Merge tag 'regmap-fix-v4.2-rc6' of git://git.kernel.org/pub/scm/linux/kernel/git...
[platform/kernel/linux-rpi.git] / kernel / auditsc.c
1 /* auditsc.c -- System-call auditing support
2  * Handles all system-call specific auditing features.
3  *
4  * Copyright 2003-2004 Red Hat Inc., Durham, North Carolina.
5  * Copyright 2005 Hewlett-Packard Development Company, L.P.
6  * Copyright (C) 2005, 2006 IBM Corporation
7  * All Rights Reserved.
8  *
9  * This program is free software; you can redistribute it and/or modify
10  * it under the terms of the GNU General Public License as published by
11  * the Free Software Foundation; either version 2 of the License, or
12  * (at your option) any later version.
13  *
14  * This program is distributed in the hope that it will be useful,
15  * but WITHOUT ANY WARRANTY; without even the implied warranty of
16  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
17  * GNU General Public License for more details.
18  *
19  * You should have received a copy of the GNU General Public License
20  * along with this program; if not, write to the Free Software
21  * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
22  *
23  * Written by Rickard E. (Rik) Faith <faith@redhat.com>
24  *
25  * Many of the ideas implemented here are from Stephen C. Tweedie,
26  * especially the idea of avoiding a copy by using getname.
27  *
28  * The method for actual interception of syscall entry and exit (not in
29  * this file -- see entry.S) is based on a GPL'd patch written by
30  * okir@suse.de and Copyright 2003 SuSE Linux AG.
31  *
32  * POSIX message queue support added by George Wilson <ltcgcw@us.ibm.com>,
33  * 2006.
34  *
35  * The support of additional filter rules compares (>, <, >=, <=) was
36  * added by Dustin Kirkland <dustin.kirkland@us.ibm.com>, 2005.
37  *
38  * Modified by Amy Griffis <amy.griffis@hp.com> to collect additional
39  * filesystem information.
40  *
41  * Subject and object context labeling support added by <danjones@us.ibm.com>
42  * and <dustin.kirkland@us.ibm.com> for LSPP certification compliance.
43  */
44
45 #define pr_fmt(fmt) KBUILD_MODNAME ": " fmt
46
47 #include <linux/init.h>
48 #include <asm/types.h>
49 #include <linux/atomic.h>
50 #include <linux/fs.h>
51 #include <linux/namei.h>
52 #include <linux/mm.h>
53 #include <linux/export.h>
54 #include <linux/slab.h>
55 #include <linux/mount.h>
56 #include <linux/socket.h>
57 #include <linux/mqueue.h>
58 #include <linux/audit.h>
59 #include <linux/personality.h>
60 #include <linux/time.h>
61 #include <linux/netlink.h>
62 #include <linux/compiler.h>
63 #include <asm/unistd.h>
64 #include <linux/security.h>
65 #include <linux/list.h>
66 #include <linux/tty.h>
67 #include <linux/binfmts.h>
68 #include <linux/highmem.h>
69 #include <linux/syscalls.h>
70 #include <asm/syscall.h>
71 #include <linux/capability.h>
72 #include <linux/fs_struct.h>
73 #include <linux/compat.h>
74 #include <linux/ctype.h>
75 #include <linux/string.h>
76 #include <uapi/linux/limits.h>
77
78 #include "audit.h"
79
80 /* flags stating the success for a syscall */
81 #define AUDITSC_INVALID 0
82 #define AUDITSC_SUCCESS 1
83 #define AUDITSC_FAILURE 2
84
85 /* no execve audit message should be longer than this (userspace limits) */
86 #define MAX_EXECVE_AUDIT_LEN 7500
87
88 /* max length to print of cmdline/proctitle value during audit */
89 #define MAX_PROCTITLE_AUDIT_LEN 128
90
91 /* number of audit rules */
92 int audit_n_rules;
93
94 /* determines whether we collect data for signals sent */
95 int audit_signals;
96
97 struct audit_aux_data {
98         struct audit_aux_data   *next;
99         int                     type;
100 };
101
102 #define AUDIT_AUX_IPCPERM       0
103
104 /* Number of target pids per aux struct. */
105 #define AUDIT_AUX_PIDS  16
106
107 struct audit_aux_data_pids {
108         struct audit_aux_data   d;
109         pid_t                   target_pid[AUDIT_AUX_PIDS];
110         kuid_t                  target_auid[AUDIT_AUX_PIDS];
111         kuid_t                  target_uid[AUDIT_AUX_PIDS];
112         unsigned int            target_sessionid[AUDIT_AUX_PIDS];
113         u32                     target_sid[AUDIT_AUX_PIDS];
114         char                    target_comm[AUDIT_AUX_PIDS][TASK_COMM_LEN];
115         int                     pid_count;
116 };
117
118 struct audit_aux_data_bprm_fcaps {
119         struct audit_aux_data   d;
120         struct audit_cap_data   fcap;
121         unsigned int            fcap_ver;
122         struct audit_cap_data   old_pcap;
123         struct audit_cap_data   new_pcap;
124 };
125
126 struct audit_tree_refs {
127         struct audit_tree_refs *next;
128         struct audit_chunk *c[31];
129 };
130
131 static int audit_match_perm(struct audit_context *ctx, int mask)
132 {
133         unsigned n;
134         if (unlikely(!ctx))
135                 return 0;
136         n = ctx->major;
137
138         switch (audit_classify_syscall(ctx->arch, n)) {
139         case 0: /* native */
140                 if ((mask & AUDIT_PERM_WRITE) &&
141                      audit_match_class(AUDIT_CLASS_WRITE, n))
142                         return 1;
143                 if ((mask & AUDIT_PERM_READ) &&
144                      audit_match_class(AUDIT_CLASS_READ, n))
145                         return 1;
146                 if ((mask & AUDIT_PERM_ATTR) &&
147                      audit_match_class(AUDIT_CLASS_CHATTR, n))
148                         return 1;
149                 return 0;
150         case 1: /* 32bit on biarch */
151                 if ((mask & AUDIT_PERM_WRITE) &&
152                      audit_match_class(AUDIT_CLASS_WRITE_32, n))
153                         return 1;
154                 if ((mask & AUDIT_PERM_READ) &&
155                      audit_match_class(AUDIT_CLASS_READ_32, n))
156                         return 1;
157                 if ((mask & AUDIT_PERM_ATTR) &&
158                      audit_match_class(AUDIT_CLASS_CHATTR_32, n))
159                         return 1;
160                 return 0;
161         case 2: /* open */
162                 return mask & ACC_MODE(ctx->argv[1]);
163         case 3: /* openat */
164                 return mask & ACC_MODE(ctx->argv[2]);
165         case 4: /* socketcall */
166                 return ((mask & AUDIT_PERM_WRITE) && ctx->argv[0] == SYS_BIND);
167         case 5: /* execve */
168                 return mask & AUDIT_PERM_EXEC;
169         default:
170                 return 0;
171         }
172 }
173
174 static int audit_match_filetype(struct audit_context *ctx, int val)
175 {
176         struct audit_names *n;
177         umode_t mode = (umode_t)val;
178
179         if (unlikely(!ctx))
180                 return 0;
181
182         list_for_each_entry(n, &ctx->names_list, list) {
183                 if ((n->ino != -1) &&
184                     ((n->mode & S_IFMT) == mode))
185                         return 1;
186         }
187
188         return 0;
189 }
190
191 /*
192  * We keep a linked list of fixed-sized (31 pointer) arrays of audit_chunk *;
193  * ->first_trees points to its beginning, ->trees - to the current end of data.
