AMBIENT_CLEAR_ALL) {
    1251                 :          0 :                         if (arg3 | arg4 | arg5)
    1252                 :            :                                 return -EINVAL;
    1253                 :            : 
    1254                 :          0 :                         new = prepare_creds();
    1255                 :          0 :                         if (!new)
    1256                 :            :                                 return -ENOMEM;
    1257                 :          0 :                         cap_clear(new->cap_ambient);
    1258                 :          0 :                         return commit_creds(new);
    1259                 :            :                 }
    1260                 :            : 
    1261                 :          3 :                 if (((!cap_valid(arg3)) | arg4 | arg5))
    1262                 :            :                         return -EINVAL;
    1263                 :            : 
    1264                 :          3 :                 if (arg2 == PR_CAP_AMBIENT_IS_SET) {
    1265                 :          3 :                         return !!cap_raised(current_cred()->cap_ambient, arg3);
    1266                 :          3 :                 } else if (arg2 != PR_CAP_AMBIENT_RAISE &&
    1267                 :            :                            arg2 != PR_CAP_AMBIENT_LOWER) {
    1268                 :            :                         return -EINVAL;
    1269                 :            :                 } else {
    1270                 :          3 :                         if (arg2 == PR_CAP_AMBIENT_RAISE &&
    1271                 :          3 :                             (!cap_raised(current_cred()->cap_permitted, arg3) ||
    1272                 :          3 :                              !cap_raised(current_cred()->cap_inheritable,
    1273                 :          3 :                                          arg3) ||
    1274                 :          3 :                              issecure(SECURE_NO_CAP_AMBIENT_RAISE)))
    1275                 :            :                                 return -EPERM;
    1276                 :            : 
    1277                 :          3 :                         new = prepare_creds();
    1278                 :          3 :                         if (!new)
    1279                 :            :                                 return -ENOMEM;
    1280                 :          3 :                         if (arg2 == PR_CAP_AMBIENT_RAISE)
    1281                 :          3 :                                 cap_raise(new->cap_ambient, arg3);
    1282                 :            :                         else
    1283                 :          0 :                                 cap_lower(new->cap_ambient, arg3);
    1284                 :          3 :                         return commit_creds(new);
    1285                 :            :                 }
    1286                 :            : 
    1287                 :            :         default:
    1288                 :            :                 /* No functionality available - continue with default */
    1289                 :            :                 return -ENOSYS;
    1290                 :            :         }
    1291                 :            : }
    1292                 :            : 
    1293                 :            : /**
    1294                 :            :  * cap_vm_enough_memory - Determine whether a new virtual mapping is permitted
    1295                 :            :  * @mm: The VM space in which the new mapping is to be made
    1296                 :            :  * @pages: The size of the mapping
    1297                 :            :  *
    1298                 :            :  * Determine whether the allocation of a new virtual mapping by the current
    1299                 :            :  * task is permitted, returning 1 if permission is granted, 0 if not.
    1300                 :            :  */
    1301                 :          3 : int cap_vm_enough_memory(struct mm_struct *mm, long pages)
    1302                 :            : {
    1303                 :            :         int cap_sys_admin = 0;
    1304                 :            : 
    1305                 :          3 :         if (cap_capable(current_cred(), &init_user_ns,
    1306                 :            :                                 CAP_SYS_ADMIN, CAP_OPT_NOAUDIT) == 0)
    1307                 :            :                 cap_sys_admin = 1;
    1308                 :            : 
    1309                 :          3 :         return cap_sys_admin;
    1310                 :            : }
    1311                 :            : 
    1312                 :            : /*
    1313                 :            :  * cap_mmap_addr - check if able to map given addr
    1314                 :            :  * @addr: address attempting to be mapped
    1315                 :            :  *
    1316                 :            :  * If the process is attempting to map memory below dac_mmap_min_addr they need
    1317                 :            :  * CAP_SYS_RAWIO.  The other parameters to this function are unused by the
    1318                 :            :  * capability security module.  Returns 0 if this mapping should be allowed
    1319                 :            :  * -EPERM if not.
