Merge branch 'upstream-linus' of git://git.kernel.org/pub/scm/linux/kernel/git/jgarzi...
[linux-2.6] / security / selinux / avc.c
1 /*
2  * Implementation of the kernel access vector cache (AVC).
3  *
4  * Authors:  Stephen Smalley, <sds@epoch.ncsc.mil>
5  *           James Morris <jmorris@redhat.com>
6  *
7  * Update:   KaiGai, Kohei <kaigai@ak.jp.nec.com>
8  *      Replaced the avc_lock spinlock by RCU.
9  *
10  * Copyright (C) 2003 Red Hat, Inc., James Morris <jmorris@redhat.com>
11  *
12  *      This program is free software; you can redistribute it and/or modify
13  *      it under the terms of the GNU General Public License version 2,
14  *      as published by the Free Software Foundation.
15  */
16 #include <linux/types.h>
17 #include <linux/stddef.h>
18 #include <linux/kernel.h>
19 #include <linux/slab.h>
20 #include <linux/fs.h>
21 #include <linux/dcache.h>
22 #include <linux/init.h>
23 #include <linux/skbuff.h>
24 #include <linux/percpu.h>
25 #include <net/sock.h>
26 #include <linux/un.h>
27 #include <net/af_unix.h>
28 #include <linux/ip.h>
29 #include <linux/audit.h>
30 #include <linux/ipv6.h>
31 #include <net/ipv6.h>
32 #include "avc.h"
33 #include "avc_ss.h"
34
35 static const struct av_perm_to_string av_perm_to_string[] = {
36 #define S_(c, v, s) { c, v, s },
37 #include "av_perm_to_string.h"
38 #undef S_
39 };
40
41 static const char *class_to_string[] = {
42 #define S_(s) s,
43 #include "class_to_string.h"
44 #undef S_
45 };
46
47 #define TB_(s) static const char *s[] = {
48 #define TE_(s) };
49 #define S_(s) s,
50 #include "common_perm_to_string.h"
51 #undef TB_
52 #undef TE_
53 #undef S_
54
55 static const struct av_inherit av_inherit[] = {
56 #define S_(c, i, b) {   .tclass = c,\
57                         .common_pts = common_##i##_perm_to_string,\
58                         .common_base =  b },
59 #include "av_inherit.h"
60 #undef S_
61 };
62
63 const struct selinux_class_perm selinux_class_perm = {
64         .av_perm_to_string = av_perm_to_string,
65         .av_pts_len = ARRAY_SIZE(av_perm_to_string),
66         .class_to_string = class_to_string,
67         .cts_len = ARRAY_SIZE(class_to_string),
68         .av_inherit = av_inherit,
69         .av_inherit_len = ARRAY_SIZE(av_inherit)
70 };
71
72 #define AVC_CACHE_SLOTS                 512
73 #define AVC_DEF_CACHE_THRESHOLD         512
74 #define AVC_CACHE_RECLAIM               16
75
76 #ifdef CONFIG_SECURITY_SELINUX_AVC_STATS
77 #define avc_cache_stats_incr(field)                             \
78 do {                                                            \
79         per_cpu(avc_cache_stats, get_cpu()).field++;            \
80         put_cpu();                                              \
81 } while (0)
82 #else
83 #define avc_cache_stats_incr(field)     do {} while (0)
84 #endif
85
86 struct avc_entry {
87         u32                     ssid;
88         u32                     tsid;
89         u16                     tclass;
90         struct av_decision      avd;
91 };
92
93 struct avc_node {
94         struct avc_entry        ae;
95         struct hlist_node       list; /* anchored in avc_cache->slots[i] */
96         struct rcu_head         rhead;
97 };
98
99 struct avc_cache {
100         struct hlist_head       slots[AVC_CACHE_SLOTS]; /* head for avc_node->list */
101         spinlock_t              slots_lock[AVC_CACHE_SLOTS]; /* lock for writes */
102         atomic_t                lru_hint;       /* LRU hint for reclaim scan */
103         atomic_t                active_nodes;
104         u32                     latest_notif;   /* latest revocation notification */
105 };
106
107 struct avc_callback_node {
108         int (*callback) (u32 event, u32 ssid, u32 tsid,
109                          u16 tclass, u32 perms,
110                          u32 *out_retained);
111         u32 events;
112         u32 ssid;
113         u32 tsid;
114         u16 tclass;
115         u32 perms;
116         struct avc_callback_node *next;
117 };
118
119 /* Exported via selinufs */
120 unsigned int avc_cache_threshold = AVC_DEF_CACHE_THRESHOLD;
121
122 #ifdef CONFIG_SECURITY_SELINUX_AVC_STATS
123 DEFINE_PER_CPU(struct avc_cache_stats, avc_cache_stats) = { 0 };
124 #endif
125
126 static struct avc_cache avc_cache;
127 static struct avc_callback_node *avc_callbacks;
128 static struct kmem_cache *avc_node_cachep;
129
130 static inline int avc_hash(u32 ssid, u32 tsid, u16 tclass)
131 {
132         return (ssid ^ (tsid<<2) ^ (tclass<<4)) & (AVC_CACHE_SLOTS - 1);
133 }
134
135 /**
136  * avc_dump_av - Display an access vector in human-readable form.
