Branch data Line data Source code
1 : : /*
2 : : * AppArmor security module
3 : : *
4 : : * This file contains AppArmor /proc/<pid>/attr/ interface functions
5 : : *
6 : : * Copyright (C) 1998-2008 Novell/SUSE
7 : : * Copyright 2009-2010 Canonical Ltd.
8 : : *
9 : : * This program is free software; you can redistribute it and/or
10 : : * modify it under the terms of the GNU General Public License as
11 : : * published by the Free Software Foundation, version 2 of the
12 : : * License.
13 : : */
14 : :
15 : : #include "include/apparmor.h"
16 : : #include "include/context.h"
17 : : #include "include/policy.h"
18 : : #include "include/domain.h"
19 : : #include "include/procattr.h"
20 : :
21 : :
22 : : /**
23 : : * aa_getprocattr - Return the profile information for @profile
24 : : * @profile: the profile to print profile info about (NOT NULL)
25 : : * @string: Returns - string containing the profile info (NOT NULL)
26 : : *
27 : : * Returns: length of @string on success else error on failure
28 : : *
29 : : * Requires: profile != NULL
30 : : *
31 : : * Creates a string containing the namespace_name://profile_name for
32 : : * @profile.
33 : : *
34 : : * Returns: size of string placed in @string else error code on failure
35 : : */
36 : 0 : int aa_getprocattr(struct aa_profile *profile, char **string)
37 : : {
38 : : char *str;
39 : : int len = 0, mode_len = 0, ns_len = 0, name_len;
40 : 4 : const char *mode_str = aa_profile_mode_names[profile->mode];
41 : : const char *ns_name = NULL;
42 : 4 : struct aa_namespace *ns = profile->ns;
43 : 4 : struct aa_namespace *current_ns = __aa_current_profile()->ns;
44 : : char *s;
45 : :
46 [ + - ]: 4 : if (!aa_ns_visible(current_ns, ns))
47 : : return -EACCES;
48 : :
49 : 4 : ns_name = aa_ns_name(current_ns, ns);
50 : 8 : ns_len = strlen(ns_name);
51 : :
52 : : /* if the visible ns_name is > 0 increase size for : :// seperator */
53 [ - + ]: 8 : if (ns_len)
54 : 0 : ns_len += 4;
55 : :
56 : : /* unconfined profiles don't have a mode string appended */
57 [ - + ]: 8 : if (!unconfined(profile))
58 : 0 : mode_len = strlen(mode_str) + 3; /* + 3 for _() */
59 : :
60 : 4 : name_len = strlen(profile->base.hname);
61 : 4 : len = mode_len + ns_len + name_len + 1; /* + 1 for \n */
62 : 4 : s = str = kmalloc(len + 1, GFP_KERNEL); /* + 1 \0 */
63 [ + - ]: 4 : if (!str)
64 : : return -ENOMEM;
65 : :
66 [ - + ]: 4 : if (ns_len) {
67 : : /* skip over prefix current_ns->base.hname and separating // */
68 : 0 : sprintf(s, ":%s://", ns_name);
69 : 0 : s += ns_len;
70 : : }
71 [ + - ]: 4 : if (unconfined(profile))
72 : : /* mode string not being appended */
73 : 4 : sprintf(s, "%s\n", profile->base.hname);
74 : : else
75 : 0 : sprintf(s, "%s (%s)\n", profile->base.hname, mode_str);
76 : 4 : *string = str;
77 : :
78 : : /* NOTE: len does not include \0 of string, not saved as part of file */
79 : 4 : return len;
80 : : }
81 : :
82 : : /**
83 : : * split_token_from_name - separate a string of form <token>^<name>
84 : : * @op: operation being checked
85 : : * @args: string to parse (NOT NULL)
86 : : * @token: stores returned parsed token value (NOT NULL)
87 : : *
88 : : * Returns: start position of name after token else NULL on failure
89 : : */
90 : 0 : static char *split_token_from_name(int op, char *args, u64 * token)
91 : : {
92 : : char *name;
93 : :
94 : 0 : *token = simple_strtoull(args, &name, 16);
95 [ # # ][ # # ]: 0 : if ((name == args) || *name != '^') {
96 [ # # ]: 0 : AA_ERROR("%s: Invalid input '%s'", op_table[op], args);
97 : : return ERR_PTR(-EINVAL);
98 : : }
99 : :
100 : 0 : name++; /* skip ^ */
101 [ # # ]: 0 : if (!*name)
102 : 0 : name = NULL;
103 : 0 : return name;
104 : : }
105 : :
106 : : /**
107 : : * aa_setprocattr_chagnehat - handle procattr interface to change_hat
108 : : * @args: args received from writing to /proc/<pid>/attr/current (NOT NULL)
109 : : * @size: size of the args
110 : : * @test: true if this is a test of change_hat permissions
111 : : *
112 : : * Returns: %0 or error code if change_hat fails
113 : : */
114 : 0 : int aa_setprocattr_changehat(char *args, size_t size, int test)
115 : : {
116 : : char *hat;
117 : : u64 token;
118 : : const char *hats[16]; /* current hard limit on # of names */
119 : : int count = 0;
120 : :
121 : 0 : hat = split_token_from_name(OP_CHANGE_HAT, args, &token);
122 [ # # ]: 0 : if (IS_ERR(hat))
123 : 0 : return PTR_ERR(hat);
124 : :
125 [ # # ][ # # ]: 0 : if (!hat && !token) {
126 [ # # ]: 0 : AA_ERROR("change_hat: Invalid input, NULL hat and NULL magic");
127 : : return -EINVAL;
128 : : }
129 : :
130 [ # # ]: 0 : if (hat) {
131 : : /* set up hat name vector, args guaranteed null terminated
132 : : * at args[size] by setprocattr.
133 : : *
134 : : * If there are multiple hat names in the buffer each is
135 : : * separated by a \0. Ie. userspace writes them pre tokenized
136 : : */
137 : 0 : char *end = args + size;
138 [ # # ]: 0 : for (count = 0; (hat < end) && count < 16; ++count) {
139 : 0 : char *next = hat + strlen(hat) + 1;
140 : 0 : hats[count] = hat;
141 : : hat = next;
142 : : }
143 : : }
144 : :
145 [ # # ][ # # ]: 0 : AA_DEBUG("%s: Magic 0x%llx Hat '%s'\n",
146 : : __func__, token, hat ? hat : NULL);
147 : :
148 : 0 : return aa_change_hat(hats, count, token, test);
149 : : }
150 : :
151 : : /**
152 : : * aa_setprocattr_changeprofile - handle procattr interface to changeprofile
153 : : * @fqname: args received from writting to /proc/<pid>/attr/current (NOT NULL)
154 : : * @onexec: true if change_profile should be delayed until exec
155 : : * @test: true if this is a test of change_profile permissions
156 : : *
157 : : * Returns: %0 or error code if change_profile fails
158 : : */
159 : 0 : int aa_setprocattr_changeprofile(char *fqname, bool onexec, int test)
160 : : {
161 : : char *name, *ns_name;
162 : :
163 : 0 : name = aa_split_fqname(fqname, &ns_name);
164 : 0 : return aa_change_profile(ns_name, name, onexec, test);
165 : : }
|
