2  * Copyright (c) 2001-2002,2005 Silicon Graphics, Inc.
 
   5  * This program is free software; you can redistribute it and/or
 
   6  * modify it under the terms of the GNU General Public License as
 
   7  * published by the Free Software Foundation.
 
   9  * This program is distributed in the hope that it would be useful,
 
  10  * but WITHOUT ANY WARRANTY; without even the implied warranty of
 
  11  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 
  12  * GNU General Public License for more details.
 
  14  * You should have received a copy of the GNU General Public License
 
  15  * along with this program; if not, write the Free Software Foundation,
 
  16  * Inc.,  51 Franklin St, Fifth Floor, Boston, MA  02110-1301  USA
 
  20 #include "xfs_types.h"
 
  26 #include "xfs_bmap_btree.h"
 
  27 #include "xfs_alloc_btree.h"
 
  28 #include "xfs_ialloc_btree.h"
 
  29 #include "xfs_dir_sf.h"
 
  30 #include "xfs_dir2_sf.h"
 
  31 #include "xfs_attr_sf.h"
 
  32 #include "xfs_dinode.h"
 
  33 #include "xfs_inode.h"
 
  34 #include "xfs_btree.h"
 
  39 #include <linux/capability.h>
 
  40 #include <linux/posix_acl_xattr.h>
 
  42 STATIC int      xfs_acl_setmode(vnode_t *, xfs_acl_t *, int *);
 
  43 STATIC void     xfs_acl_filter_mode(mode_t, xfs_acl_t *);
 
  44 STATIC void     xfs_acl_get_endian(xfs_acl_t *);
 
  45 STATIC int      xfs_acl_access(uid_t, gid_t, xfs_acl_t *, mode_t, cred_t *);
 
  46 STATIC int      xfs_acl_invalid(xfs_acl_t *);
 
  47 STATIC void     xfs_acl_sync_mode(mode_t, xfs_acl_t *);
 
  48 STATIC void     xfs_acl_get_attr(vnode_t *, xfs_acl_t *, int, int, int *);
 
  49 STATIC void     xfs_acl_set_attr(vnode_t *, xfs_acl_t *, int, int *);
 
  50 STATIC int      xfs_acl_allow_set(vnode_t *, int);
 
  52 kmem_zone_t *xfs_acl_zone;
 
  56  * Test for existence of access ACL attribute as efficiently as possible.
 
  59 xfs_acl_vhasacl_access(
 
  64         xfs_acl_get_attr(vp, NULL, _ACL_TYPE_ACCESS, ATTR_KERNOVAL, &error);
 
  69  * Test for existence of default ACL attribute as efficiently as possible.
 
  72 xfs_acl_vhasacl_default(
 
  79         xfs_acl_get_attr(vp, NULL, _ACL_TYPE_DEFAULT, ATTR_KERNOVAL, &error);
 
  84  * Convert from extended attribute representation to in-memory for XFS.
 
  87 posix_acl_xattr_to_xfs(
 
  88         posix_acl_xattr_header  *src,
 
  92         posix_acl_xattr_entry   *src_entry;
 
  93         xfs_acl_entry_t         *dest_entry;
 
  99         if (size < sizeof(posix_acl_xattr_header))
 
 102         if (src->a_version != cpu_to_le32(POSIX_ACL_XATTR_VERSION))
 
 105         memset(dest, 0, sizeof(xfs_acl_t));
 
 106         dest->acl_cnt = posix_acl_xattr_count(size);
 
 107         if (dest->acl_cnt < 0 || dest->acl_cnt > XFS_ACL_MAX_ENTRIES)
 
 111          * acl_set_file(3) may request that we set default ACLs with
 
 112          * zero length -- defend (gracefully) against that here.
 
 117         src_entry = (posix_acl_xattr_entry *)((char *)src + sizeof(*src));
 
 118         dest_entry = &dest->acl_entry[0];
 
 120         for (n = 0; n < dest->acl_cnt; n++, src_entry++, dest_entry++) {
 
 121                 dest_entry->ae_perm = le16_to_cpu(src_entry->e_perm);
 
 122                 if (_ACL_PERM_INVALID(dest_entry->ae_perm))
 
 124                 dest_entry->ae_tag  = le16_to_cpu(src_entry->e_tag);
 
 125                 switch(dest_entry->ae_tag) {
 
 128                         dest_entry->ae_id = le32_to_cpu(src_entry->e_id);
 
 134                         dest_entry->ae_id = ACL_UNDEFINED_ID;
 
 140         if (xfs_acl_invalid(dest))
 
 147  * Comparison function called from xfs_sort().
 