137  * @tclass: target security class
138  * @av: access vector
139  */
140 void avc_dump_av(struct audit_buffer *ab, u16 tclass, u32 av)
141 {
142         const char **common_pts = NULL;
143         u32 common_base = 0;
144         int i, i2, perm;
145
146         if (av == 0) {
147                 audit_log_format(ab, " null");
148                 return;
149         }
150
151         for (i = 0; i < ARRAY_SIZE(av_inherit); i++) {
152                 if (av_inherit[i].tclass == tclass) {
153                         common_pts = av_inherit[i].common_pts;
154                         common_base = av_inherit[i].common_base;
155                         break;
156                 }
157         }
158
159         audit_log_format(ab, " {");
160         i = 0;
161         perm = 1;
162         while (perm < common_base) {
163                 if (perm & av) {
164                         audit_log_format(ab, " %s", common_pts[i]);
165                         av &= ~perm;
166                 }
167                 i++;
168                 perm <<= 1;
169         }
170
171         while (i < sizeof(av) * 8) {
172                 if (perm & av) {
173                         for (i2 = 0; i2 < ARRAY_SIZE(av_perm_to_string); i2++) {
174                                 if ((av_perm_to_string[i2].tclass == tclass) &&
175                                     (av_perm_to_string[i2].value == perm))
176                                         break;
177                         }
178                         if (i2 < ARRAY_SIZE(av_perm_to_string)) {
179                                 audit_log_format(ab, " %s",
180                                                  av_perm_to_string[i2].name);
181                                 av &= ~perm;
182                         }
183                 }
184                 i++;
185                 perm <<= 1;
186         }
187
188         if (av)
189                 audit_log_format(ab, " 0x%x", av);
190
191         audit_log_format(ab, " }");
192 }
193
194 /**
195  * avc_dump_query - Display a SID pair and a class in human-readable form.
196  * @ssid: source security identifier
197  * @tsid: target security identifier
198  * @tclass: target security class
199  */
200 static void avc_dump_query(struct audit_buffer *ab, u32 ssid, u32 tsid, u16 tclass)
201 {
202         int rc;
203         char *scontext;
204         u32 scontext_len;
205
206         rc = security_sid_to_context(ssid, &scontext, &scontext_len);
207         if (rc)
208                 audit_log_format(ab, "ssid=%d", ssid);
209         else {
210                 audit_log_format(ab, "scontext=%s", scontext);
211                 kfree(scontext);
212         }
213
214         rc = security_sid_to_context(tsid, &scontext, &scontext_len);
215         if (rc)
216                 audit_log_format(ab, " tsid=%d", tsid);
217         else {
218                 audit_log_format(ab, " tcontext=%s", scontext);
219                 kfree(scontext);
220         }
221
222         BUG_ON(tclass >= ARRAY_SIZE(class_to_string) || !class_to_string[tclass]);
223         audit_log_format(ab, " tclass=%s", class_to_string[tclass]);
224 }
225
226 /**
227  * avc_init - Initialize the AVC.
228  *
229  * Initialize the access vector cache.
