1 /* Authors: Karl MacMillan <kmacmillan@tresys.com>
 
   2  *          Frank Mayer <mayerf@tresys.com>
 
   4  * Copyright (C) 2003 - 2004 Tresys Technology, LLC
 
   5  *      This program is free software; you can redistribute it and/or modify
 
   6  *      it under the terms of the GNU General Public License as published by
 
   7  *      the Free Software Foundation, version 2.
 
  10 #include <linux/kernel.h>
 
  11 #include <linux/errno.h>
 
  12 #include <linux/string.h>
 
  13 #include <linux/spinlock.h>
 
  14 #include <linux/slab.h>
 
  17 #include "conditional.h"
 
  20  * cond_evaluate_expr evaluates a conditional expr
 
  21  * in reverse polish notation. It returns true (1), false (0),
 
  22  * or undefined (-1). Undefined occurs when the expression
 
  23  * exceeds the stack depth of COND_EXPR_MAXDEPTH.
 
  25 static int cond_evaluate_expr(struct policydb *p, struct cond_expr *expr)
 
  28         struct cond_expr *cur;
 
  29         int s[COND_EXPR_MAXDEPTH];
 
  32         for (cur = expr; cur != NULL; cur = cur->next) {
 
  33                 switch (cur->expr_type) {
 
  35                         if (sp == (COND_EXPR_MAXDEPTH - 1))
 
  38                         s[sp] = p->bool_val_to_struct[cur->bool - 1]->state;
 
  67                         s[sp] = (s[sp] == s[sp + 1]);
 
  73                         s[sp] = (s[sp] != s[sp + 1]);
 
  83  * evaluate_cond_node evaluates the conditional stored in
 
  84  * a struct cond_node and if the result is different than the
 
  85  * current state of the node it sets the rules in the true/false
 
  86  * list appropriately. If the result of the expression is undefined
 
  87  * all of the rules are disabled for safety.
 
  89 int evaluate_cond_node(struct policydb *p, struct cond_node *node)
 
  92         struct cond_av_list *cur;
 
  94         new_state = cond_evaluate_expr(p, node->expr);
 
  95         if (new_state != node->cur_state) {
 
  96                 node->cur_state = new_state;
 
  98                         printk(KERN_ERR "SELinux: expression result was undefined - disabling all rules.\n");
 
  99                 /* turn the rules on or off */
 
 100                 for (cur = node->true_list; cur != NULL; cur = cur->next) {
 
 102                                 cur->node->key.specified &= ~AVTAB_ENABLED;
 
 104                                 cur->node->key.specified |= AVTAB_ENABLED;
 
 107                 for (cur = node->false_list; cur != NULL; cur = cur->next) {
 
 110                                 cur->node->key.specified &= ~AVTAB_ENABLED;
 
 112                                 cur->node->key.specified |= AVTAB_ENABLED;
 
 118 int cond_policydb_init(struct policydb *p)
 
 120         p->bool_val_to_struct = NULL;
 
 122         if (avtab_init(&p->te_cond_avtab))
 
 128 static void cond_av_list_destroy(struct cond_av_list *list)
 
 130         struct cond_av_list *cur, *next;
 
 131         for (cur = list; cur != NULL; cur = next) {
 
 133                 /* the avtab_ptr_t node is destroy by the avtab */
 
 138 static void cond_node_destroy(struct cond_node *node)
 
 140         struct cond_expr *cur_expr, *next_expr;
 
 142         for (cur_expr = node->expr; cur_expr != NULL; cur_expr = next_expr) {
 
 143                 next_expr = cur_expr->next;
 
 146         cond_av_list_destroy(node->true_list);
 
 147         cond_av_list_destroy(node->false_list);
 
 151 static void cond_list_destroy(struct cond_node *list)
 
 153         struct cond_node *next, *cur;
 
 158         for (cur = list; cur != NULL; cur = next) {
 
 160                 cond_node_destroy(cur);
 
 164 void cond_policydb_destroy(struct policydb *p)
 
 166         kfree(p->bool_val_to_struct);
 
 167         avtab_destroy(&p->te_cond_avtab);
 
 168         cond_list_destroy(p->cond_list);
 