194  * ->tree_count is the number of free entries in array pointed to by ->trees.
195  * Original condition is (NULL, NULL, 0); as soon as it grows we never revert to NULL,
196  * "empty" becomes (p, p, 31) afterwards.  We don't shrink the list (and seriously,
197  * it's going to remain 1-element for almost any setup) until we free context itself.
198  * References in it _are_ dropped - at the same time we free/drop aux stuff.
199  */
200
201 #ifdef CONFIG_AUDIT_TREE
202 static void audit_set_auditable(struct audit_context *ctx)
203 {
204         if (!ctx->prio) {
205                 ctx->prio = 1;
206                 ctx->current_state = AUDIT_RECORD_CONTEXT;
207         }
208 }
209
210 static int put_tree_ref(struct audit_context *ctx, struct audit_chunk *chunk)
211 {
212         struct audit_tree_refs *p = ctx->trees;
213         int left = ctx->tree_count;
214         if (likely(left)) {
215                 p->c[--left] = chunk;
216                 ctx->tree_count = left;
217                 return 1;
218         }
219         if (!p)
220                 return 0;
221         p = p->next;
222         if (p) {
223                 p->c[30] = chunk;
224                 ctx->trees = p;
225                 ctx->tree_count = 30;
226                 return 1;
227         }
228         return 0;
229 }
230
231 static int grow_tree_refs(struct audit_context *ctx)
232 {
233         struct audit_tree_refs *p = ctx->trees;
234         ctx->trees = kzalloc(sizeof(struct audit_tree_refs), GFP_KERNEL);
235         if (!ctx->trees) {
236                 ctx->trees = p;
237                 return 0;
238         }
239         if (p)
240                 p->next = ctx->trees;
241         else
242                 ctx->first_trees = ctx->trees;
243         ctx->tree_count = 31;
244         return 1;
245 }
246 #endif
247
248 static void unroll_tree_refs(struct audit_context *ctx,
249                       struct audit_tree_refs *p, int count)
250 {
251 #ifdef CONFIG_AUDIT_TREE
252         struct audit_tree_refs *q;
253         int n;
254         if (!p) {
255                 /* we started with empty chain */
256                 p = ctx->first_trees;
257                 count = 31;
258                 /* if the very first allocation has failed, nothing to do */
259                 if (!p)
260                         return;
261         }
262         n = count;
263         for (q = p; q != ctx->trees; q = q->next, n = 31) {
264                 while (n--) {
265                         audit_put_chunk(q->c[n]);
266                         q->c[n] = NULL;
267                 }
268         }
269         while (n-- > ctx->tree_count) {
270                 audit_put_chunk(q->c[n]);
271                 q->c[n] = NULL;
272         }
273         ctx->trees = p;
274         ctx->tree_count = count;
275 #endif
276 }
277
278 static void free_tree_refs(struct audit_context *ctx)
279 {
280         struct audit_tree_refs *p, *q;
281         for (p = ctx->first_trees; p; p = q) {
282                 q = p->next;
283                 kfree(p);
284         }
285 }
286
287 static int match_tree_refs(struct audit_context *ctx, struct audit_tree *tree)
288 {
289 #ifdef CONFIG_AUDIT_TREE
290         struct audit_tree_refs *p;
291         int n;
292         if (!tree)
293                 return 0;
294         /* full ones */
295         for (p = ctx->first_trees; p != ctx->trees; p = p->next) {
296                 for (n = 0; n < 31; n++)
297                         if (audit_tree_match(p->c[n], tree))
298                                 return 1;
299         }
300         /* partial */
301         if (p) {
302                 for (n = ctx->tree_count; n < 31; n++)
303                         if (audit_tree_match(p->c[n], tree))
304                                 return 1;
305         }
306 #endif
307         return 0;
308 }
309
310 static int audit_compare_uid(kuid_t uid,
311                              struct audit_names *name,
312                              struct audit_field *f,
313                              struct audit_context *ctx)
314 {
315         struct audit_names *n;
316         int rc;
317  
318         if (name) {
319                 rc = audit_uid_comparator(uid, f->op, name->uid);
320                 if (rc)
321                         return rc;
322         }
323  
324         if (ctx) {
325                 list_for_each_entry(n, &ctx->names_list, list) {
326                         rc = audit_uid_comparator(uid, f->op, n->uid);
327                         if (rc)
328                                 return rc;
329                 }
330         }
331         return 0;
332 }
333
334 static int audit_compare_gid(kgid_t gid,
335                              struct audit_names *name,
336                              struct audit_field *f,
337                              struct audit_context *ctx)
338 {
339         struct audit_names *n;
340         int rc;
341  
342         if (name) {
343                 rc = audit_gid_comparator(gid, f->op, name->gid);
344                 if (rc)
345                         return rc;
346         }
347  
348         if (ctx) {
349                 list_for_each_entry(n, &ctx->names_list, list) {
350                         rc = audit_gid_comparator(gid, f->op, n->gid);
351                         if (rc)
352                                 return rc;
353                 }
354         }
355         return 0;
356 }
357
358 static int audit_field_compare(struct task_struct *tsk,
359                                const struct cred *cred,
360                                struct audit_field *f,
361                                struct audit_context *ctx,
362                                struct audit_names *name)
363 {
364         switch (f->val) {
365         /* process to file object comparisons */
366         case AUDIT_COMPARE_UID_TO_OBJ_UID:
367                 return audit_compare_uid(cred->uid, name, f, ctx);
368         case AUDIT_COMPARE_GID_TO_OBJ_GID:
369                 return audit_compare_gid(cred->gid, name, f, ctx);
370         case AUDIT_COMPARE_EUID_TO_OBJ_UID:
371                 return audit_compare_uid(cred->euid, name, f, ctx);
372         case AUDIT_COMPARE_EGID_TO_OBJ_GID:
373                 return audit_compare_gid(cred->egid, name, f, ctx);
374         case AUDIT_COMPARE_AUID_TO_OBJ_UID:
375                 return audit_compare_uid(tsk->loginuid, name, f, ctx);
376         case AUDIT_COMPARE_SUID_TO_OBJ_UID:
377                 return audit_compare_uid(cred->suid, name, f, ctx);
378         case AUDIT_COMPARE_SGID_TO_OBJ_GID:
379                 return audit_compare_gid(cred->sgid, name, f, ctx);
380         case AUDIT_COMPARE_FSUID_TO_OBJ_UID:
381                 return audit_compare_uid(cred->fsuid, name, f, ctx);
382         case AUDIT_COMPARE_FSGID_TO_OBJ_GID:
383                 return audit_compare_gid(cred->fsgid, name, f, ctx);
384         /* uid comparisons */
385         case AUDIT_COMPARE_UID_TO_AUID:
386                 return audit_uid_comparator(cred->uid, f->op, tsk->loginuid);
387         case AUDIT_COMPARE_UID_TO_EUID:
388                 return audit_uid_comparator(cred->uid, f->op, cred->euid);
389         case AUDIT_COMPARE_UID_TO_SUID:
390                 return audit_uid_comparator(cred->uid, f->op, cred->suid);
391         case AUDIT_COMPARE_UID_TO_FSUID:
392                 return audit_uid_comparator(cred->uid, f->op, cred->fsuid);
393         /* auid comparisons */
394         case AUDIT_COMPARE_AUID_TO_EUID:
395                 return audit_uid_comparator(tsk->loginuid, f->op, cred->euid);
396         case AUDIT_COMPARE_AUID_TO_SUID:
397                 return audit_uid_comparator(tsk->loginuid, f->op, cred->suid);
398         case AUDIT_COMPARE_AUID_TO_FSUID:
399                 return audit_uid_comparator(tsk->loginuid, f->op, cred->fsuid);
400         /* euid comparisons */
401         case AUDIT_COMPARE_EUID_TO_SUID:
402                 return audit_uid_comparator(cred->euid, f->op, cred->suid);