230  */
231 void __init avc_init(void)
232 {
233         int i;
234
235         for (i = 0; i < AVC_CACHE_SLOTS; i++) {
236                 INIT_HLIST_HEAD(&avc_cache.slots[i]);
237                 spin_lock_init(&avc_cache.slots_lock[i]);
238         }
239         atomic_set(&avc_cache.active_nodes, 0);
240         atomic_set(&avc_cache.lru_hint, 0);
241
242         avc_node_cachep = kmem_cache_create("avc_node", sizeof(struct avc_node),
243                                              0, SLAB_PANIC, NULL);
244
245         audit_log(current->audit_context, GFP_KERNEL, AUDIT_KERNEL, "AVC INITIALIZED\n");
246 }
247
248 int avc_get_hash_stats(char *page)
249 {
250         int i, chain_len, max_chain_len, slots_used;
251         struct avc_node *node;
252         struct hlist_head *head;
253
254         rcu_read_lock();
255
256         slots_used = 0;
257         max_chain_len = 0;
258         for (i = 0; i < AVC_CACHE_SLOTS; i++) {
259                 head = &avc_cache.slots[i];
260                 if (!hlist_empty(head)) {
261                         struct hlist_node *next;
262
263                         slots_used++;
264                         chain_len = 0;
265                         hlist_for_each_entry_rcu(node, next, head, list)
266                                 chain_len++;
267                         if (chain_len > max_chain_len)
268                                 max_chain_len = chain_len;
269                 }
270         }
271
272         rcu_read_unlock();
273
274         return scnprintf(page, PAGE_SIZE, "entries: %d\nbuckets used: %d/%d\n"
275                          "longest chain: %d\n",
276                          atomic_read(&avc_cache.active_nodes),
277                          slots_used, AVC_CACHE_SLOTS, max_chain_len);
278 }
279
280 static void avc_node_free(struct rcu_head *rhead)
281 {
282         struct avc_node *node = container_of(rhead, struct avc_node, rhead);
283         kmem_cache_free(avc_node_cachep, node);
284         avc_cache_stats_incr(frees);
285 }
286
287 static void avc_node_delete(struct avc_node *node)
288 {
289         hlist_del_rcu(&node->list);
290         call_rcu(&node->rhead, avc_node_free);
291         atomic_dec(&avc_cache.active_nodes);
292 }
293
294 static void avc_node_kill(struct avc_node *node)
295 {
296         kmem_cache_free(avc_node_cachep, node);
297         avc_cache_stats_incr(frees);
298         atomic_dec(&avc_cache.active_nodes);
299 }
300
301 static void avc_node_replace(struct avc_node *new, struct avc_node *old)
302 {
303         hlist_replace_rcu(&old->list, &new->list);
304         call_rcu(&old->rhead, avc_node_free);
305         atomic_dec(&avc_cache.active_nodes);
306 }
307
308 static inline int avc_reclaim_node(void)
309 {
310         struct avc_node *node;
311         int hvalue, try, ecx;
312         unsigned long flags;
313         struct hlist_head *head;
314         struct hlist_node *next;
315         spinlock_t *lock;
316
317         for (try = 0, ecx = 0; try < AVC_CACHE_SLOTS; try++) {
318                 hvalue = atomic_inc_return(&avc_cache.lru_hint) & (AVC_CACHE_SLOTS - 1);
319                 head = &avc_cache.slots[hvalue];
320                 lock = &avc_cache.slots_lock[hvalue];
321
322                 if (!spin_trylock_irqsave(lock, flags))
323                         continue;
324
325                 rcu_read_lock();
326                 hlist_for_each_entry(node, next, head, list) {
327                         avc_node_delete(node);
328                         avc_cache_stats_incr(reclaims);
329                         ecx++;
330                         if (ecx >= AVC_CACHE_RECLAIM) {
331                                 rcu_read_unlock();
332                                 spin_unlock_irqrestore(lock, flags);
333                                 goto out;
334                         }
335                 }
336                 rcu_read_unlock();
337                 spin_unlock_irqrestore(lock, flags);
338         }
339 out:
340         return ecx;
341 }
342
343 static struct avc_node *avc_alloc_node(void)
344 {
345         struct avc_node *node;
346
347         node = kmem_cache_zalloc(avc_node_cachep, GFP_ATOMIC);
348         if (!node)
349                 goto out;
350
351         INIT_RCU_HEAD(&node->rhead);
352         INIT_HLIST_NODE(&node->list);
353         avc_cache_stats_incr(allocations);
354
355         if (atomic_inc_return(&avc_cache.active_nodes) > avc_cache_threshold)
356                 avc_reclaim_node();
357
358 out:
359         return node;
360 }
361
362 static void avc_node_populate(struct avc_node *node, u32 ssid, u32 tsid, u16 tclass, struct av_decision *avd)
363 {
364         node->ae.ssid = ssid;
365         node->ae.tsid = tsid;
366         node->ae.tclass = tclass;
367         memcpy(&node->ae.avd, avd, sizeof(node->ae.avd));
368 }
369
370 static inline struct avc_node *avc_search_node(u32 ssid, u32 tsid, u16 tclass)
371 {
372         struct avc_node *node, *ret = NULL;
373         int hvalue;
374         struct hlist_head *head;
375         struct hlist_node *next;
376
377         hvalue = avc_hash(ssid, tsid, tclass);
378         head = &avc_cache.slots[hvalue];
379         hlist_for_each_entry_rcu(node, next, head, list) {
380                 if (ssid == node->ae.ssid &&
381                     tclass == node->ae.tclass &&
382                     tsid == node->ae.tsid) {
383                         ret = node;
384                         break;
385                 }
386         }
387
388         return ret;
389 }
390
391 /**
392  * avc_lookup - Look up an AVC entry.