 171 int cond_init_bool_indexes(struct policydb *p)
 
 173         kfree(p->bool_val_to_struct);
 
 174         p->bool_val_to_struct = (struct cond_bool_datum **)
 
 175                 kmalloc(p->p_bools.nprim * sizeof(struct cond_bool_datum *), GFP_KERNEL);
 
 176         if (!p->bool_val_to_struct)
 
 181 int cond_destroy_bool(void *key, void *datum, void *p)
 
 188 int cond_index_bool(void *key, void *datum, void *datap)
 
 191         struct cond_bool_datum *booldatum;
 
 196         if (!booldatum->value || booldatum->value > p->p_bools.nprim)
 
 199         p->p_bool_val_to_name[booldatum->value - 1] = key;
 
 200         p->bool_val_to_struct[booldatum->value - 1] = booldatum;
 
 205 static int bool_isvalid(struct cond_bool_datum *b)
 
 207         if (!(b->state == 0 || b->state == 1))
 
 212 int cond_read_bool(struct policydb *p, struct hashtab *h, void *fp)
 
 215         struct cond_bool_datum *booldatum;
 
 220         booldatum = kzalloc(sizeof(struct cond_bool_datum), GFP_KERNEL);
 
 224         rc = next_entry(buf, fp, sizeof buf);
 
 228         booldatum->value = le32_to_cpu(buf[0]);
 
 229         booldatum->state = le32_to_cpu(buf[1]);
 
 231         if (!bool_isvalid(booldatum))
 
 234         len = le32_to_cpu(buf[2]);
 
 236         key = kmalloc(len + 1, GFP_KERNEL);
 
 239         rc = next_entry(key, fp, len);
 
 243         if (hashtab_insert(h, key, booldatum))
 
 248         cond_destroy_bool(key, booldatum, NULL);
 
 252 struct cond_insertf_data {
 
 254         struct cond_av_list *other;
 
 255         struct cond_av_list *head;
 
 256         struct cond_av_list *tail;
 
 259 static int cond_insertf(struct avtab *a, struct avtab_key *k, struct avtab_datum *d, void *ptr)
 
 261         struct cond_insertf_data *data = ptr;
 
 262         struct policydb *p = data->p;
 
 263         struct cond_av_list *other = data->other, *list, *cur;
 
 264         struct avtab_node *node_ptr;
 
 269          * For type rules we have to make certain there aren't any
 
 270          * conflicting rules by searching the te_avtab and the
 
 273         if (k->specified & AVTAB_TYPE) {
 
 274                 if (avtab_search(&p->te_avtab, k)) {
 
 275                         printk(KERN_ERR "SELinux: type rule already exists outside of a conditional.\n");
 
 279                  * If we are reading the false list other will be a pointer to
 
 280                  * the true list. We can have duplicate entries if there is only
 
 281                  * 1 other entry and it is in our true list.
 
 283                  * If we are reading the true list (other == NULL) there shouldn't
 
 284                  * be any other entries.
 
 287                         node_ptr = avtab_search_node(&p->te_cond_avtab, k);
 
 289                                 if (avtab_search_node_next(node_ptr, k->specified)) {
 
 290                                         printk(KERN_ERR "SELinux: too many conflicting type rules.\n");
 
 294                                 for (cur = other; cur != NULL; cur = cur->next) {
 
 295                                         if (cur->node == node_ptr) {
 
 301                                         printk(KERN_ERR "SELinux: conflicting type rules.\n");
 
 306                         if (avtab_search(&p->te_cond_avtab, k)) {
 
 307                                 printk(KERN_ERR "SELinux: conflicting type rules when adding type rule for true.\n");
 
 313         node_ptr = avtab_insert_nonunique(&p->te_cond_avtab, k, d);
 
 315                 printk(KERN_ERR "SELinux: could not insert rule.\n");
 
 319         list = kzalloc(sizeof(struct cond_av_list), GFP_KERNEL);
 
 323         list->node = node_ptr;
 
 327                 data->tail->next = list;
 
 332         cond_av_list_destroy(data->head);
 
 337 static int cond_read_av_list(struct policydb *p, void *fp, struct cond_av_list **ret_list, struct cond_av_list *other)
 