 148  * Primary key is ae_tag, secondary key is ae_id.
 
 151 xfs_acl_entry_compare(
 
 155         xfs_acl_entry_t *a = (xfs_acl_entry_t *)va,
 
 156                         *b = (xfs_acl_entry_t *)vb;
 
 158         if (a->ae_tag == b->ae_tag)
 
 159                 return (a->ae_id - b->ae_id);
 
 160         return (a->ae_tag - b->ae_tag);
 
 164  * Convert from in-memory XFS to extended attribute representation.
 
 167 posix_acl_xfs_to_xattr(
 
 169         posix_acl_xattr_header  *dest,
 
 173         size_t                  new_size = posix_acl_xattr_size(src->acl_cnt);
 
 174         posix_acl_xattr_entry   *dest_entry;
 
 175         xfs_acl_entry_t         *src_entry;
 
 180         /* Need to sort src XFS ACL by <ae_tag,ae_id> */
 
 181         xfs_sort(src->acl_entry, src->acl_cnt, sizeof(src->acl_entry[0]),
 
 182                  xfs_acl_entry_compare);
 
 184         dest->a_version = cpu_to_le32(POSIX_ACL_XATTR_VERSION);
 
 185         dest_entry = &dest->a_entries[0];
 
 186         src_entry = &src->acl_entry[0];
 
 187         for (n = 0; n < src->acl_cnt; n++, dest_entry++, src_entry++) {
 
 188                 dest_entry->e_perm = cpu_to_le16(src_entry->ae_perm);
 
 189                 if (_ACL_PERM_INVALID(src_entry->ae_perm))
 
 191                 dest_entry->e_tag  = cpu_to_le16(src_entry->ae_tag);
 
 192                 switch (src_entry->ae_tag) {
 
 195                         dest_entry->e_id = cpu_to_le32(src_entry->ae_id);
 
 201                         dest_entry->e_id = cpu_to_le32(ACL_UNDEFINED_ID);
 
 218         xfs_acl_t               *xfs_acl = NULL;
 
 219         posix_acl_xattr_header  *ext_acl = acl;
 
 224                 if (!(_ACL_ALLOC(xfs_acl))) {
 
 228                 memset(xfs_acl, 0, sizeof(xfs_acl_t));
 
 230                 flags = ATTR_KERNOVAL;
 
 232         xfs_acl_get_attr(vp, xfs_acl, kind, flags, &error);
 
 237                 error = -posix_acl_xattr_size(XFS_ACL_MAX_ENTRIES);
 
 239                 if (xfs_acl_invalid(xfs_acl)) {
 
 243                 if (kind == _ACL_TYPE_ACCESS) {
 
 246                         va.va_mask = XFS_AT_MODE;
 
 247                         VOP_GETATTR(vp, &va, 0, sys_cred, error);
 
 250                         xfs_acl_sync_mode(va.va_mode, xfs_acl);
 
 252                 error = -posix_acl_xfs_to_xattr(xfs_acl, ext_acl, size);
 
 269         error = xfs_acl_allow_set(vp, kind);
 
 271                 VOP_ATTR_REMOVE(vp, kind == _ACL_TYPE_DEFAULT?
 
 272                                 SGI_ACL_DEFAULT: SGI_ACL_FILE,
 
 273                                 ATTR_ROOT, sys_cred, error);
 
 274                 if (error == ENOATTR)
 
 275                         error = 0;      /* 'scool */
 
 288         posix_acl_xattr_header  *ext_acl = acl;
 
 291         int                     basicperms = 0; /* more than std unix perms? */
 
 296         if (!(_ACL_ALLOC(xfs_acl)))
 
 299         error = posix_acl_xattr_to_xfs(ext_acl, size, xfs_acl);
 
 304         if (!xfs_acl->acl_cnt) {
 
 310         error = xfs_acl_allow_set(vp, kind);
 
 314         /* Incoming ACL exists, set file mode based on its value */
 
 315         if (kind == _ACL_TYPE_ACCESS)
 
 316                 xfs_acl_setmode(vp, xfs_acl, &basicperms);
 
 319          * If we have more than std unix permissions, set up the actual attr.
 