393  * @ssid: source security identifier
394  * @tsid: target security identifier
395  * @tclass: target security class
396  *
397  * Look up an AVC entry that is valid for the
398  * (@ssid, @tsid), interpreting the permissions
399  * based on @tclass.  If a valid AVC entry exists,
400  * then this function return the avc_node.
401  * Otherwise, this function returns NULL.
402  */
403 static struct avc_node *avc_lookup(u32 ssid, u32 tsid, u16 tclass)
404 {
405         struct avc_node *node;
406
407         avc_cache_stats_incr(lookups);
408         node = avc_search_node(ssid, tsid, tclass);
409
410         if (node)
411                 avc_cache_stats_incr(hits);
412         else
413                 avc_cache_stats_incr(misses);
414
415         return node;
416 }
417
418 static int avc_latest_notif_update(int seqno, int is_insert)
419 {
420         int ret = 0;
421         static DEFINE_SPINLOCK(notif_lock);
422         unsigned long flag;
423
424         spin_lock_irqsave(&notif_lock, flag);
425         if (is_insert) {
426                 if (seqno < avc_cache.latest_notif) {
427                         printk(KERN_WARNING "SELinux: avc:  seqno %d < latest_notif %d\n",
428                                seqno, avc_cache.latest_notif);
429                         ret = -EAGAIN;
430                 }
431         } else {
432                 if (seqno > avc_cache.latest_notif)
433                         avc_cache.latest_notif = seqno;
434         }
435         spin_unlock_irqrestore(&notif_lock, flag);
436
437         return ret;
438 }
439
440 /**
441  * avc_insert - Insert an AVC entry.
442  * @ssid: source security identifier
443  * @tsid: target security identifier
444  * @tclass: target security class
445  * @avd: resulting av decision
446  *
447  * Insert an AVC entry for the SID pair
448  * (@ssid, @tsid) and class @tclass.
449  * The access vectors and the sequence number are
450  * normally provided by the security server in
451  * response to a security_compute_av() call.  If the
452  * sequence number @avd->seqno is not less than the latest
453  * revocation notification, then the function copies
454  * the access vectors into a cache entry, returns
455  * avc_node inserted. Otherwise, this function returns NULL.
456  */
457 static struct avc_node *avc_insert(u32 ssid, u32 tsid, u16 tclass, struct av_decision *avd)
458 {
459         struct avc_node *pos, *node = NULL;
460         int hvalue;
461         unsigned long flag;
462
463         if (avc_latest_notif_update(avd->seqno, 1))
464                 goto out;
465
466         node = avc_alloc_node();
467         if (node) {
468                 struct hlist_head *head;
469                 struct hlist_node *next;
470                 spinlock_t *lock;
471
472                 hvalue = avc_hash(ssid, tsid, tclass);
473                 avc_node_populate(node, ssid, tsid, tclass, avd);
474
475                 head = &avc_cache.slots[hvalue];
476                 lock = &avc_cache.slots_lock[hvalue];
477
478                 spin_lock_irqsave(lock, flag);
479                 hlist_for_each_entry(pos, next, head, list) {
480                         if (pos->ae.ssid == ssid &&
481                             pos->ae.tsid == tsid &&
482                             pos->ae.tclass == tclass) {
483                                 avc_node_replace(node, pos);
484                                 goto found;
485                         }
486                 }
487                 hlist_add_head_rcu(&node->list, head);
488 found:
489                 spin_unlock_irqrestore(lock, flag);
490         }
491 out:
492         return node;
493 }
494
495 static inline void avc_print_ipv6_addr(struct audit_buffer *ab,
496                                        struct in6_addr *addr, __be16 port,
497                                        char *name1, char *name2)
498 {
499         if (!ipv6_addr_any(addr))
500                 audit_log_format(ab, " %s=%pI6", name1, addr);
501         if (port)
502                 audit_log_format(ab, " %s=%d", name2, ntohs(port));
503 }
504
505 static inline void avc_print_ipv4_addr(struct audit_buffer *ab, __be32 addr,
506                                        __be16 port, char *name1, char *name2)
507 {
508         if (addr)
509                 audit_log_format(ab, " %s=%pI4", name1, &addr);
510         if (port)
511                 audit_log_format(ab, " %s=%d", name2, ntohs(port));
512 }
513
514 /**
515  * avc_audit - Audit the granting or denial of permissions.
