2  * Implementation of the kernel access vector cache (AVC).
 
   4  * Authors:  Stephen Smalley, <sds@epoch.ncsc.mil>
 
   5  *           James Morris <jmorris@redhat.com>
 
   7  * Update:   KaiGai, Kohei <kaigai@ak.jp.nec.com>
 
   8  *      Replaced the avc_lock spinlock by RCU.
 
  10  * Copyright (C) 2003 Red Hat, Inc., James Morris <jmorris@redhat.com>
 
  12  *      This program is free software; you can redistribute it and/or modify
 
  13  *      it under the terms of the GNU General Public License version 2,
 
  14  *      as published by the Free Software Foundation.
 
  16 #include <linux/types.h>
 
  17 #include <linux/stddef.h>
 
  18 #include <linux/kernel.h>
 
  19 #include <linux/slab.h>
 
  21 #include <linux/dcache.h>
 
  22 #include <linux/init.h>
 
  23 #include <linux/skbuff.h>
 
  24 #include <linux/percpu.h>
 
  27 #include <net/af_unix.h>
 
  29 #include <linux/audit.h>
 
  30 #include <linux/ipv6.h>
 
  35 static const struct av_perm_to_string av_perm_to_string[] = {
 
  36 #define S_(c, v, s) { c, v, s },
 
  37 #include "av_perm_to_string.h"
 
  41 static const char *class_to_string[] = {
 
  43 #include "class_to_string.h"
 
  47 #define TB_(s) static const char *s[] = {
 
  50 #include "common_perm_to_string.h"
 
  55 static const struct av_inherit av_inherit[] = {
 
  56 #define S_(c, i, b) { c, common_##i##_perm_to_string, b },
 
  57 #include "av_inherit.h"
 
  61 const struct selinux_class_perm selinux_class_perm = {
 
  63         ARRAY_SIZE(av_perm_to_string),
 
  65         ARRAY_SIZE(class_to_string),
 
  67         ARRAY_SIZE(av_inherit)
 
  70 #define AVC_CACHE_SLOTS                 512
 
  71 #define AVC_DEF_CACHE_THRESHOLD         512
 
  72 #define AVC_CACHE_RECLAIM               16
 
  74 #ifdef CONFIG_SECURITY_SELINUX_AVC_STATS
 
  75 #define avc_cache_stats_incr(field)                             \
 
  77         per_cpu(avc_cache_stats, get_cpu()).field++;            \
 
  81 #define avc_cache_stats_incr(field)     do {} while (0)
 
  88         struct av_decision      avd;
 
  89         atomic_t                used;   /* used recently */
 
  94         struct list_head        list;
 
  95         struct rcu_head         rhead;
 
  99         struct list_head        slots[AVC_CACHE_SLOTS];
 
 100         spinlock_t              slots_lock[AVC_CACHE_SLOTS]; /* lock for writes */
 
 101         atomic_t                lru_hint;       /* LRU hint for reclaim scan */
 
 102         atomic_t                active_nodes;
 
 103         u32                     latest_notif;   /* latest revocation notification */
 
 106 struct avc_callback_node {
 
 107         int (*callback) (u32 event, u32 ssid, u32 tsid,
 
 108                          u16 tclass, u32 perms,
 
 115         struct avc_callback_node *next;
 
 118 /* Exported via selinufs */
 
 119 unsigned int avc_cache_threshold = AVC_DEF_CACHE_THRESHOLD;
 
 121 #ifdef CONFIG_SECURITY_SELINUX_AVC_STATS
 
 122 DEFINE_PER_CPU(struct avc_cache_stats, avc_cache_stats) = { 0 };
 
 125 static struct avc_cache avc_cache;
 
 126 static struct avc_callback_node *avc_callbacks;
 
 127 static struct kmem_cache *avc_node_cachep;
 
 129 static inline int avc_hash(u32 ssid, u32 tsid, u16 tclass)
 
 131         return (ssid ^ (tsid<<2) ^ (tclass<<4)) & (AVC_CACHE_SLOTS - 1);
 
 135  * avc_dump_av - Display an access vector in human-readable form.
 