 342         struct cond_insertf_data data;
 
 347         rc = next_entry(buf, fp, sizeof(u32));
 
 351         len = le32_to_cpu(buf[0]);
 
 359         for (i = 0; i < len; i++) {
 
 360                 rc = avtab_read_item(&p->te_cond_avtab, fp, p, cond_insertf,
 
 367         *ret_list = data.head;
 
 371 static int expr_isvalid(struct policydb *p, struct cond_expr *expr)
 
 373         if (expr->expr_type <= 0 || expr->expr_type > COND_LAST) {
 
 374                 printk(KERN_ERR "SELinux: conditional expressions uses unknown operator.\n");
 
 378         if (expr->bool > p->p_bools.nprim) {
 
 379                 printk(KERN_ERR "SELinux: conditional expressions uses unknown bool.\n");
 
 385 static int cond_read_node(struct policydb *p, struct cond_node *node, void *fp)
 
 390         struct cond_expr *expr = NULL, *last = NULL;
 
 392         rc = next_entry(buf, fp, sizeof(u32));
 
 396         node->cur_state = le32_to_cpu(buf[0]);
 
 399         rc = next_entry(buf, fp, sizeof(u32));
 
 404         len = le32_to_cpu(buf[0]);
 
 406         for (i = 0; i < len; i++) {
 
 407                 rc = next_entry(buf, fp, sizeof(u32) * 2);
 
 411                 expr = kzalloc(sizeof(struct cond_expr), GFP_KERNEL);
 
 415                 expr->expr_type = le32_to_cpu(buf[0]);
 
 416                 expr->bool = le32_to_cpu(buf[1]);
 
 418                 if (!expr_isvalid(p, expr)) {
 
 430         if (cond_read_av_list(p, fp, &node->true_list, NULL) != 0)
 
 432         if (cond_read_av_list(p, fp, &node->false_list, node->true_list) != 0)
 
 436         cond_node_destroy(node);
 
 440 int cond_read_list(struct policydb *p, void *fp)
 
 442         struct cond_node *node, *last = NULL;
 
 447         rc = next_entry(buf, fp, sizeof buf);
 
 451         len = le32_to_cpu(buf[0]);
 
 453         rc = avtab_alloc(&(p->te_cond_avtab), p->te_avtab.nel);
 
 457         for (i = 0; i < len; i++) {
 
 458                 node = kzalloc(sizeof(struct cond_node), GFP_KERNEL);
 
 462                 if (cond_read_node(p, node, fp) != 0)
 
 473         cond_list_destroy(p->cond_list);
 
 478 /* Determine whether additional permissions are granted by the conditional
 
 479  * av table, and if so, add them to the result
 
 481 void cond_compute_av(struct avtab *ctab, struct avtab_key *key, struct av_decision *avd)
 
 483         struct avtab_node *node;
 
 485         if (!ctab || !key || !avd)
 
 488         for (node = avtab_search_node(ctab, key); node != NULL;
 
 489                                 node = avtab_search_node_next(node, key->specified)) {
 
 490                 if ((u16)(AVTAB_ALLOWED|AVTAB_ENABLED) ==
 
 491                     (node->key.specified & (AVTAB_ALLOWED|AVTAB_ENABLED)))
 
 492                         avd->allowed |= node->datum.data;
 
 493                 if ((u16)(AVTAB_AUDITDENY|AVTAB_ENABLED) ==
 
 494                     (node->key.specified & (AVTAB_AUDITDENY|AVTAB_ENABLED)))
 
 495                         /* Since a '0' in an auditdeny mask represents a
 
 496                          * permission we do NOT want to audit (dontaudit), we use
 
 497                          * the '&' operand to ensure that all '0's in the mask
 
 498                          * are retained (much unlike the allow and auditallow cases).
 
 500                         avd->auditdeny &= node->datum.data;
 
 501                 if ((u16)(AVTAB_AUDITALLOW|AVTAB_ENABLED) ==
 
 502                     (node->key.specified & (AVTAB_AUDITALLOW|AVTAB_ENABLED)))
 
 503                         avd->auditallow |= node->datum.data;