516  * @ssid: source security identifier
517  * @tsid: target security identifier
518  * @tclass: target security class
519  * @requested: requested permissions
520  * @avd: access vector decisions
521  * @result: result from avc_has_perm_noaudit
522  * @a:  auxiliary audit data
523  *
524  * Audit the granting or denial of permissions in accordance
525  * with the policy.  This function is typically called by
526  * avc_has_perm() after a permission check, but can also be
527  * called directly by callers who use avc_has_perm_noaudit()
528  * in order to separate the permission check from the auditing.
529  * For example, this separation is useful when the permission check must
530  * be performed under a lock, to allow the lock to be released
531  * before calling the auditing code.
532  */
533 void avc_audit(u32 ssid, u32 tsid,
534                u16 tclass, u32 requested,
535                struct av_decision *avd, int result, struct avc_audit_data *a)
536 {
537         struct task_struct *tsk = current;
538         struct inode *inode = NULL;
539         u32 denied, audited;
540         struct audit_buffer *ab;
541
542         denied = requested & ~avd->allowed;
543         if (denied) {
544                 audited = denied;
545                 if (!(audited & avd->auditdeny))
546                         return;
547         } else if (result) {
548                 audited = denied = requested;
549         } else {
550                 audited = requested;
551                 if (!(audited & avd->auditallow))
552                         return;
553         }
554
555         ab = audit_log_start(current->audit_context, GFP_ATOMIC, AUDIT_AVC);
556         if (!ab)
557                 return;         /* audit_panic has been called */
558         audit_log_format(ab, "avc:  %s ", denied ? "denied" : "granted");
559         avc_dump_av(ab, tclass, audited);
560         audit_log_format(ab, " for ");
561         if (a && a->tsk)
562                 tsk = a->tsk;
563         if (tsk && tsk->pid) {
564                 audit_log_format(ab, " pid=%d comm=", tsk->pid);
565                 audit_log_untrustedstring(ab, tsk->comm);
566         }
567         if (a) {
568                 switch (a->type) {
569                 case AVC_AUDIT_DATA_IPC:
570                         audit_log_format(ab, " key=%d", a->u.ipc_id);
571                         break;
572                 case AVC_AUDIT_DATA_CAP:
573                         audit_log_format(ab, " capability=%d", a->u.cap);
574                         break;
575                 case AVC_AUDIT_DATA_FS:
576                         if (a->u.fs.path.dentry) {
577                                 struct dentry *dentry = a->u.fs.path.dentry;
578                                 if (a->u.fs.path.mnt) {
579                                         audit_log_d_path(ab, "path=",
580                                                          &a->u.fs.path);
581                                 } else {
582                                         audit_log_format(ab, " name=");
583                                         audit_log_untrustedstring(ab, dentry->d_name.name);
584                                 }
585                                 inode = dentry->d_inode;
586                         } else if (a->u.fs.inode) {
587                                 struct dentry *dentry;
588                                 inode = a->u.fs.inode;
589                                 dentry = d_find_alias(inode);
590                                 if (dentry) {
591                                         audit_log_format(ab, " name=");
592                                         audit_log_untrustedstring(ab, dentry->d_name.name);
593                                         dput(dentry);
594                                 }
595                         }
596                         if (inode)
597                                 audit_log_format(ab, " dev=%s ino=%lu",
598                                                  inode->i_sb->s_id,
599                                                  inode->i_ino);
600                         break;
601                 case AVC_AUDIT_DATA_NET:
602                         if (a->u.net.sk) {
603                                 struct sock *sk = a->u.net.sk;
604                                 struct unix_sock *u;
605                                 int len = 0;
606                                 char *p = NULL;
607
608                                 switch (sk->sk_family) {
609                                 case AF_INET: {
610                                         struct inet_sock *inet = inet_sk(sk);
611
612                                         avc_print_ipv4_addr(ab, inet->rcv_saddr,
613                                                             inet->sport,
614                                                             "laddr", "lport");
615                                         avc_print_ipv4_addr(ab, inet->daddr,
616                                                             inet->dport,