 136  * @tclass: target security class
 
 139 void avc_dump_av(struct audit_buffer *ab, u16 tclass, u32 av)
 
 141         const char **common_pts = NULL;
 
 146                 audit_log_format(ab, " null");
 
 150         for (i = 0; i < ARRAY_SIZE(av_inherit); i++) {
 
 151                 if (av_inherit[i].tclass == tclass) {
 
 152                         common_pts = av_inherit[i].common_pts;
 
 153                         common_base = av_inherit[i].common_base;
 
 158         audit_log_format(ab, " {");
 
 161         while (perm < common_base) {
 
 163                         audit_log_format(ab, " %s", common_pts[i]);
 
 170         while (i < sizeof(av) * 8) {
 
 172                         for (i2 = 0; i2 < ARRAY_SIZE(av_perm_to_string); i2++) {
 
 173                                 if ((av_perm_to_string[i2].tclass == tclass) &&
 
 174                                     (av_perm_to_string[i2].value == perm))
 
 177                         if (i2 < ARRAY_SIZE(av_perm_to_string)) {
 
 178                                 audit_log_format(ab, " %s",
 
 179                                                  av_perm_to_string[i2].name);
 
 188                 audit_log_format(ab, " 0x%x", av);
 
 190         audit_log_format(ab, " }");
 
 194  * avc_dump_query - Display a SID pair and a class in human-readable form.
 
 195  * @ssid: source security identifier
 
 196  * @tsid: target security identifier
 
 197  * @tclass: target security class
 
 199 static void avc_dump_query(struct audit_buffer *ab, u32 ssid, u32 tsid, u16 tclass)
 
 205         rc = security_sid_to_context(ssid, &scontext, &scontext_len);
 
 207                 audit_log_format(ab, "ssid=%d", ssid);
 
 209                 audit_log_format(ab, "scontext=%s", scontext);
 
 213         rc = security_sid_to_context(tsid, &scontext, &scontext_len);
 
 215                 audit_log_format(ab, " tsid=%d", tsid);
 
 217                 audit_log_format(ab, " tcontext=%s", scontext);
 
 221         BUG_ON(tclass >= ARRAY_SIZE(class_to_string) || !class_to_string[tclass]);
 
 222         audit_log_format(ab, " tclass=%s", class_to_string[tclass]);
 
 226  * avc_init - Initialize the AVC.
 
 228  * Initialize the access vector cache.
 
 230 void __init avc_init(void)
 
 234         for (i = 0; i < AVC_CACHE_SLOTS; i++) {
 
 235                 INIT_LIST_HEAD(&avc_cache.slots[i]);
 
 236                 spin_lock_init(&avc_cache.slots_lock[i]);
 
 238         atomic_set(&avc_cache.active_nodes, 0);
 
 239         atomic_set(&avc_cache.lru_hint, 0);
 
 241         avc_node_cachep = kmem_cache_create("avc_node", sizeof(struct avc_node),
 
 242                                              0, SLAB_PANIC, NULL);
 
 244         audit_log(current->audit_context, GFP_KERNEL, AUDIT_KERNEL, "AVC INITIALIZED\n");
 
 247 int avc_get_hash_stats(char *page)
 
 249         int i, chain_len, max_chain_len, slots_used;
 
 250         struct avc_node *node;
 
 256         for (i = 0; i < AVC_CACHE_SLOTS; i++) {
 
 257                 if (!list_empty(&avc_cache.slots[i])) {
 
 260                         list_for_each_entry_rcu(node, &avc_cache.slots[i], list)
 
 262                         if (chain_len > max_chain_len)
 
 263                                 max_chain_len = chain_len;
 
 269         return scnprintf(page, PAGE_SIZE, "entries: %d\nbuckets used: %d/%d\n"
 
 270                          "longest chain: %d\n",
 
 271                          atomic_read(&avc_cache.active_nodes),
 
 272                          slots_used, AVC_CACHE_SLOTS, max_chain_len);
 
 275 static void avc_node_free(struct rcu_head *rhead)
 
 277         struct avc_node *node = container_of(rhead, struct avc_node, rhead);
 
 278         kmem_cache_free(avc_node_cachep, node);
 
 279         avc_cache_stats_incr(frees);
 
 282 static void avc_node_delete(struct avc_node *node)
 