 320          * Otherwise, delete any existing attr.  This prevents us from
 
 321          * having actual attrs for permissions that can be stored in the
 
 322          * standard permission bits.
 
 325                 xfs_acl_set_attr(vp, xfs_acl, kind, &error);
 
 327                 xfs_acl_vremove(vp, _ACL_TYPE_ACCESS);
 
 345         if (!(_ACL_ALLOC(acl)))
 
 348         /* If the file has no ACL return -1. */
 
 349         rval = sizeof(xfs_acl_t);
 
 350         if (xfs_attr_fetch(ip, SGI_ACL_FILE, SGI_ACL_FILE_SIZE,
 
 351                         (char *)acl, &rval, ATTR_ROOT | ATTR_KERNACCESS, cr)) {
 
 355         xfs_acl_get_endian(acl);
 
 357         /* If the file has an empty ACL return -1. */
 
 358         if (acl->acl_cnt == XFS_ACL_NOT_PRESENT) {
 
 363         /* Synchronize ACL with mode bits */
 
 364         xfs_acl_sync_mode(ip->i_d.di_mode, acl);
 
 366         rval = xfs_acl_access(ip->i_d.di_uid, ip->i_d.di_gid, acl, mode, cr);
 
 379         if (vp->v_inode.i_flags & (S_IMMUTABLE|S_APPEND))
 
 381         if (kind == _ACL_TYPE_DEFAULT && !VN_ISDIR(vp))
 
 383         if (vp->v_vfsp->vfs_flag & VFS_RDONLY)
 
 385         va.va_mask = XFS_AT_UID;
 
 386         VOP_GETATTR(vp, &va, 0, NULL, error);
 
 389         if (va.va_uid != current->fsuid && !capable(CAP_FOWNER))
 
 395  * The access control process to determine the access permission:
 
 396  *      if uid == file owner id, use the file owner bits.
 
 397  *      if gid == file owner group id, use the file group bits.
 
 398  *      scan ACL for a maching user or group, and use matched entry
 
 399  *      permission. Use total permissions of all matching group entries,
 
 400  *      until all acl entries are exhausted. The final permission produced
 
 401  *      by matching acl entry or entries needs to be & with group permission.
 
 402  *      if not owner, owning group, or matching entry in ACL, use file
 
 406 xfs_acl_capability_check(
 
 410         if ((mode & ACL_READ) && !capable_cred(cr, CAP_DAC_READ_SEARCH))
 
 412         if ((mode & ACL_WRITE) && !capable_cred(cr, CAP_DAC_OVERRIDE))
 
 414         if ((mode & ACL_EXECUTE) && !capable_cred(cr, CAP_DAC_OVERRIDE))
 
 421  * Note: cr is only used here for the capability check if the ACL test fails.
 
 422  *       It is not used to find out the credentials uid or groups etc, as was
 
 423  *       done in IRIX. It is assumed that the uid and groups for the current
 
 424  *       thread are taken from "current" instead of the cr parameter.
 
 434         xfs_acl_entry_t matched;
 
 436         int             maskallows = -1;        /* true, but not 1, either */
 
 437         int             seen_userobj = 0;
 
 439         matched.ae_tag = 0;     /* Invalid type */
 
 441         md >>= 6;       /* Normalize the bits for comparison */
 
 443         for (i = 0; i < fap->acl_cnt; i++) {
 
 445                  * Break out if we've got a user_obj entry or
 
 446                  * a user entry and the mask (and have processed USER_OBJ)
 
 448                 if (matched.ae_tag == ACL_USER_OBJ)
 
 450                 if (matched.ae_tag == ACL_USER) {
 
 451                         if (maskallows != -1 && seen_userobj)
 
 453                         if (fap->acl_entry[i].ae_tag != ACL_MASK &&
 
 454                             fap->acl_entry[i].ae_tag != ACL_USER_OBJ)
 
 457                 /* True if this entry allows the requested access */
 
 458                 allows = ((fap->acl_entry[i].ae_perm & md) == md);
 
