1 /* Authors: Karl MacMillan <kmacmillan@tresys.com>
 
   2  *          Frank Mayer <mayerf@tresys.com>
 
   4  * Copyright (C) 2003 - 2004 Tresys Technology, LLC
 
   5  *      This program is free software; you can redistribute it and/or modify
 
   6  *      it under the terms of the GNU General Public License as published by
 
   7  *      the Free Software Foundation, version 2.
 
  10 #include <linux/kernel.h>
 
  11 #include <linux/errno.h>
 
  12 #include <linux/string.h>
 
  13 #include <linux/spinlock.h>
 
  14 #include <asm/semaphore.h>
 
  15 #include <linux/slab.h>
 
  18 #include "conditional.h"
 
  21  * cond_evaluate_expr evaluates a conditional expr
 
  22  * in reverse polish notation. It returns true (1), false (0),
 
  23  * or undefined (-1). Undefined occurs when the expression
 
  24  * exceeds the stack depth of COND_EXPR_MAXDEPTH.
 
  26 static int cond_evaluate_expr(struct policydb *p, struct cond_expr *expr)
 
  29         struct cond_expr *cur;
 
  30         int s[COND_EXPR_MAXDEPTH];
 
  33         for (cur = expr; cur != NULL; cur = cur->next) {
 
  34                 switch (cur->expr_type) {
 
  36                         if (sp == (COND_EXPR_MAXDEPTH - 1))
 
  39                         s[sp] = p->bool_val_to_struct[cur->bool - 1]->state;
 
  68                         s[sp] = (s[sp] == s[sp + 1]);
 
  74                         s[sp] = (s[sp] != s[sp + 1]);
 
  84  * evaluate_cond_node evaluates the conditional stored in
 
  85  * a struct cond_node and if the result is different than the
 
  86  * current state of the node it sets the rules in the true/false
 
  87  * list appropriately. If the result of the expression is undefined
 
  88  * all of the rules are disabled for safety.
 
  90 int evaluate_cond_node(struct policydb *p, struct cond_node *node)
 
  93         struct cond_av_list* cur;
 
  95         new_state = cond_evaluate_expr(p, node->expr);
 
  96         if (new_state != node->cur_state) {
 
  97                 node->cur_state = new_state;
 
  99                         printk(KERN_ERR "security: expression result was undefined - disabling all rules.\n");
 
 100                 /* turn the rules on or off */
 
 101                 for (cur = node->true_list; cur != NULL; cur = cur->next) {
 
 102                         if (new_state <= 0) {
 
 103                                 cur->node->key.specified &= ~AVTAB_ENABLED;
 
 105                                 cur->node->key.specified |= AVTAB_ENABLED;
 
 109                 for (cur = node->false_list; cur != NULL; cur = cur->next) {
 
 112                                 cur->node->key.specified &= ~AVTAB_ENABLED;
 
 114                                 cur->node->key.specified |= AVTAB_ENABLED;
 
 121 int cond_policydb_init(struct policydb *p)
 
 123         p->bool_val_to_struct = NULL;
 
 125         if (avtab_init(&p->te_cond_avtab))
 
 131 static void cond_av_list_destroy(struct cond_av_list *list)
 
 133         struct cond_av_list *cur, *next;
 
 134         for (cur = list; cur != NULL; cur = next) {
 
 136                 /* the avtab_ptr_t node is destroy by the avtab */
 
 141 static void cond_node_destroy(struct cond_node *node)
 
 143         struct cond_expr *cur_expr, *next_expr;
 
 145         for (cur_expr = node->expr; cur_expr != NULL; cur_expr = next_expr) {
 
 146                 next_expr = cur_expr->next;
 
 149         cond_av_list_destroy(node->true_list);
 
 150         cond_av_list_destroy(node->false_list);
 
 154 static void cond_list_destroy(struct cond_node *list)
 
 156         struct cond_node *next, *cur;
 
 161         for (cur = list; cur != NULL; cur = next) {
 
 163                 cond_node_destroy(cur);
 
 167 void cond_policydb_destroy(struct policydb *p)
 
 169         kfree(p->bool_val_to_struct);
 