 284         list_del_rcu(&node->list);
 
 285         call_rcu(&node->rhead, avc_node_free);
 
 286         atomic_dec(&avc_cache.active_nodes);
 
 289 static void avc_node_kill(struct avc_node *node)
 
 291         kmem_cache_free(avc_node_cachep, node);
 
 292         avc_cache_stats_incr(frees);
 
 293         atomic_dec(&avc_cache.active_nodes);
 
 296 static void avc_node_replace(struct avc_node *new, struct avc_node *old)
 
 298         list_replace_rcu(&old->list, &new->list);
 
 299         call_rcu(&old->rhead, avc_node_free);
 
 300         atomic_dec(&avc_cache.active_nodes);
 
 303 static inline int avc_reclaim_node(void)
 
 305         struct avc_node *node;
 
 306         int hvalue, try, ecx;
 
 309         for (try = 0, ecx = 0; try < AVC_CACHE_SLOTS; try++) {
 
 310                 hvalue = atomic_inc_return(&avc_cache.lru_hint) & (AVC_CACHE_SLOTS - 1);
 
 312                 if (!spin_trylock_irqsave(&avc_cache.slots_lock[hvalue], flags))
 
 316                 list_for_each_entry(node, &avc_cache.slots[hvalue], list) {
 
 317                         if (atomic_dec_and_test(&node->ae.used)) {
 
 318                                 /* Recently Unused */
 
 319                                 avc_node_delete(node);
 
 320                                 avc_cache_stats_incr(reclaims);
 
 322                                 if (ecx >= AVC_CACHE_RECLAIM) {
 
 324                                         spin_unlock_irqrestore(&avc_cache.slots_lock[hvalue], flags);
 
 330                 spin_unlock_irqrestore(&avc_cache.slots_lock[hvalue], flags);
 
 336 static struct avc_node *avc_alloc_node(void)
 
 338         struct avc_node *node;
 
 340         node = kmem_cache_zalloc(avc_node_cachep, GFP_ATOMIC);
 
 344         INIT_RCU_HEAD(&node->rhead);
 
 345         INIT_LIST_HEAD(&node->list);
 
 346         atomic_set(&node->ae.used, 1);
 
 347         avc_cache_stats_incr(allocations);
 
 349         if (atomic_inc_return(&avc_cache.active_nodes) > avc_cache_threshold)
 
 356 static void avc_node_populate(struct avc_node *node, u32 ssid, u32 tsid, u16 tclass, struct avc_entry *ae)
 
 358         node->ae.ssid = ssid;
 
 359         node->ae.tsid = tsid;
 
 360         node->ae.tclass = tclass;
 
 361         memcpy(&node->ae.avd, &ae->avd, sizeof(node->ae.avd));
 
 364 static inline struct avc_node *avc_search_node(u32 ssid, u32 tsid, u16 tclass)
 
 366         struct avc_node *node, *ret = NULL;
 
 369         hvalue = avc_hash(ssid, tsid, tclass);
 
 370         list_for_each_entry_rcu(node, &avc_cache.slots[hvalue], list) {
 
 371                 if (ssid == node->ae.ssid &&
 
 372                     tclass == node->ae.tclass &&
 
 373                     tsid == node->ae.tsid) {
 
 385         if (atomic_read(&ret->ae.used) != 1)
 
 386                 atomic_set(&ret->ae.used, 1);
 
 392  * avc_lookup - Look up an AVC entry.
 
 393  * @ssid: source security identifier
 
 394  * @tsid: target security identifier
 
 395  * @tclass: target security class
 
 396  * @requested: requested permissions, interpreted based on @tclass
 
 398  * Look up an AVC entry that is valid for the
 
 399  * @requested permissions between the SID pair
 
 400  * (@ssid, @tsid), interpreting the permissions
 
 401  * based on @tclass.  If a valid AVC entry exists,
 
 402  * then this function return the avc_node.
 
 403  * Otherwise, this function returns NULL.
 