 460                 switch (fap->acl_entry[i].ae_tag) {
 
 463                         if (fuid != current->fsuid)
 
 465                         matched.ae_tag = ACL_USER_OBJ;
 
 466                         matched.ae_perm = allows;
 
 469                         if (fap->acl_entry[i].ae_id != current->fsuid)
 
 471                         matched.ae_tag = ACL_USER;
 
 472                         matched.ae_perm = allows;
 
 475                         if ((matched.ae_tag == ACL_GROUP_OBJ ||
 
 476                             matched.ae_tag == ACL_GROUP) && !allows)
 
 478                         if (!in_group_p(fgid))
 
 480                         matched.ae_tag = ACL_GROUP_OBJ;
 
 481                         matched.ae_perm = allows;
 
 484                         if ((matched.ae_tag == ACL_GROUP_OBJ ||
 
 485                             matched.ae_tag == ACL_GROUP) && !allows)
 
 487                         if (!in_group_p(fap->acl_entry[i].ae_id))
 
 489                         matched.ae_tag = ACL_GROUP;
 
 490                         matched.ae_perm = allows;
 
 496                         if (matched.ae_tag != 0)
 
 498                         matched.ae_tag = ACL_OTHER;
 
 499                         matched.ae_perm = allows;
 
 504          * First possibility is that no matched entry allows access.
 
 505          * The capability to override DAC may exist, so check for it.
 
 507         switch (matched.ae_tag) {
 
 516                 if (maskallows && matched.ae_perm)
 
 523         return xfs_acl_capability_check(md, cr);
 
 527  * ACL validity checker.
 
 528  *   This acl validation routine checks each ACL entry read in makes sense.
 
 534         xfs_acl_entry_t *entry, *e;
 
 535         int             user = 0, group = 0, other = 0, mask = 0;
 
 536         int             mask_required = 0;
 
 542         if (aclp->acl_cnt > XFS_ACL_MAX_ENTRIES)
 
 545         for (i = 0; i < aclp->acl_cnt; i++) {
 
 546                 entry = &aclp->acl_entry[i];
 
 547                 switch (entry->ae_tag) {
 
 562                         for (j = i + 1; j < aclp->acl_cnt; j++) {
 
 563                                 e = &aclp->acl_entry[j];
 
 564                                 if (e->ae_id == entry->ae_id &&
 
 565                                     e->ae_tag == entry->ae_tag)
 
 578         if (!user || !group || !other || (mask_required && !mask))
 
 587  * Do ACL endian conversion.
 
 593         xfs_acl_entry_t *ace, *end;
 
 595         INT_SET(aclp->acl_cnt, ARCH_CONVERT, aclp->acl_cnt);
 
 596         end = &aclp->acl_entry[0]+aclp->acl_cnt;
 
 597         for (ace = &aclp->acl_entry[0]; ace < end; ace++) {
 
 598                 INT_SET(ace->ae_tag, ARCH_CONVERT, ace->ae_tag);
 
 599                 INT_SET(ace->ae_id, ARCH_CONVERT, ace->ae_id);
 
 600                 INT_SET(ace->ae_perm, ARCH_CONVERT, ace->ae_perm);
 
 605  * Get the ACL from the EA and do endian conversion.
 
 615         int             len = sizeof(xfs_acl_t);
 
 617         ASSERT((flags & ATTR_KERNOVAL) ? (aclp == NULL) : 1);
 
 620                 kind == _ACL_TYPE_ACCESS ? SGI_ACL_FILE : SGI_ACL_DEFAULT,
 
 621                 (char *)aclp, &len, flags, sys_cred, *error);
 
 622         if (*error || (flags & ATTR_KERNOVAL))
 
 624         xfs_acl_get_endian(aclp);
 
 628  * Set the EA with the ACL and do endian conversion.
 