617                                                             "faddr", "fport");
618                                         break;
619                                 }
620                                 case AF_INET6: {
621                                         struct inet_sock *inet = inet_sk(sk);
622                                         struct ipv6_pinfo *inet6 = inet6_sk(sk);
623
624                                         avc_print_ipv6_addr(ab, &inet6->rcv_saddr,
625                                                             inet->sport,
626                                                             "laddr", "lport");
627                                         avc_print_ipv6_addr(ab, &inet6->daddr,
628                                                             inet->dport,
629                                                             "faddr", "fport");
630                                         break;
631                                 }
632                                 case AF_UNIX:
633                                         u = unix_sk(sk);
634                                         if (u->dentry) {
635                                                 struct path path = {
636                                                         .dentry = u->dentry,
637                                                         .mnt = u->mnt
638                                                 };
639                                                 audit_log_d_path(ab, "path=",
640                                                                  &path);
641                                                 break;
642                                         }
643                                         if (!u->addr)
644                                                 break;
645                                         len = u->addr->len-sizeof(short);
646                                         p = &u->addr->name->sun_path[0];
647                                         audit_log_format(ab, " path=");
648                                         if (*p)
649                                                 audit_log_untrustedstring(ab, p);
650                                         else
651                                                 audit_log_n_hex(ab, p, len);
652                                         break;
653                                 }
654                         }
655
656                         switch (a->u.net.family) {
657                         case AF_INET:
658                                 avc_print_ipv4_addr(ab, a->u.net.v4info.saddr,
659                                                     a->u.net.sport,
660                                                     "saddr", "src");
661                                 avc_print_ipv4_addr(ab, a->u.net.v4info.daddr,
662                                                     a->u.net.dport,
663                                                     "daddr", "dest");
664                                 break;
665                         case AF_INET6:
666                                 avc_print_ipv6_addr(ab, &a->u.net.v6info.saddr,
667                                                     a->u.net.sport,
668                                                     "saddr", "src");
669                                 avc_print_ipv6_addr(ab, &a->u.net.v6info.daddr,
670                                                     a->u.net.dport,
671                                                     "daddr", "dest");
672                                 break;
673                         }
674                         if (a->u.net.netif > 0) {
675                                 struct net_device *dev;
676
677                                 /* NOTE: we always use init's namespace */
678                                 dev = dev_get_by_index(&init_net,
679                                                        a->u.net.netif);
680                                 if (dev) {
681                                         audit_log_format(ab, " netif=%s",
682                                                          dev->name);
683                                         dev_put(dev);
684                                 }
685                         }
686                         break;
687                 }
688         }
689         audit_log_format(ab, " ");
690         avc_dump_query(ab, ssid, tsid, tclass);
691         audit_log_end(ab);
692 }
693
694 /**
695  * avc_add_callback - Register a callback for security events.
696  * @callback: callback function
697  * @events: security events
698  * @ssid: source security identifier or %SECSID_WILD
699  * @tsid: target security identifier or %SECSID_WILD
700  * @tclass: target security class
701  * @perms: permissions
702  *
703  * Register a callback function for events in the set @events
704  * related to the SID pair (@ssid, @tsid) and
705  * and the permissions @perms, interpreting
706  * @perms based on @tclass.  Returns %0 on success or
707  * -%ENOMEM if insufficient memory exists to add the callback.