403         case AUDIT_COMPARE_EUID_TO_FSUID:
404                 return audit_uid_comparator(cred->euid, f->op, cred->fsuid);
405         /* suid comparisons */
406         case AUDIT_COMPARE_SUID_TO_FSUID:
407                 return audit_uid_comparator(cred->suid, f->op, cred->fsuid);
408         /* gid comparisons */
409         case AUDIT_COMPARE_GID_TO_EGID:
410                 return audit_gid_comparator(cred->gid, f->op, cred->egid);
411         case AUDIT_COMPARE_GID_TO_SGID:
412                 return audit_gid_comparator(cred->gid, f->op, cred->sgid);
413         case AUDIT_COMPARE_GID_TO_FSGID:
414                 return audit_gid_comparator(cred->gid, f->op, cred->fsgid);
415         /* egid comparisons */
416         case AUDIT_COMPARE_EGID_TO_SGID:
417                 return audit_gid_comparator(cred->egid, f->op, cred->sgid);
418         case AUDIT_COMPARE_EGID_TO_FSGID:
419                 return audit_gid_comparator(cred->egid, f->op, cred->fsgid);
420         /* sgid comparison */
421         case AUDIT_COMPARE_SGID_TO_FSGID:
422                 return audit_gid_comparator(cred->sgid, f->op, cred->fsgid);
423         default:
424                 WARN(1, "Missing AUDIT_COMPARE define.  Report as a bug\n");
425                 return 0;
426         }
427         return 0;
428 }
429
430 /* Determine if any context name data matches a rule's watch data */
431 /* Compare a task_struct with an audit_rule.  Return 1 on match, 0
432  * otherwise.
433  *
434  * If task_creation is true, this is an explicit indication that we are
435  * filtering a task rule at task creation time.  This and tsk == current are
436  * the only situations where tsk->cred may be accessed without an rcu read lock.
437  */
438 static int audit_filter_rules(struct task_struct *tsk,
439                               struct audit_krule *rule,
440                               struct audit_context *ctx,
441                               struct audit_names *name,
442                               enum audit_state *state,
443                               bool task_creation)
444 {
445         const struct cred *cred;
446         int i, need_sid = 1;
447         u32 sid;
448
449         cred = rcu_dereference_check(tsk->cred, tsk == current || task_creation);
450
451         for (i = 0; i < rule->field_count; i++) {
452                 struct audit_field *f = &rule->fields[i];
453                 struct audit_names *n;
454                 int result = 0;
455                 pid_t pid;
456
457                 switch (f->type) {
458                 case AUDIT_PID:
459                         pid = task_pid_nr(tsk);
460                         result = audit_comparator(pid, f->op, f->val);
461                         break;
462                 case AUDIT_PPID:
463                         if (ctx) {
464                                 if (!ctx->ppid)
465                                         ctx->ppid = task_ppid_nr(tsk);
466                                 result = audit_comparator(ctx->ppid, f->op, f->val);
467                         }
468                         break;
469                 case AUDIT_UID:
470                         result = audit_uid_comparator(cred->uid, f->op, f->uid);
471                         break;
472                 case AUDIT_EUID:
473                         result = audit_uid_comparator(cred->euid, f->op, f->uid);
474                         break;
475                 case AUDIT_SUID:
476                         result = audit_uid_comparator(cred->suid, f->op, f->uid);
477                         break;
478                 case AUDIT_FSUID:
479                         result = audit_uid_comparator(cred->fsuid, f->op, f->uid);
480                         break;
481                 case AUDIT_GID:
482                         result = audit_gid_comparator(cred->gid, f->op, f->gid);
483                         if (f->op == Audit_equal) {
484                                 if (!result)
485                                         result = in_group_p(f->gid);
486                         } else if (f->op == Audit_not_equal) {
487                                 if (result)
488                                         result = !in_group_p(f->gid);
489                         }
490                         break;
491                 case AUDIT_EGID:
492                         result = audit_gid_comparator(cred->egid, f->op, f->gid);
493                         if (f->op == Audit_equal) {
494                                 if (!result)
495                                         result = in_egroup_p(f->gid);
496                         } else if (f->op == Audit_not_equal) {
497                                 if (result)
498                                         result = !in_egroup_p(f->gid);
499                         }
500                         break;
501                 case AUDIT_SGID:
502                         result = audit_gid_comparator(cred->sgid, f->op, f->gid);
503                         break;
504                 case AUDIT_FSGID:
505                         result = audit_gid_comparator(cred->fsgid, f->op, f->gid);
506                         break;
507                 case AUDIT_PERS:
508                         result = audit_comparator(tsk->personality, f->op, f->val);
509                         break;
510                 case AUDIT_ARCH:
511                         if (ctx)
512                                 result = audit_comparator(ctx->arch, f->op, f->val);
513                         break;
514
515                 case AUDIT_EXIT:
516                         if (ctx && ctx->return_valid)
517                                 result = audit_comparator(ctx->return_code, f->op, f->val);
518                         break;
519                 case AUDIT_SUCCESS:
520                         if (ctx && ctx->return_valid) {
521                                 if (f->val)
522                                         result = audit_comparator(ctx->return_valid, f->op, AUDITSC_SUCCESS);
523                                 else
524                                         result = audit_comparator(ctx->return_valid, f->op, AUDITSC_FAILURE);
525                         }
526                         break;
527                 case AUDIT_DEVMAJOR:
528                         if (name) {
529                                 if (audit_comparator(MAJOR(name->dev), f->op, f->val) ||
530                                     audit_comparator(MAJOR(name->rdev), f->op, f->val))
531                                         ++result;
532                         } else if (ctx) {
533                                 list_for_each_entry(n, &ctx->names_list, list) {
534                                         if (audit_comparator(MAJOR(n->dev), f->op, f->val) ||
535                                             audit_comparator(MAJOR(n->rdev), f->op, f->val)) {
536                                                 ++result;
537                                                 break;
538                                         }
539                                 }
540                         }
541                         break;
542                 case AUDIT_DEVMINOR:
543                         if (name) {
544                                 if (audit_comparator(MINOR(name->dev), f->op, f->val) ||
545                                     audit_comparator(MINOR(name->rdev), f->op, f->val))
546                                         ++result;
547                         } else if (ctx) {
548                                 list_for_each_entry(n, &ctx->names_list, list) {
549                                         if (audit_comparator(MINOR(n->dev), f->op, f->val) ||
550                                             audit_comparator(MINOR(n->rdev), f->op, f->val)) {
551                                                 ++result;
552                                                 break;
553                                         }