 637         xfs_acl_entry_t *ace, *newace, *end;
 
 641         if (!(_ACL_ALLOC(newacl))) {
 
 646         len = sizeof(xfs_acl_t) -
 
 647               (sizeof(xfs_acl_entry_t) * (XFS_ACL_MAX_ENTRIES - aclp->acl_cnt));
 
 648         end = &aclp->acl_entry[0]+aclp->acl_cnt;
 
 649         for (ace = &aclp->acl_entry[0], newace = &newacl->acl_entry[0];
 
 652                 INT_SET(newace->ae_tag, ARCH_CONVERT, ace->ae_tag);
 
 653                 INT_SET(newace->ae_id, ARCH_CONVERT, ace->ae_id);
 
 654                 INT_SET(newace->ae_perm, ARCH_CONVERT, ace->ae_perm);
 
 656         INT_SET(newacl->acl_cnt, ARCH_CONVERT, aclp->acl_cnt);
 
 658                 kind == _ACL_TYPE_ACCESS ? SGI_ACL_FILE: SGI_ACL_DEFAULT,
 
 659                 (char *)newacl, len, ATTR_ROOT, sys_cred, *error);
 
 666         xfs_acl_t       *access_acl,
 
 667         xfs_acl_t       *default_acl)
 
 674                  * Get the Access ACL and the mode.  If either cannot
 
 675                  * be obtained for some reason, invalidate the access ACL.
 
 677                 xfs_acl_get_attr(vp, access_acl, _ACL_TYPE_ACCESS, 0, &error);
 
 679                         /* Got the ACL, need the mode... */
 
 680                         va.va_mask = XFS_AT_MODE;
 
 681                         VOP_GETATTR(vp, &va, 0, sys_cred, error);
 
 685                         access_acl->acl_cnt = XFS_ACL_NOT_PRESENT;
 
 686                 else /* We have a good ACL and the file mode, synchronize. */
 
 687                         xfs_acl_sync_mode(va.va_mode, access_acl);
 
 691                 xfs_acl_get_attr(vp, default_acl, _ACL_TYPE_DEFAULT, 0, &error);
 
 693                         default_acl->acl_cnt = XFS_ACL_NOT_PRESENT;
 
 699  * This function retrieves the parent directory's acl, processes it
 
 700  * and lets the child inherit the acl(s) that it should.
 
 713          * If the parent does not have a default ACL, or it's an
 
 714          * invalid ACL, we're done.
 
 718         if (!pdaclp || xfs_acl_invalid(pdaclp))
 
 722          * Copy the default ACL of the containing directory to
 
 723          * the access ACL of the new file and use the mode that
 
 724          * was passed in to set up the correct initial values for
 
 725          * the u::,g::[m::], and o:: entries.  This is what makes
 
 726          * umask() "work" with ACL's.
 
 729         if (!(_ACL_ALLOC(cacl)))
 
 732         memcpy(cacl, pdaclp, sizeof(xfs_acl_t));
 
 733         xfs_acl_filter_mode(vap->va_mode, cacl);
 
 734         xfs_acl_setmode(vp, cacl, &basicperms);
 
 737          * Set the Default and Access ACL on the file.  The mode is already
 
 738          * set on the file, so we don't need to worry about that.
 
 740          * If the new file is a directory, its default ACL is a copy of
 
 741          * the containing directory's default ACL.
 
 744                 xfs_acl_set_attr(vp, pdaclp, _ACL_TYPE_DEFAULT, &error);
 
 745         if (!error && !basicperms)
 
 746                 xfs_acl_set_attr(vp, cacl, _ACL_TYPE_ACCESS, &error);
 
 752  * Set up the correct mode on the file based on the supplied ACL.  This
 
 753  * makes sure that the mode on the file reflects the state of the
 
 754  * u::,g::[m::], and o:: entries in the ACL.  Since the mode is where
 
 755  * the ACL is going to get the permissions for these entries, we must
 
 756  * synchronize the mode whenever we set the ACL on a file.
 
 766         xfs_acl_entry_t *gap = NULL;
 
 767         int             i, error, nomask = 1;
 
 771         if (acl->acl_cnt == XFS_ACL_NOT_PRESENT)
 
 775          * Copy the u::, g::, o::, and m:: bits from the ACL into the
 
 776          * mode.  The m:: bits take precedence over the g:: bits.
 