    1320                 :            :  */
    1321                 :          3 : int cap_mmap_addr(unsigned long addr)
    1322                 :            : {
    1323                 :            :         int ret = 0;
    1324                 :            : 
    1325                 :          3 :         if (addr < dac_mmap_min_addr) {
    1326                 :          0 :                 ret = cap_capable(current_cred(), &init_user_ns, CAP_SYS_RAWIO,
    1327                 :            :                                   CAP_OPT_NONE);
    1328                 :            :                 /* set PF_SUPERPRIV if it turns out we allow the low mmap */
    1329                 :          0 :                 if (ret == 0)
    1330                 :          0 :                         current->flags |= PF_SUPERPRIV;
    1331                 :            :         }
    1332                 :          3 :         return ret;
    1333                 :            : }
    1334                 :            : 
    1335                 :          3 : int cap_mmap_file(struct file *file, unsigned long reqprot,
    1336                 :            :                   unsigned long prot, unsigned long flags)
    1337                 :            : {
    1338                 :          3 :         return 0;
    1339                 :            : }
    1340                 :            : 
    1341                 :            : #ifdef CONFIG_SECURITY
    1342                 :            : 
    1343                 :            : static struct security_hook_list capability_hooks[] __lsm_ro_after_init = {
    1344                 :            :         LSM_HOOK_INIT(capable, cap_capable),
    1345                 :            :         LSM_HOOK_INIT(settime, cap_settime),
    1346                 :            :         LSM_HOOK_INIT(ptrace_access_check, cap_ptrace_access_check),
    1347                 :            :         LSM_HOOK_INIT(ptrace_traceme, cap_ptrace_traceme),
    1348                 :            :         LSM_HOOK_INIT(capget, cap_capget),
    1349                 :            :         LSM_HOOK_INIT(capset, cap_capset),
    1350                 :            :         LSM_HOOK_INIT(bprm_set_creds, cap_bprm_set_creds),
    1351                 :            :         LSM_HOOK_INIT(inode_need_killpriv, cap_inode_need_killpriv),
    1352                 :            :         LSM_HOOK_INIT(inode_killpriv, cap_inode_killpriv),
    1353                 :            :         LSM_HOOK_INIT(inode_getsecurity, cap_inode_getsecurity),
    1354                 :            :         LSM_HOOK_INIT(mmap_addr, cap_mmap_addr),
    1355                 :            :         LSM_HOOK_INIT(mmap_file, cap_mmap_file),
    1356                 :            :         LSM_HOOK_INIT(task_fix_setuid, cap_task_fix_setuid),
    1357                 :            :         LSM_HOOK_INIT(task_prctl, cap_task_prctl),
    1358                 :            :         LSM_HOOK_INIT(task_setscheduler, cap_task_setscheduler),
    1359                 :            :         LSM_HOOK_INIT(task_setioprio, cap_task_setioprio),
    1360                 :            :         LSM_HOOK_INIT(task_setnice, cap_task_setnice),
    1361                 :            :         LSM_HOOK_INIT(vm_enough_memory, cap_vm_enough_memory),
    1362                 :            : };
    1363                 :            : 
    1364                 :          3 : static int __init capability_init(void)
    1365                 :            : {
    1366                 :          3 :         security_add_hooks(capability_hooks, ARRAY_SIZE(capability_hooks),
    1367                 :            :                                 "capability");
    1368                 :          3 :         return 0;
    1369                 :            : }
    1370                 :            : 
    1371                 :            : DEFINE_LSM(capability) = {
    1372                 :            :         .name = "capability",
    1373                 :            :         .order = LSM_ORDER_FIRST,
    1374                 :            :         .init = capability_init,
    1375                 :            : };
    1376                 :            : 
    1377                 :            : #endif /* CONFIG_SECURITY */
    

Generated by: LCOV version 1.14