708  */
709 int avc_add_callback(int (*callback)(u32 event, u32 ssid, u32 tsid,
710                                      u16 tclass, u32 perms,
711                                      u32 *out_retained),
712                      u32 events, u32 ssid, u32 tsid,
713                      u16 tclass, u32 perms)
714 {
715         struct avc_callback_node *c;
716         int rc = 0;
717
718         c = kmalloc(sizeof(*c), GFP_ATOMIC);
719         if (!c) {
720                 rc = -ENOMEM;
721                 goto out;
722         }
723
724         c->callback = callback;
725         c->events = events;
726         c->ssid = ssid;
727         c->tsid = tsid;
728         c->perms = perms;
729         c->next = avc_callbacks;
730         avc_callbacks = c;
731 out:
732         return rc;
733 }
734
735 static inline int avc_sidcmp(u32 x, u32 y)
736 {
737         return (x == y || x == SECSID_WILD || y == SECSID_WILD);
738 }
739
740 /**
741  * avc_update_node Update an AVC entry
742  * @event : Updating event
743  * @perms : Permission mask bits
744  * @ssid,@tsid,@tclass : identifier of an AVC entry
745  * @seqno : sequence number when decision was made
746  *
747  * if a valid AVC entry doesn't exist,this function returns -ENOENT.
748  * if kmalloc() called internal returns NULL, this function returns -ENOMEM.
749  * otherwise, this function update the AVC entry. The original AVC-entry object
750  * will release later by RCU.
751  */
752 static int avc_update_node(u32 event, u32 perms, u32 ssid, u32 tsid, u16 tclass,
753                            u32 seqno)
754 {
755         int hvalue, rc = 0;
756         unsigned long flag;
757         struct avc_node *pos, *node, *orig = NULL;
758         struct hlist_head *head;
759         struct hlist_node *next;
760         spinlock_t *lock;
761
762         node = avc_alloc_node();
763         if (!node) {
764                 rc = -ENOMEM;
765                 goto out;
766         }
767
768         /* Lock the target slot */
769         hvalue = avc_hash(ssid, tsid, tclass);
770
771         head = &avc_cache.slots[hvalue];
772         lock = &avc_cache.slots_lock[hvalue];
773
774         spin_lock_irqsave(lock, flag);
775
776         hlist_for_each_entry(pos, next, head, list) {
777                 if (ssid == pos->ae.ssid &&
778                     tsid == pos->ae.tsid &&
779                     tclass == pos->ae.tclass &&
780                     seqno == pos->ae.avd.seqno){
781                         orig = pos;
782                         break;
783                 }
784         }
785
786         if (!orig) {
787                 rc = -ENOENT;
788                 avc_node_kill(node);
789                 goto out_unlock;
790         }
791
792         /*
793          * Copy and replace original node.
794          */
795
796         avc_node_populate(node, ssid, tsid, tclass, &orig->ae.avd);
797
798         switch (event) {
799         case AVC_CALLBACK_GRANT:
800                 node->ae.avd.allowed |= perms;
801                 break;
802         case AVC_CALLBACK_TRY_REVOKE:
803         case AVC_CALLBACK_REVOKE:
804                 node->ae.avd.allowed &= ~perms;
805                 break;
806         case AVC_CALLBACK_AUDITALLOW_ENABLE:
807                 node->ae.avd.auditallow |= perms;
808                 break;
809         case AVC_CALLBACK_AUDITALLOW_DISABLE:
810                 node->ae.avd.auditallow &= ~perms;
811                 break;
812         case AVC_CALLBACK_AUDITDENY_ENABLE:
813                 node->ae.avd.auditdeny |= perms;
814                 break;
815         case AVC_CALLBACK_AUDITDENY_DISABLE:
816                 node->ae.avd.auditdeny &= ~perms;
817                 break;
818         }
819         avc_node_replace(node, orig);
820 out_unlock:
821         spin_unlock_irqrestore(lock, flag);
822 out:
823         return rc;
824 }
825
826 /**
827  * avc_ss_reset - Flush the cache and revalidate migrated permissions.
828  * @seqno: policy sequence number
829  */
830 int avc_ss_reset(u32 seqno)
831 {
832         struct avc_callback_node *c;
833         int i, rc = 0, tmprc;
834         unsigned long flag;
835         struct avc_node *node;
836         struct hlist_head *head;
837         struct hlist_node *next;
838         spinlock_t *lock;
839
840         for (i = 0; i < AVC_CACHE_SLOTS; i++) {
841                 head = &avc_cache.slots[i];
842                 lock = &avc_cache.slots_lock[i];
843
844                 spin_lock_irqsave(lock, flag);
845                 /*
846                  * With preemptable RCU, the outer spinlock does not
847                  * prevent RCU grace periods from ending.