 405 static struct avc_node *avc_lookup(u32 ssid, u32 tsid, u16 tclass, u32 requested)
 
 407         struct avc_node *node;
 
 409         avc_cache_stats_incr(lookups);
 
 410         node = avc_search_node(ssid, tsid, tclass);
 
 412         if (node && ((node->ae.avd.decided & requested) == requested)) {
 
 413                 avc_cache_stats_incr(hits);
 
 418         avc_cache_stats_incr(misses);
 
 423 static int avc_latest_notif_update(int seqno, int is_insert)
 
 426         static DEFINE_SPINLOCK(notif_lock);
 
 429         spin_lock_irqsave(¬if_lock, flag);
 
 431                 if (seqno < avc_cache.latest_notif) {
 
 432                         printk(KERN_WARNING "SELinux: avc:  seqno %d < latest_notif %d\n",
 
 433                                seqno, avc_cache.latest_notif);
 
 437                 if (seqno > avc_cache.latest_notif)
 
 438                         avc_cache.latest_notif = seqno;
 
 440         spin_unlock_irqrestore(¬if_lock, flag);
 
 446  * avc_insert - Insert an AVC entry.
 
 447  * @ssid: source security identifier
 
 448  * @tsid: target security identifier
 
 449  * @tclass: target security class
 
 452  * Insert an AVC entry for the SID pair
 
 453  * (@ssid, @tsid) and class @tclass.
 
 454  * The access vectors and the sequence number are
 
 455  * normally provided by the security server in
 
 456  * response to a security_compute_av() call.  If the
 
 457  * sequence number @ae->avd.seqno is not less than the latest
 
 458  * revocation notification, then the function copies
 
 459  * the access vectors into a cache entry, returns
 
 460  * avc_node inserted. Otherwise, this function returns NULL.
 
 462 static struct avc_node *avc_insert(u32 ssid, u32 tsid, u16 tclass, struct avc_entry *ae)
 
 464         struct avc_node *pos, *node = NULL;
 
 468         if (avc_latest_notif_update(ae->avd.seqno, 1))
 
 471         node = avc_alloc_node();
 
 473                 hvalue = avc_hash(ssid, tsid, tclass);
 
 474                 avc_node_populate(node, ssid, tsid, tclass, ae);
 
 476                 spin_lock_irqsave(&avc_cache.slots_lock[hvalue], flag);
 
 477                 list_for_each_entry(pos, &avc_cache.slots[hvalue], list) {
 
 478                         if (pos->ae.ssid == ssid &&
 
 479                             pos->ae.tsid == tsid &&
 
 480                             pos->ae.tclass == tclass) {
 
 481                                 avc_node_replace(node, pos);
 
 485                 list_add_rcu(&node->list, &avc_cache.slots[hvalue]);
 
 487                 spin_unlock_irqrestore(&avc_cache.slots_lock[hvalue], flag);
 
 493 static inline void avc_print_ipv6_addr(struct audit_buffer *ab,
 
 494                                        struct in6_addr *addr, __be16 port,
 
 495                                        char *name1, char *name2)
 
 497         if (!ipv6_addr_any(addr))
 
 498                 audit_log_format(ab, " %s=%pI6", name1, addr);
 
 500                 audit_log_format(ab, " %s=%d", name2, ntohs(port));
 
 503 static inline void avc_print_ipv4_addr(struct audit_buffer *ab, __be32 addr,
 
 504                                        __be16 port, char *name1, char *name2)
 
 507                 audit_log_format(ab, " %s=%pI4", name1, &addr);
 
 509                 audit_log_format(ab, " %s=%d", name2, ntohs(port));
 
 513  * avc_audit - Audit the granting or denial of permissions.
 
 514  * @ssid: source security identifier
 
 515  * @tsid: target security identifier
 
 516  * @tclass: target security class
 
 517  * @requested: requested permissions
 
 518  * @avd: access vector decisions
 
 519  * @result: result from avc_has_perm_noaudit
 
 520  * @a:  auxiliary audit data
 
 522  * Audit the granting or denial of permissions in accordance
 
 523  * with the policy.  This function is typically called by
 
 524  * avc_has_perm() after a permission check, but can also be
 
 525  * called directly by callers who use avc_has_perm_noaudit()
 
 526  * in order to separate the permission check from the auditing.
 
 527  * For example, this separation is useful when the permission check must
 
 528  * be performed under a lock, to allow the lock to be released
 
 529  * before calling the auditing code.
 