554                                 }
555                         }
556                         break;
557                 case AUDIT_INODE:
558                         if (name)
559                                 result = audit_comparator(name->ino, f->op, f->val);
560                         else if (ctx) {
561                                 list_for_each_entry(n, &ctx->names_list, list) {
562                                         if (audit_comparator(n->ino, f->op, f->val)) {
563                                                 ++result;
564                                                 break;
565                                         }
566                                 }
567                         }
568                         break;
569                 case AUDIT_OBJ_UID:
570                         if (name) {
571                                 result = audit_uid_comparator(name->uid, f->op, f->uid);
572                         } else if (ctx) {
573                                 list_for_each_entry(n, &ctx->names_list, list) {
574                                         if (audit_uid_comparator(n->uid, f->op, f->uid)) {
575                                                 ++result;
576                                                 break;
577                                         }
578                                 }
579                         }
580                         break;
581                 case AUDIT_OBJ_GID:
582                         if (name) {
583                                 result = audit_gid_comparator(name->gid, f->op, f->gid);
584                         } else if (ctx) {
585                                 list_for_each_entry(n, &ctx->names_list, list) {
586                                         if (audit_gid_comparator(n->gid, f->op, f->gid)) {
587                                                 ++result;
588                                                 break;
589                                         }
590                                 }
591                         }
592                         break;
593                 case AUDIT_WATCH:
594                         if (name)
595                                 result = audit_watch_compare(rule->watch, name->ino, name->dev);
596                         break;
597                 case AUDIT_DIR:
598                         if (ctx)
599                                 result = match_tree_refs(ctx, rule->tree);
600                         break;
601                 case AUDIT_LOGINUID:
602                         result = audit_uid_comparator(tsk->loginuid, f->op, f->uid);
603                         break;
604                 case AUDIT_LOGINUID_SET:
605                         result = audit_comparator(audit_loginuid_set(tsk), f->op, f->val);
606                         break;
607                 case AUDIT_SUBJ_USER:
608                 case AUDIT_SUBJ_ROLE:
609                 case AUDIT_SUBJ_TYPE:
610                 case AUDIT_SUBJ_SEN:
611                 case AUDIT_SUBJ_CLR:
612                         /* NOTE: this may return negative values indicating
613                            a temporary error.  We simply treat this as a
614                            match for now to avoid losing information that
615                            may be wanted.   An error message will also be
616                            logged upon error */
617                         if (f->lsm_rule) {
618                                 if (need_sid) {
619                                         security_task_getsecid(tsk, &sid);
620                                         need_sid = 0;
621                                 }
622                                 result = security_audit_rule_match(sid, f->type,
623                                                                   f->op,
624                                                                   f->lsm_rule,
625                                                                   ctx);
626                         }
627                         break;
628                 case AUDIT_OBJ_USER:
629                 case AUDIT_OBJ_ROLE:
630                 case AUDIT_OBJ_TYPE:
631                 case AUDIT_OBJ_LEV_LOW:
632                 case AUDIT_OBJ_LEV_HIGH:
633                         /* The above note for AUDIT_SUBJ_USER...AUDIT_SUBJ_CLR
634                            also applies here */
635                         if (f->lsm_rule) {
636                                 /* Find files that match */
637                                 if (name) {
638                                         result = security_audit_rule_match(
639                                                    name->osid, f->type, f->op,
640                                                    f->lsm_rule, ctx);
641                                 } else if (ctx) {
642                                         list_for_each_entry(n, &ctx->names_list, list) {
643                                                 if (security_audit_rule_match(n->osid, f->type,
644                                                                               f->op, f->lsm_rule,
645                                                                               ctx)) {
646                                                         ++result;
647                                                         break;
648                                                 }
649                                         }
650                                 }
651                                 /* Find ipc objects that match */
652                                 if (!ctx || ctx->type != AUDIT_IPC)
653                                         break;
654                                 if (security_audit_rule_match(ctx->ipc.osid,
655                                                               f->type, f->op,
656                                                               f->lsm_rule, ctx))
657                                         ++result;
658                         }
659                         break;
660                 case AUDIT_ARG0:
661                 case AUDIT_ARG1:
662                 case AUDIT_ARG2:
663                 case AUDIT_ARG3:
664                         if (ctx)
665                                 result = audit_comparator(ctx->argv[f->type-AUDIT_ARG0], f->op, f->val);
666                         break;
667                 case AUDIT_FILTERKEY:
668                         /* ignore this field for filtering */
669                         result = 1;
670                         break;
671                 case AUDIT_PERM:
672                         result = audit_match_perm(ctx, f->val);
673                         break;
674                 case AUDIT_FILETYPE:
675                         result = audit_match_filetype(ctx, f->val);
676                         break;
677                 case AUDIT_FIELD_COMPARE:
678                         result = audit_field_compare(tsk, cred, f, ctx, name);
679                         break;
680                 }
681                 if (!result)
682                         return 0;
683         }
684
685         if (ctx) {
686                 if (rule->prio <= ctx->prio)
687                         return 0;
688                 if (rule->filterkey) {
689                         kfree(ctx->filterkey);
690                         ctx->filterkey = kstrdup(rule->filterkey, GFP_ATOMIC);
691                 }
692                 ctx->prio = rule->prio;
693         }
694         switch (rule->action) {
695         case AUDIT_NEVER:    *state = AUDIT_DISABLED;       break;
696         case AUDIT_ALWAYS:   *state = AUDIT_RECORD_CONTEXT; break;
697         }
698         return 1;
699 }
700
701 /* At process creation time, we can determine if system-call auditing is
702  * completely disabled for this task.  Since we only have the task
703  * structure at this point, we can only check uid and gid.