 778         va.va_mask = XFS_AT_MODE;
 
 779         VOP_GETATTR(vp, &va, 0, sys_cred, error);
 
 783         va.va_mask = XFS_AT_MODE;
 
 784         va.va_mode &= ~(S_IRWXU|S_IRWXG|S_IRWXO);
 
 786         for (i = 0; i < acl->acl_cnt; ++i) {
 
 787                 switch (ap->ae_tag) {
 
 789                         va.va_mode |= ap->ae_perm << 6;
 
 794                 case ACL_MASK:  /* more than just standard modes */
 
 796                         va.va_mode |= ap->ae_perm << 3;
 
 800                         va.va_mode |= ap->ae_perm;
 
 802                 default:        /* more than just standard modes */
 
 809         /* Set the group bits from ACL_GROUP_OBJ if there's no ACL_MASK */
 
 811                 va.va_mode |= gap->ae_perm << 3;
 
 813         VOP_SETATTR(vp, &va, 0, sys_cred, error);
 
 818  * The permissions for the special ACL entries (u::, g::[m::], o::) are
 
 819  * actually stored in the file mode (if there is both a group and a mask,
 
 820  * the group is stored in the ACL entry and the mask is stored on the file).
 
 821  * This allows the mode to remain automatically in sync with the ACL without
 
 822  * the need for a call-back to the ACL system at every point where the mode
 
 823  * could change.  This function takes the permissions from the specified mode
 
 824  * and places it in the supplied ACL.
 
 826  * This implementation draws its validity from the fact that, when the ACL
 
 827  * was assigned, the mode was copied from the ACL.
 
 828  * If the mode did not change, therefore, the mode remains exactly what was
 
 829  * taken from the special ACL entries at assignment.
 
 830  * If a subsequent chmod() was done, the POSIX spec says that the change in
 
 831  * mode must cause an update to the ACL seen at user level and used for
 
 832  * access checks.  Before and after a mode change, therefore, the file mode
 
 833  * most accurately reflects what the special ACL entries should permit/deny.
 
 835  * CAVEAT: If someone sets the SGI_ACL_FILE attribute directly,
 
 836  *         the existing mode bits will override whatever is in the
 
 837  *         ACL. Similarly, if there is a pre-existing ACL that was
 
 838  *         never in sync with its mode (owing to a bug in 6.5 and
 
 839  *         before), it will now magically (or mystically) be
 
 840  *         synchronized.  This could cause slight astonishment, but
 
 841  *         it is better than inconsistent permissions.
 
 843  * The supplied ACL is a template that may contain any combination
 
 844  * of special entries.  These are treated as place holders when we fill
 
 845  * out the ACL.  This routine does not add or remove special entries, it
 
 846  * simply unites each special entry with its associated set of permissions.
 
 855         xfs_acl_entry_t *gap = NULL;
 
 858          * Set ACL entries. POSIX1003.1eD16 requires that the MASK
 
 859          * be set instead of the GROUP entry, if there is a MASK.
 
 861         for (ap = acl->acl_entry, i = 0; i < acl->acl_cnt; ap++, i++) {
 
 862                 switch (ap->ae_tag) {
 
 864                         ap->ae_perm = (mode >> 6) & 0x7;
 
 871                         ap->ae_perm = (mode >> 3) & 0x7;
 
 874                         ap->ae_perm = mode & 0x7;
 
 880         /* Set the ACL_GROUP_OBJ if there's no ACL_MASK */
 
 882                 gap->ae_perm = (mode >> 3) & 0x7;
 
 886  * When inheriting an Access ACL from a directory Default ACL,
 
 887  * the ACL bits are set to the intersection of the ACL default
 
 888  * permission bits and the file permission bits in mode. If there
 
 889  * are no permission bits on the file then we must not give them
 
 890  * the ACL. This is what what makes umask() work with ACLs.
 
 899         xfs_acl_entry_t *gap = NULL;
 
 902          * Set ACL entries. POSIX1003.1eD16 requires that the MASK
 
 903          * be merged with GROUP entry, if there is a MASK.
 
 905         for (ap = acl->acl_entry, i = 0; i < acl->acl_cnt; ap++, i++) {
 
 906                 switch (ap->ae_tag) {
 
 908                         ap->ae_perm &= (mode >> 6) & 0x7;
 
 915                         ap->ae_perm &= (mode >> 3) & 0x7;
 
 918                         ap->ae_perm &= mode & 0x7;
 
 924         /* Set the ACL_GROUP_OBJ if there's no ACL_MASK */
 
 926                 gap->ae_perm &= (mode >> 3) & 0x7;