 531 void avc_audit(u32 ssid, u32 tsid,
 
 532                u16 tclass, u32 requested,
 
 533                struct av_decision *avd, int result, struct avc_audit_data *a)
 
 535         struct task_struct *tsk = current;
 
 536         struct inode *inode = NULL;
 
 538         struct audit_buffer *ab;
 
 540         denied = requested & ~avd->allowed;
 
 543                 if (!(audited & avd->auditdeny))
 
 546                 audited = denied = requested;
 
 549                 if (!(audited & avd->auditallow))
 
 553         ab = audit_log_start(current->audit_context, GFP_ATOMIC, AUDIT_AVC);
 
 555                 return;         /* audit_panic has been called */
 
 556         audit_log_format(ab, "avc:  %s ", denied ? "denied" : "granted");
 
 557         avc_dump_av(ab, tclass, audited);
 
 558         audit_log_format(ab, " for ");
 
 561         if (tsk && tsk->pid) {
 
 562                 audit_log_format(ab, " pid=%d comm=", tsk->pid);
 
 563                 audit_log_untrustedstring(ab, tsk->comm);
 
 567                 case AVC_AUDIT_DATA_IPC:
 
 568                         audit_log_format(ab, " key=%d", a->u.ipc_id);
 
 570                 case AVC_AUDIT_DATA_CAP:
 
 571                         audit_log_format(ab, " capability=%d", a->u.cap);
 
 573                 case AVC_AUDIT_DATA_FS:
 
 574                         if (a->u.fs.path.dentry) {
 
 575                                 struct dentry *dentry = a->u.fs.path.dentry;
 
 576                                 if (a->u.fs.path.mnt) {
 
 577                                         audit_log_d_path(ab, "path=",
 
 580                                         audit_log_format(ab, " name=");
 
 581                                         audit_log_untrustedstring(ab, dentry->d_name.name);
 
 583                                 inode = dentry->d_inode;
 
 584                         } else if (a->u.fs.inode) {
 
 585                                 struct dentry *dentry;
 
 586                                 inode = a->u.fs.inode;
 
 587                                 dentry = d_find_alias(inode);
 
 589                                         audit_log_format(ab, " name=");
 
 590                                         audit_log_untrustedstring(ab, dentry->d_name.name);
 
 595                                 audit_log_format(ab, " dev=%s ino=%lu",
 
 599                 case AVC_AUDIT_DATA_NET:
 
 601                                 struct sock *sk = a->u.net.sk;
 
 606                                 switch (sk->sk_family) {
 
 608                                         struct inet_sock *inet = inet_sk(sk);
 
 610                                         avc_print_ipv4_addr(ab, inet->rcv_saddr,
 
 613                                         avc_print_ipv4_addr(ab, inet->daddr,
 
 619                                         struct inet_sock *inet = inet_sk(sk);
 
 620                                         struct ipv6_pinfo *inet6 = inet6_sk(sk);
 
 622                                         avc_print_ipv6_addr(ab, &inet6->rcv_saddr,
 
 625                                         avc_print_ipv6_addr(ab, &inet6->daddr,
 
 637                                                 audit_log_d_path(ab, "path=",
 
 643                                         len = u->addr->len-sizeof(short);
 
 644                                         p = &u->addr->name->sun_path[0];
 
 645                                         audit_log_format(ab, " path=");
 
 647                                                 audit_log_untrustedstring(ab, p);
 
 649                                                 audit_log_n_hex(ab, p, len);
 
 654                         switch (a->u.net.family) {
 
 656                                 avc_print_ipv4_addr(ab, a->u.net.v4info.saddr,
 
 659                                 avc_print_ipv4_addr(ab, a->u.net.v4info.daddr,
 
 664                                 avc_print_ipv6_addr(ab, &a->u.net.v6info.saddr,
 
 667                                 avc_print_ipv6_addr(ab, &a->u.net.v6info.daddr,
 
 672                         if (a->u.net.netif > 0) {
 
 673                                 struct net_device *dev;
 
 675                                 /* NOTE: we always use init's namespace */
 
 676                                 dev = dev_get_by_index(&init_net,
 
 679                                         audit_log_format(ab, " netif=%s",
 
 687         audit_log_format(ab, " ");
 
 688         avc_dump_query(ab, ssid, tsid, tclass);
 
 693  * avc_add_callback - Register a callback for security events.
 