704  */
705 static enum audit_state audit_filter_task(struct task_struct *tsk, char **key)
706 {
707         struct audit_entry *e;
708         enum audit_state   state;
709
710         rcu_read_lock();
711         list_for_each_entry_rcu(e, &audit_filter_list[AUDIT_FILTER_TASK], list) {
712                 if (audit_filter_rules(tsk, &e->rule, NULL, NULL,
713                                        &state, true)) {
714                         if (state == AUDIT_RECORD_CONTEXT)
715                                 *key = kstrdup(e->rule.filterkey, GFP_ATOMIC);
716                         rcu_read_unlock();
717                         return state;
718                 }
719         }
720         rcu_read_unlock();
721         return AUDIT_BUILD_CONTEXT;
722 }
723
724 static int audit_in_mask(const struct audit_krule *rule, unsigned long val)
725 {
726         int word, bit;
727
728         if (val > 0xffffffff)
729                 return false;
730
731         word = AUDIT_WORD(val);
732         if (word >= AUDIT_BITMASK_SIZE)
733                 return false;
734
735         bit = AUDIT_BIT(val);
736
737         return rule->mask[word] & bit;
738 }
739
740 /* At syscall entry and exit time, this filter is called if the
741  * audit_state is not low enough that auditing cannot take place, but is
742  * also not high enough that we already know we have to write an audit
743  * record (i.e., the state is AUDIT_SETUP_CONTEXT or AUDIT_BUILD_CONTEXT).
744  */
745 static enum audit_state audit_filter_syscall(struct task_struct *tsk,
746                                              struct audit_context *ctx,
747                                              struct list_head *list)
748 {
749         struct audit_entry *e;
750         enum audit_state state;
751
752         if (audit_pid && tsk->tgid == audit_pid)
753                 return AUDIT_DISABLED;
754
755         rcu_read_lock();
756         if (!list_empty(list)) {
757                 list_for_each_entry_rcu(e, list, list) {
758                         if (audit_in_mask(&e->rule, ctx->major) &&
759                             audit_filter_rules(tsk, &e->rule, ctx, NULL,
760                                                &state, false)) {
761                                 rcu_read_unlock();
762                                 ctx->current_state = state;
763                                 return state;
764                         }
765                 }
766         }
767         rcu_read_unlock();
768         return AUDIT_BUILD_CONTEXT;
769 }
770
771 /*
772  * Given an audit_name check the inode hash table to see if they match.
773  * Called holding the rcu read lock to protect the use of audit_inode_hash
774  */
775 static int audit_filter_inode_name(struct task_struct *tsk,
776                                    struct audit_names *n,
777                                    struct audit_context *ctx) {
778         int h = audit_hash_ino((u32)n->ino);
779         struct list_head *list = &audit_inode_hash[h];
780         struct audit_entry *e;
781         enum audit_state state;
782
783         if (list_empty(list))
784                 return 0;
785
786         list_for_each_entry_rcu(e, list, list) {
787                 if (audit_in_mask(&e->rule, ctx->major) &&
788                     audit_filter_rules(tsk, &e->rule, ctx, n, &state, false)) {
789                         ctx->current_state = state;
790                         return 1;
791                 }
792         }
793
794         return 0;
795 }
796
797 /* At syscall exit time, this filter is called if any audit_names have been
798  * collected during syscall processing.  We only check rules in sublists at hash
799  * buckets applicable to the inode numbers in audit_names.
800  * Regarding audit_state, same rules apply as for audit_filter_syscall().
801  */
802 void audit_filter_inodes(struct task_struct *tsk, struct audit_context *ctx)
803 {
804         struct audit_names *n;
805
806         if (audit_pid && tsk->tgid == audit_pid)
807                 return;
808
809         rcu_read_lock();
810
811         list_for_each_entry(n, &ctx->names_list, list) {
812                 if (audit_filter_inode_name(tsk, n, ctx))
813                         break;
814         }
815         rcu_read_unlock();
816 }
817
818 /* Transfer the audit context pointer to the caller, clearing it in the tsk's struct */
819 static inline struct audit_context *audit_take_context(struct task_struct *tsk,
820                                                       int return_valid,
821                                                       long return_code)
822 {
823         struct audit_context *context = tsk->audit_context;
824
825         if (!context)
826                 return NULL;
827         context->return_valid = return_valid;
828
829         /*
830          * we need to fix up the return code in the audit logs if the actual
831          * return codes are later going to be fixed up by the arch specific
832          * signal handlers
833          *
834          * This is actually a test for:
835          * (rc == ERESTARTSYS ) || (rc == ERESTARTNOINTR) ||
836          * (rc == ERESTARTNOHAND) || (rc == ERESTART_RESTARTBLOCK)
837          *
838          * but is faster than a bunch of ||
839          */
840         if (unlikely(return_code <= -ERESTARTSYS) &&
841             (return_code >= -ERESTART_RESTARTBLOCK) &&
842             (return_code != -ENOIOCTLCMD))
843                 context->return_code = -EINTR;
844         else
845                 context->return_code  = return_code;
846
847         if (context->in_syscall && !context->dummy) {
848                 audit_filter_syscall(tsk, context, &audit_filter_list[AUDIT_FILTER_EXIT]);
849                 audit_filter_inodes(tsk, context);
850         }
851
852         tsk->audit_context = NULL;
853         return context;
854 }
855
856 static inline void audit_proctitle_free(struct audit_context *context)
857 {
858         kfree(context->proctitle.value);
859         context->proctitle.value = NULL;
860         context->proctitle.len = 0;
861 }
862
863 static inline void audit_free_names(struct audit_context *context)
864 {
865         struct audit_names *n, *next;
866
867         list_for_each_entry_safe(n, next, &context->names_list, list) {
868                 list_del(&n->list);
869                 if (n->name)
870                         putname(n->name);
871                 if (n->should_free)
872                         kfree(n);
873         }
874         context->name_count = 0;
875         path_put(&context->pwd);
876         context->pwd.dentry = NULL;
877         context->pwd.mnt = NULL;
878 }
879
880 static inline void audit_free_aux(struct audit_context *context)
881 {
882         struct audit_aux_data *aux;
883
884         while ((aux = context->aux)) {
885                 context->aux = aux->next;
886                 kfree(aux);
887         }
888         while ((aux = context->aux_pids)) {
889                 context->aux_pids = aux->next;
890                 kfree(aux);
891         }
892 }
893
894 static inline struct audit_context *audit_alloc_context(enum audit_state state)
895 {
896         struct audit_context *context;
897
898         context = kzalloc(sizeof(*context), GFP_KERNEL);
899         if (!context)
900                 return NULL;
901         context->state = state;
902         context->prio = state == AUDIT_RECORD_CONTEXT ? ~0ULL : 0;
903         INIT_LIST_HEAD(&context->killed_trees);
904         INIT_LIST_HEAD(&context->names_list);
905         return context;
906 }
907
908 /**
909  * audit_alloc - allocate an audit context block for a task
910  * @tsk: task
911  *
912  * Filter on the task information and allocate a per-task audit context
913  * if necessary.  Doing so turns on system call auditing for the
914  * specified task.  This is called from copy_process, so no lock is
915  * needed.