 170         avtab_destroy(&p->te_cond_avtab);
 
 171         cond_list_destroy(p->cond_list);
 
 174 int cond_init_bool_indexes(struct policydb *p)
 
 176         kfree(p->bool_val_to_struct);
 
 177         p->bool_val_to_struct = (struct cond_bool_datum**)
 
 178                 kmalloc(p->p_bools.nprim * sizeof(struct cond_bool_datum*), GFP_KERNEL);
 
 179         if (!p->bool_val_to_struct)
 
 184 int cond_destroy_bool(void *key, void *datum, void *p)
 
 191 int cond_index_bool(void *key, void *datum, void *datap)
 
 194         struct cond_bool_datum *booldatum;
 
 199         if (!booldatum->value || booldatum->value > p->p_bools.nprim)
 
 202         p->p_bool_val_to_name[booldatum->value - 1] = key;
 
 203         p->bool_val_to_struct[booldatum->value -1] = booldatum;
 
 208 static int bool_isvalid(struct cond_bool_datum *b)
 
 210         if (!(b->state == 0 || b->state == 1))
 
 215 int cond_read_bool(struct policydb *p, struct hashtab *h, void *fp)
 
 218         struct cond_bool_datum *booldatum;
 
 223         booldatum = kzalloc(sizeof(struct cond_bool_datum), GFP_KERNEL);
 
 227         rc = next_entry(buf, fp, sizeof buf);
 
 231         booldatum->value = le32_to_cpu(buf[0]);
 
 232         booldatum->state = le32_to_cpu(buf[1]);
 
 234         if (!bool_isvalid(booldatum))
 
 237         len = le32_to_cpu(buf[2]);
 
 239         key = kmalloc(len + 1, GFP_KERNEL);
 
 242         rc = next_entry(key, fp, len);
 
 246         if (hashtab_insert(h, key, booldatum))
 
 251         cond_destroy_bool(key, booldatum, NULL);
 
 255 struct cond_insertf_data
 
 258         struct cond_av_list *other;
 
 259         struct cond_av_list *head;
 
 260         struct cond_av_list *tail;
 
 263 static int cond_insertf(struct avtab *a, struct avtab_key *k, struct avtab_datum *d, void *ptr)
 
 265         struct cond_insertf_data *data = ptr;
 
 266         struct policydb *p = data->p;
 
 267         struct cond_av_list *other = data->other, *list, *cur;
 
 268         struct avtab_node *node_ptr;
 
 273          * For type rules we have to make certain there aren't any
 
 274          * conflicting rules by searching the te_avtab and the
 
 277         if (k->specified & AVTAB_TYPE) {
 
 278                 if (avtab_search(&p->te_avtab, k)) {
 
 279                         printk("security: type rule already exists outside of a conditional.");
 
 283                  * If we are reading the false list other will be a pointer to
 
 284                  * the true list. We can have duplicate entries if there is only
 
 285                  * 1 other entry and it is in our true list.
 
 287                  * If we are reading the true list (other == NULL) there shouldn't
 
 288                  * be any other entries.
 
 291                         node_ptr = avtab_search_node(&p->te_cond_avtab, k);
 
 293                                 if (avtab_search_node_next(node_ptr, k->specified)) {
 
 294                                         printk("security: too many conflicting type rules.");
 
 298                                 for (cur = other; cur != NULL; cur = cur->next) {
 
 299                                         if (cur->node == node_ptr) {
 
 305                                         printk("security: conflicting type rules.\n");
 
 310                         if (avtab_search(&p->te_cond_avtab, k)) {
 
 311                                 printk("security: conflicting type rules when adding type rule for true.\n");
 
 317         node_ptr = avtab_insert_nonunique(&p->te_cond_avtab, k, d);
 
 319                 printk("security: could not insert rule.");
 
 323         list = kzalloc(sizeof(struct cond_av_list), GFP_KERNEL);
 
 327         list->node = node_ptr;
 
 331                 data->tail->next = list;
 
 336         cond_av_list_destroy(data->head);
 
 341 static int cond_read_av_list(struct policydb *p, void *fp, struct cond_av_list **ret_list, struct cond_av_list *other)
 