 694  * @callback: callback function
 
 695  * @events: security events
 
 696  * @ssid: source security identifier or %SECSID_WILD
 
 697  * @tsid: target security identifier or %SECSID_WILD
 
 698  * @tclass: target security class
 
 699  * @perms: permissions
 
 701  * Register a callback function for events in the set @events
 
 702  * related to the SID pair (@ssid, @tsid) and
 
 703  * and the permissions @perms, interpreting
 
 704  * @perms based on @tclass.  Returns %0 on success or
 
 705  * -%ENOMEM if insufficient memory exists to add the callback.
 
 707 int avc_add_callback(int (*callback)(u32 event, u32 ssid, u32 tsid,
 
 708                                      u16 tclass, u32 perms,
 
 710                      u32 events, u32 ssid, u32 tsid,
 
 711                      u16 tclass, u32 perms)
 
 713         struct avc_callback_node *c;
 
 716         c = kmalloc(sizeof(*c), GFP_ATOMIC);
 
 722         c->callback = callback;
 
 727         c->next = avc_callbacks;
 
 733 static inline int avc_sidcmp(u32 x, u32 y)
 
 735         return (x == y || x == SECSID_WILD || y == SECSID_WILD);
 
 739  * avc_update_node Update an AVC entry
 
 740  * @event : Updating event
 
 741  * @perms : Permission mask bits
 
 742  * @ssid,@tsid,@tclass : identifier of an AVC entry
 
 744  * if a valid AVC entry doesn't exist,this function returns -ENOENT.
 
 745  * if kmalloc() called internal returns NULL, this function returns -ENOMEM.
 
 746  * otherwise, this function update the AVC entry. The original AVC-entry object
 
 747  * will release later by RCU.
 
 749 static int avc_update_node(u32 event, u32 perms, u32 ssid, u32 tsid, u16 tclass)
 
 753         struct avc_node *pos, *node, *orig = NULL;
 
 755         node = avc_alloc_node();
 
 761         /* Lock the target slot */
 
 762         hvalue = avc_hash(ssid, tsid, tclass);
 
 763         spin_lock_irqsave(&avc_cache.slots_lock[hvalue], flag);
 
 765         list_for_each_entry(pos, &avc_cache.slots[hvalue], list) {
 
 766                 if (ssid == pos->ae.ssid &&
 
 767                     tsid == pos->ae.tsid &&
 
 768                     tclass == pos->ae.tclass){
 
 781          * Copy and replace original node.
 
 784         avc_node_populate(node, ssid, tsid, tclass, &orig->ae);
 
 787         case AVC_CALLBACK_GRANT:
 
 788                 node->ae.avd.allowed |= perms;
 
 790         case AVC_CALLBACK_TRY_REVOKE:
 
 791         case AVC_CALLBACK_REVOKE:
 
 792                 node->ae.avd.allowed &= ~perms;
 
 794         case AVC_CALLBACK_AUDITALLOW_ENABLE:
 
 795                 node->ae.avd.auditallow |= perms;
 
 797         case AVC_CALLBACK_AUDITALLOW_DISABLE:
 
 798                 node->ae.avd.auditallow &= ~perms;
 
 800         case AVC_CALLBACK_AUDITDENY_ENABLE:
 
 801                 node->ae.avd.auditdeny |= perms;
 
 803         case AVC_CALLBACK_AUDITDENY_DISABLE:
 
 804                 node->ae.avd.auditdeny &= ~perms;
 
 807         avc_node_replace(node, orig);
 
 809         spin_unlock_irqrestore(&avc_cache.slots_lock[hvalue], flag);
 
 815  * avc_ss_reset - Flush the cache and revalidate migrated permissions.
 
 816  * @seqno: policy sequence number
 
 818 int avc_ss_reset(u32 seqno)
 
 820         struct avc_callback_node *c;
 
 821         int i, rc = 0, tmprc;
 
 823         struct avc_node *node;
 
 825         for (i = 0; i < AVC_CACHE_SLOTS; i++) {
 
 826                 spin_lock_irqsave(&avc_cache.slots_lock[i], flag);
 
 828                  * With preemptable RCU, the outer spinlock does not
 
 829                  * prevent RCU grace periods from ending.
 