916  */
917 int audit_alloc(struct task_struct *tsk)
918 {
919         struct audit_context *context;
920         enum audit_state     state;
921         char *key = NULL;
922
923         if (likely(!audit_ever_enabled))
924                 return 0; /* Return if not auditing. */
925
926         state = audit_filter_task(tsk, &key);
927         if (state == AUDIT_DISABLED) {
928                 clear_tsk_thread_flag(tsk, TIF_SYSCALL_AUDIT);
929                 return 0;
930         }
931
932         if (!(context = audit_alloc_context(state))) {
933                 kfree(key);
934                 audit_log_lost("out of memory in audit_alloc");
935                 return -ENOMEM;
936         }
937         context->filterkey = key;
938
939         tsk->audit_context  = context;
940         set_tsk_thread_flag(tsk, TIF_SYSCALL_AUDIT);
941         return 0;
942 }
943
944 static inline void audit_free_context(struct audit_context *context)
945 {
946         audit_free_names(context);
947         unroll_tree_refs(context, NULL, 0);
948         free_tree_refs(context);
949         audit_free_aux(context);
950         kfree(context->filterkey);
951         kfree(context->sockaddr);
952         audit_proctitle_free(context);
953         kfree(context);
954 }
955
956 static int audit_log_pid_context(struct audit_context *context, pid_t pid,
957                                  kuid_t auid, kuid_t uid, unsigned int sessionid,
958                                  u32 sid, char *comm)
959 {
960         struct audit_buffer *ab;
961         char *ctx = NULL;
962         u32 len;
963         int rc = 0;
964
965         ab = audit_log_start(context, GFP_KERNEL, AUDIT_OBJ_PID);
966         if (!ab)
967                 return rc;
968
969         audit_log_format(ab, "opid=%d oauid=%d ouid=%d oses=%d", pid,
970                          from_kuid(&init_user_ns, auid),
971                          from_kuid(&init_user_ns, uid), sessionid);
972         if (sid) {
973                 if (security_secid_to_secctx(sid, &ctx, &len)) {
974                         audit_log_format(ab, " obj=(none)");
975                         rc = 1;
976                 } else {
977                         audit_log_format(ab, " obj=%s", ctx);
978                         security_release_secctx(ctx, len);
979                 }
980         }
981         audit_log_format(ab, " ocomm=");
982         audit_log_untrustedstring(ab, comm);
983         audit_log_end(ab);
984
985         return rc;
986 }
987
988 /*
989  * to_send and len_sent accounting are very loose estimates.  We aren't
990  * really worried about a hard cap to MAX_EXECVE_AUDIT_LEN so much as being
991  * within about 500 bytes (next page boundary)
992  *
993  * why snprintf?  an int is up to 12 digits long.  if we just assumed when
994  * logging that a[%d]= was going to be 16 characters long we would be wasting
995  * space in every audit message.  In one 7500 byte message we can log up to
996  * about 1000 min size arguments.  That comes down to about 50% waste of space
997  * if we didn't do the snprintf to find out how long arg_num_len was.
998  */
999 static int audit_log_single_execve_arg(struct audit_context *context,
1000                                         struct audit_buffer **ab,
1001                                         int arg_num,
1002                                         size_t *len_sent,
1003                                         const char __user *p,
1004                                         char *buf)
1005 {
1006         char arg_num_len_buf[12];
1007         const char __user *tmp_p = p;
1008         /* how many digits are in arg_num? 5 is the length of ' a=""' */
1009         size_t arg_num_len = snprintf(arg_num_len_buf, 12, "%d", arg_num) + 5;
1010         size_t len, len_left, to_send;
1011         size_t max_execve_audit_len = MAX_EXECVE_AUDIT_LEN;
1012         unsigned int i, has_cntl = 0, too_long = 0;
1013         int ret;
1014
1015         /* strnlen_user includes the null we don't want to send */
1016         len_left = len = strnlen_user(p, MAX_ARG_STRLEN) - 1;
1017
1018         /*
1019          * We just created this mm, if we can't find the strings
1020          * we just copied into it something is _very_ wrong. Similar
1021          * for strings that are too long, we should not have created
1022          * any.
1023          */
1024         if (WARN_ON_ONCE(len < 0 || len > MAX_ARG_STRLEN - 1)) {
1025                 send_sig(SIGKILL, current, 0);
1026                 return -1;
1027         }
1028
1029         /* walk the whole argument looking for non-ascii chars */
1030         do {
1031                 if (len_left > MAX_EXECVE_AUDIT_LEN)
1032                         to_send = MAX_EXECVE_AUDIT_LEN;
1033                 else
1034                         to_send = len_left;
1035                 ret = copy_from_user(buf, tmp_p, to_send);
1036                 /*
1037                  * There is no reason for this copy to be short. We just
1038                  * copied them here, and the mm hasn't been exposed to user-
1039                  * space yet.