 346         struct cond_insertf_data data;
 
 351         rc = next_entry(buf, fp, sizeof(u32));
 
 355         len = le32_to_cpu(buf[0]);
 
 364         for (i = 0; i < len; i++) {
 
 365                 rc = avtab_read_item(&p->te_cond_avtab, fp, p, cond_insertf,
 
 372         *ret_list = data.head;
 
 376 static int expr_isvalid(struct policydb *p, struct cond_expr *expr)
 
 378         if (expr->expr_type <= 0 || expr->expr_type > COND_LAST) {
 
 379                 printk("security: conditional expressions uses unknown operator.\n");
 
 383         if (expr->bool > p->p_bools.nprim) {
 
 384                 printk("security: conditional expressions uses unknown bool.\n");
 
 390 static int cond_read_node(struct policydb *p, struct cond_node *node, void *fp)
 
 395         struct cond_expr *expr = NULL, *last = NULL;
 
 397         rc = next_entry(buf, fp, sizeof(u32));
 
 401         node->cur_state = le32_to_cpu(buf[0]);
 
 404         rc = next_entry(buf, fp, sizeof(u32));
 
 409         len = le32_to_cpu(buf[0]);
 
 411         for (i = 0; i < len; i++ ) {
 
 412                 rc = next_entry(buf, fp, sizeof(u32) * 2);
 
 416                 expr = kzalloc(sizeof(struct cond_expr), GFP_KERNEL);
 
 421                 expr->expr_type = le32_to_cpu(buf[0]);
 
 422                 expr->bool = le32_to_cpu(buf[1]);
 
 424                 if (!expr_isvalid(p, expr)) {
 
 437         if (cond_read_av_list(p, fp, &node->true_list, NULL) != 0)
 
 439         if (cond_read_av_list(p, fp, &node->false_list, node->true_list) != 0)
 
 443         cond_node_destroy(node);
 
 447 int cond_read_list(struct policydb *p, void *fp)
 
 449         struct cond_node *node, *last = NULL;
 
 454         rc = next_entry(buf, fp, sizeof buf);
 
 458         len = le32_to_cpu(buf[0]);
 
 460         rc = avtab_alloc(&(p->te_cond_avtab), p->te_avtab.nel);
 
 464         for (i = 0; i < len; i++) {
 
 465                 node = kzalloc(sizeof(struct cond_node), GFP_KERNEL);
 
 469                 if (cond_read_node(p, node, fp) != 0)
 
 481         cond_list_destroy(p->cond_list);
 
 486 /* Determine whether additional permissions are granted by the conditional
 
 487  * av table, and if so, add them to the result
 
 489 void cond_compute_av(struct avtab *ctab, struct avtab_key *key, struct av_decision *avd)
 
 491         struct avtab_node *node;
 
 493         if(!ctab || !key || !avd)
 
 496         for(node = avtab_search_node(ctab, key); node != NULL;
 
 497                                 node = avtab_search_node_next(node, key->specified)) {
 
 498                 if ( (u16) (AVTAB_ALLOWED|AVTAB_ENABLED) ==
 
 499                      (node->key.specified & (AVTAB_ALLOWED|AVTAB_ENABLED)))
 
 500                         avd->allowed |= node->datum.data;
 
 501                 if ( (u16) (AVTAB_AUDITDENY|AVTAB_ENABLED) ==
 
 502                      (node->key.specified & (AVTAB_AUDITDENY|AVTAB_ENABLED)))
 
 503                         /* Since a '0' in an auditdeny mask represents a
 
 504                          * permission we do NOT want to audit (dontaudit), we use
 
 505                          * the '&' operand to ensure that all '0's in the mask
 
 506                          * are retained (much unlike the allow and auditallow cases).
 
 508                         avd->auditdeny &= node->datum.data;
 
 509                 if ( (u16) (AVTAB_AUDITALLOW|AVTAB_ENABLED) ==
 
 510                      (node->key.specified & (AVTAB_AUDITALLOW|AVTAB_ENABLED)))
 
 511                         avd->auditallow |= node->datum.data;