 832                 list_for_each_entry(node, &avc_cache.slots[i], list)
 
 833                         avc_node_delete(node);
 
 835                 spin_unlock_irqrestore(&avc_cache.slots_lock[i], flag);
 
 838         for (c = avc_callbacks; c; c = c->next) {
 
 839                 if (c->events & AVC_CALLBACK_RESET) {
 
 840                         tmprc = c->callback(AVC_CALLBACK_RESET,
 
 842                         /* save the first error encountered for the return
 
 843                            value and continue processing the callbacks */
 
 849         avc_latest_notif_update(seqno, 0);
 
 854  * avc_has_perm_noaudit - Check permissions but perform no auditing.
 
 855  * @ssid: source security identifier
 
 856  * @tsid: target security identifier
 
 857  * @tclass: target security class
 
 858  * @requested: requested permissions, interpreted based on @tclass
 
 859  * @flags:  AVC_STRICT or 0
 
 860  * @avd: access vector decisions
 
 862  * Check the AVC to determine whether the @requested permissions are granted
 
 863  * for the SID pair (@ssid, @tsid), interpreting the permissions
 
 864  * based on @tclass, and call the security server on a cache miss to obtain
 
 865  * a new decision and add it to the cache.  Return a copy of the decisions
 
 866  * in @avd.  Return %0 if all @requested permissions are granted,
 
 867  * -%EACCES if any permissions are denied, or another -errno upon
 
 868  * other errors.  This function is typically called by avc_has_perm(),
 
 869  * but may also be called directly to separate permission checking from
 
 870  * auditing, e.g. in cases where a lock must be held for the check but
 
 871  * should be released for the auditing.
 
 873 int avc_has_perm_noaudit(u32 ssid, u32 tsid,
 
 874                          u16 tclass, u32 requested,
 
 876                          struct av_decision *avd)
 
 878         struct avc_node *node;
 
 879         struct avc_entry entry, *p_ae;
 
 887         node = avc_lookup(ssid, tsid, tclass, requested);
 
 890                 rc = security_compute_av(ssid, tsid, tclass, requested, &entry.avd);
 
 894                 node = avc_insert(ssid, tsid, tclass, &entry);
 
 897         p_ae = node ? &node->ae : &entry;
 
 900                 memcpy(avd, &p_ae->avd, sizeof(*avd));
 
 902         denied = requested & ~(p_ae->avd.allowed);
 
 905                 if (flags & AVC_STRICT)
 
 907                 else if (!selinux_enforcing || security_permissive_sid(ssid))
 
 908                         avc_update_node(AVC_CALLBACK_GRANT, requested, ssid,
 
 920  * avc_has_perm - Check permissions and perform any appropriate auditing.
 
 921  * @ssid: source security identifier
 
 922  * @tsid: target security identifier
 
 923  * @tclass: target security class
 
 924  * @requested: requested permissions, interpreted based on @tclass
 
 925  * @auditdata: auxiliary audit data
 
 927  * Check the AVC to determine whether the @requested permissions are granted
 
 928  * for the SID pair (@ssid, @tsid), interpreting the permissions
 
 929  * based on @tclass, and call the security server on a cache miss to obtain
 
 930  * a new decision and add it to the cache.  Audit the granting or denial of
 
 931  * permissions in accordance with the policy.  Return %0 if all @requested
 
 932  * permissions are granted, -%EACCES if any permissions are denied, or
 
 933  * another -errno upon other errors.
 
 935 int avc_has_perm(u32 ssid, u32 tsid, u16 tclass,
 
 936                  u32 requested, struct avc_audit_data *auditdata)
 
 938         struct av_decision avd;
 
 941         rc = avc_has_perm_noaudit(ssid, tsid, tclass, requested, 0, &avd);
 
 942         avc_audit(ssid, tsid, tclass, requested, &avd, rc, auditdata);
 
 946 u32 avc_policy_seqno(void)
 
 948         return avc_cache.latest_notif;