1040                  */
1041                 if (ret) {
1042                         WARN_ON(1);
1043                         send_sig(SIGKILL, current, 0);
1044                         return -1;
1045                 }
1046                 buf[to_send] = '\0';
1047                 has_cntl = audit_string_contains_control(buf, to_send);
1048                 if (has_cntl) {
1049                         /*
1050                          * hex messages get logged as 2 bytes, so we can only
1051                          * send half as much in each message
1052                          */
1053                         max_execve_audit_len = MAX_EXECVE_AUDIT_LEN / 2;
1054                         break;
1055                 }
1056                 len_left -= to_send;
1057                 tmp_p += to_send;
1058         } while (len_left > 0);
1059
1060         len_left = len;
1061
1062         if (len > max_execve_audit_len)
1063                 too_long = 1;
1064
1065         /* rewalk the argument actually logging the message */
1066         for (i = 0; len_left > 0; i++) {
1067                 int room_left;
1068
1069                 if (len_left > max_execve_audit_len)
1070                         to_send = max_execve_audit_len;
1071                 else
1072                         to_send = len_left;
1073
1074                 /* do we have space left to send this argument in this ab? */
1075                 room_left = MAX_EXECVE_AUDIT_LEN - arg_num_len - *len_sent;
1076                 if (has_cntl)
1077                         room_left -= (to_send * 2);
1078                 else
1079                         room_left -= to_send;
1080                 if (room_left < 0) {
1081                         *len_sent = 0;
1082                         audit_log_end(*ab);
1083                         *ab = audit_log_start(context, GFP_KERNEL, AUDIT_EXECVE);
1084                         if (!*ab)
1085                                 return 0;
1086                 }
1087
1088                 /*
1089                  * first record needs to say how long the original string was
1090                  * so we can be sure nothing was lost.
1091                  */
1092                 if ((i == 0) && (too_long))
1093                         audit_log_format(*ab, " a%d_len=%zu", arg_num,
1094                                          has_cntl ? 2*len : len);
1095
1096                 /*
1097                  * normally arguments are small enough to fit and we already
1098                  * filled buf above when we checked for control characters
1099                  * so don't bother with another copy_from_user
1100                  */
1101                 if (len >= max_execve_audit_len)
1102                         ret = copy_from_user(buf, p, to_send);
1103                 else
1104                         ret = 0;
1105                 if (ret) {
1106                         WARN_ON(1);
1107                         send_sig(SIGKILL, current, 0);
1108                         return -1;
1109                 }
1110                 buf[to_send] = '\0';
1111
1112                 /* actually log it */
1113                 audit_log_format(*ab, " a%d", arg_num);
1114                 if (too_long)
1115                         audit_log_format(*ab, "[%d]", i);
1116                 audit_log_format(*ab, "=");
1117                 if (has_cntl)
1118                         audit_log_n_hex(*ab, buf, to_send);
1119                 else
1120                         audit_log_string(*ab, buf);
1121
1122                 p += to_send;
1123                 len_left -= to_send;
1124                 *len_sent += arg_num_len;
1125                 if (has_cntl)
1126                         *len_sent += to_send * 2;
1127                 else
1128                         *len_sent += to_send;
1129         }
1130         /* include the null we didn't log */
1131         return len + 1;
1132 }
1133
1134 static void audit_log_execve_info(struct audit_context *context,
1135                                   struct audit_buffer **ab)
1136 {
1137         int i, len;
1138         size_t len_sent = 0;
1139         const char __user *p;
1140         char *buf;
1141
1142         p = (const char __user *)current->mm->arg_start;
1143
1144         audit_log_format(*ab, "argc=%d", context->execve.argc);
1145
1146         /*
1147          * we need some kernel buffer to hold the userspace args.  Just
1148          * allocate one big one rather than allocating one of the right size
1149          * for every single argument inside audit_log_single_execve_arg()
1150          * should be <8k allocation so should be pretty safe.
1151          */
1152         buf = kmalloc(MAX_EXECVE_AUDIT_LEN + 1, GFP_KERNEL);
1153         if (!buf) {
1154                 audit_panic("out of memory for argv string");
1155                 return;
1156         }
1157
1158         for (i = 0; i < context->execve.argc; i++) {
1159                 len = audit_log_single_execve_arg(context, ab, i,
1160                                                   &len_sent, p, buf);
1161                 if (len <= 0)
1162                         break;
1163                 p += len;
1164         }
1165         kfree(buf);
1166 }
1167
1168 static void show_special(struct audit_context *context, int *call_panic)
1169 {
1170         struct audit_buffer *ab;
1171         int i;
1172
1173         ab = audit_log_start(context, GFP_KERNEL, context->type);
1174         if (!ab)
1175                 return;
1176
1177         switch (context->type) {
1178         case AUDIT_SOCKETCALL: {
1179                 int nargs = context->socketcall.nargs;
1180                 audit_log_format(ab, "nargs=%d", nargs);
1181                 for (i = 0; i < nargs; i++)
1182                         audit_log_format(ab, " a%d=%lx", i,
1183                                 context->socketcall.args[i]);
1184                 break; }
1185         case AUDIT_IPC: {
1186                 u32 osid = context->ipc.osid;
1187
1188                 audit_log_format(ab, "ouid=%u ogid=%u mode=%#ho",
1189                                  from_kuid(&init_user_ns, context->ipc.uid),
1190                                  from_kgid(&init_user_ns, context->ipc.gid),
1191                                  context->ipc.mode);
1192                 if (osid) {
1193                         char *ctx = NULL;
1194                         u32 len;
1195                         if (security_secid_to_secctx(osid, &ctx, &len)) {
1196                                 audit_log_format(ab, " osid=%u", osid);
1197                                 *call_panic = 1;
1198                         } else {
1199                                 audit_log_format(ab, " obj=%s", ctx);
1200                                 security_release_secctx(ctx, len);
1201                         }
1202                 }
1203                 if (context->ipc.has_perm) {
1204                         audit_log_end(ab);
1205                         ab = audit_log_start(context, GFP_KERNEL,
1206                                              AUDIT_IPC_SET_PERM);
1207                         if (unlikely(!ab))
1208                                 return;
1209                         audit_log_format(ab,
1210                                 "qbytes=%lx ouid=%u ogid=%u mode=%#ho",
1211                                 context->ipc.qbytes,
1212                                 context->ipc.perm_uid,
1213                                 context->ipc.perm_gid,
1214                                 context->ipc.perm_mode);
1215                 }
1216                 break; }