848                  */
849                 rcu_read_lock();
850                 hlist_for_each_entry(node, next, head, list)
851                         avc_node_delete(node);
852                 rcu_read_unlock();
853                 spin_unlock_irqrestore(lock, flag);
854         }
855
856         for (c = avc_callbacks; c; c = c->next) {
857                 if (c->events & AVC_CALLBACK_RESET) {
858                         tmprc = c->callback(AVC_CALLBACK_RESET,
859                                             0, 0, 0, 0, NULL);
860                         /* save the first error encountered for the return
861                            value and continue processing the callbacks */
862                         if (!rc)
863                                 rc = tmprc;
864                 }
865         }
866
867         avc_latest_notif_update(seqno, 0);
868         return rc;
869 }
870
871 /**
872  * avc_has_perm_noaudit - Check permissions but perform no auditing.
873  * @ssid: source security identifier
874  * @tsid: target security identifier
875  * @tclass: target security class
876  * @requested: requested permissions, interpreted based on @tclass
877  * @flags:  AVC_STRICT or 0
878  * @avd: access vector decisions
879  *
880  * Check the AVC to determine whether the @requested permissions are granted
881  * for the SID pair (@ssid, @tsid), interpreting the permissions
882  * based on @tclass, and call the security server on a cache miss to obtain
883  * a new decision and add it to the cache.  Return a copy of the decisions
884  * in @avd.  Return %0 if all @requested permissions are granted,
885  * -%EACCES if any permissions are denied, or another -errno upon
886  * other errors.  This function is typically called by avc_has_perm(),
887  * but may also be called directly to separate permission checking from
888  * auditing, e.g. in cases where a lock must be held for the check but
889  * should be released for the auditing.
890  */
891 int avc_has_perm_noaudit(u32 ssid, u32 tsid,
892                          u16 tclass, u32 requested,
893                          unsigned flags,
894                          struct av_decision *in_avd)
895 {
896         struct avc_node *node;
897         struct av_decision avd_entry, *avd;
898         int rc = 0;
899         u32 denied;
900
901         BUG_ON(!requested);
902
903         rcu_read_lock();
904
905         node = avc_lookup(ssid, tsid, tclass);
906         if (!node) {
907                 rcu_read_unlock();
908
909                 if (in_avd)
910                         avd = in_avd;
911                 else
912                         avd = &avd_entry;
913
914                 rc = security_compute_av(ssid, tsid, tclass, requested, avd);
915                 if (rc)
916                         goto out;
917                 rcu_read_lock();
918                 node = avc_insert(ssid, tsid, tclass, avd);
919         } else {
920                 if (in_avd)
921                         memcpy(in_avd, &node->ae.avd, sizeof(*in_avd));
922                 avd = &node->ae.avd;
923         }
924
925         denied = requested & ~(avd->allowed);
926
927         if (denied) {
928                 if (flags & AVC_STRICT)
929                         rc = -EACCES;
930                 else if (!selinux_enforcing || security_permissive_sid(ssid))
931                         avc_update_node(AVC_CALLBACK_GRANT, requested, ssid,
932                                         tsid, tclass, avd->seqno);
933                 else
934                         rc = -EACCES;
935         }
936
937         rcu_read_unlock();
938 out:
939         return rc;
940 }
941
942 /**
943  * avc_has_perm - Check permissions and perform any appropriate auditing.
944  * @ssid: source security identifier
945  * @tsid: target security identifier
946  * @tclass: target security class
947  * @requested: requested permissions, interpreted based on @tclass
948  * @auditdata: auxiliary audit data
949  *
950  * Check the AVC to determine whether the @requested permissions are granted
951  * for the SID pair (@ssid, @tsid), interpreting the permissions
952  * based on @tclass, and call the security server on a cache miss to obtain
953  * a new decision and add it to the cache.  Audit the granting or denial of
954  * permissions in accordance with the policy.  Return %0 if all @requested
955  * permissions are granted, -%EACCES if any permissions are denied, or
956  * another -errno upon other errors.
957  */
958 int avc_has_perm(u32 ssid, u32 tsid, u16 tclass,
959                  u32 requested, struct avc_audit_data *auditdata)
960 {
961         struct av_decision avd;
962         int rc;
963
964         rc = avc_has_perm_noaudit(ssid, tsid, tclass, requested, 0, &avd);
965         avc_audit(ssid, tsid, tclass, requested, &avd, rc, auditdata);
966         return rc;
967 }
968
969 u32 avc_policy_seqno(void)
970 {
971         return avc_cache.latest_notif;
972 }