1217         case AUDIT_MQ_OPEN: {
1218                 audit_log_format(ab,
1219                         "oflag=0x%x mode=%#ho mq_flags=0x%lx mq_maxmsg=%ld "
1220                         "mq_msgsize=%ld mq_curmsgs=%ld",
1221                         context->mq_open.oflag, context->mq_open.mode,
1222                         context->mq_open.attr.mq_flags,
1223                         context->mq_open.attr.mq_maxmsg,
1224                         context->mq_open.attr.mq_msgsize,
1225                         context->mq_open.attr.mq_curmsgs);
1226                 break; }
1227         case AUDIT_MQ_SENDRECV: {
1228                 audit_log_format(ab,
1229                         "mqdes=%d msg_len=%zd msg_prio=%u "
1230                         "abs_timeout_sec=%ld abs_timeout_nsec=%ld",
1231                         context->mq_sendrecv.mqdes,
1232                         context->mq_sendrecv.msg_len,
1233                         context->mq_sendrecv.msg_prio,
1234                         context->mq_sendrecv.abs_timeout.tv_sec,
1235                         context->mq_sendrecv.abs_timeout.tv_nsec);
1236                 break; }
1237         case AUDIT_MQ_NOTIFY: {
1238                 audit_log_format(ab, "mqdes=%d sigev_signo=%d",
1239                                 context->mq_notify.mqdes,
1240                                 context->mq_notify.sigev_signo);
1241                 break; }
1242         case AUDIT_MQ_GETSETATTR: {
1243                 struct mq_attr *attr = &context->mq_getsetattr.mqstat;
1244                 audit_log_format(ab,
1245                         "mqdes=%d mq_flags=0x%lx mq_maxmsg=%ld mq_msgsize=%ld "
1246                         "mq_curmsgs=%ld ",
1247                         context->mq_getsetattr.mqdes,
1248                         attr->mq_flags, attr->mq_maxmsg,
1249                         attr->mq_msgsize, attr->mq_curmsgs);
1250                 break; }
1251         case AUDIT_CAPSET: {
1252                 audit_log_format(ab, "pid=%d", context->capset.pid);
1253                 audit_log_cap(ab, "cap_pi", &context->capset.cap.inheritable);
1254                 audit_log_cap(ab, "cap_pp", &context->capset.cap.permitted);
1255                 audit_log_cap(ab, "cap_pe", &context->capset.cap.effective);
1256                 break; }
1257         case AUDIT_MMAP: {
1258                 audit_log_format(ab, "fd=%d flags=0x%x", context->mmap.fd,
1259                                  context->mmap.flags);
1260                 break; }
1261         case AUDIT_EXECVE: {
1262                 audit_log_execve_info(context, &ab);
1263                 break; }
1264         }
1265         audit_log_end(ab);
1266 }
1267
1268 static inline int audit_proctitle_rtrim(char *proctitle, int len)
1269 {
1270         char *end = proctitle + len - 1;
1271         while (end > proctitle && !isprint(*end))
1272                 end--;
1273
1274         /* catch the case where proctitle is only 1 non-print character */
1275         len = end - proctitle + 1;
1276         len -= isprint(proctitle[len-1]) == 0;
1277         return len;
1278 }
1279
1280 static void audit_log_proctitle(struct task_struct *tsk,
1281                          struct audit_context *context)
1282 {
1283         int res;
1284         char *buf;
1285         char *msg = "(null)";
1286         int len = strlen(msg);
1287         struct audit_buffer *ab;
1288
1289         ab = audit_log_start(context, GFP_KERNEL, AUDIT_PROCTITLE);
1290         if (!ab)
1291                 return; /* audit_panic or being filtered */
1292
1293         audit_log_format(ab, "proctitle=");
1294
1295         /* Not  cached */
1296         if (!context->proctitle.value) {
1297                 buf = kmalloc(MAX_PROCTITLE_AUDIT_LEN, GFP_KERNEL);
1298                 if (!buf)
1299                         goto out;
1300                 /* Historically called this from procfs naming */
1301                 res = get_cmdline(tsk, buf, MAX_PROCTITLE_AUDIT_LEN);
1302                 if (res == 0) {
1303                         kfree(buf);
1304                         goto out;
1305                 }
1306                 res = audit_proctitle_rtrim(buf, res);
1307                 if (res == 0) {
1308                         kfree(buf);
1309                         goto out;
1310                 }
1311                 context->proctitle.value = buf;
1312                 context->proctitle.len = res;
1313         }
1314         msg = context->proctitle.value;
1315         len = context->proctitle.len;
1316 out:
1317         audit_log_n_untrustedstring(ab, msg, len);
1318         audit_log_end(ab);
1319 }
1320
1321 static void audit_log_exit(struct audit_context *context, struct task_struct *tsk)
1322 {
1323         int i, call_panic = 0;
1324         struct audit_buffer *ab;
1325         struct audit_aux_data *aux;
1326         struct audit_names *n;
1327
1328         /* tsk == current */
1329         context->personality = tsk->personality;
1330
1331         ab = audit_log_start(context, GFP_KERNEL, AUDIT_SYSCALL);
1332         if (!ab)
1333                 return;         /* audit_panic has been called */
1334         audit_log_format(ab, "arch=%x syscall=%d",
1335                          context->arch, context->major);
1336         if (context->personality != PER_LINUX)
1337                 audit_log_format(ab, " per=%lx", context->personality);
1338         if (context->return_valid)
1339                 audit_log_format(ab, " success=%s exit=%ld",
1340                                  (context->return_valid==AUDITSC_SUCCESS)?"yes":"no",
1341                                  context->return_code);
1342
1343         audit_log_format(ab,
1344                          " a0=%lx a1=%lx a2=%lx a3=%lx items=%d",
1345                          context->argv[0],
1346                          context->argv[1],
1347                          context->argv[2],
1348                          context->argv[3],
1349                          context->name_count);
1350
1351         audit_log_task_info(ab, tsk);
1352         audit_log_key(ab, context->filterkey);
1353         audit_log_end(ab);
1354
1355         for (aux = context->aux; aux; aux = aux->next) {
1356
1357                 ab = audit_log_start(context, GFP_KERNEL, aux->type);
1358                 if (!ab)
1359                         continue; /* audit_panic has been called */
1360
1361                 switch (aux->type) {
1362
1363                 case AUDIT_BPRM_FCAPS: {
1364                         struct audit_aux_data_bprm_fcaps *axs = (void *)aux;
1365                         audit_log_format(ab, "fver=%x", axs->fcap_ver);
1366                         audit_log_cap(ab, "fp", &axs->fcap.permitted);
1367                         audit_log_cap(ab, "fi", &axs->fcap.inheritable);
1368                         audit_log_format(ab, " fe=%d", axs->fcap.fE);
1369                         audit_log_cap(ab, "old_pp", &axs->old_pcap.permitted);
1370                         audit_log_cap(ab, "old_pi", &axs->old_pcap.inheritable);
1371                         audit_log_cap(ab, "old_pe", &axs->old_pcap.effective);
1372                         audit_log_cap(ab, "new_pp", &axs->new_pcap.permitted);
1373                         audit_log_cap(ab, "new_pi", &axs->new_pcap.inheritable);
1374                         audit_log_cap(ab, "new_pe", &axs->new_pcap.effective);
1375                         break; }
1376
1377                 }
1378                 audit_log_end(ab);
1379         }
1380
1381         if (context->type)
1382                 show_special(context, &call_panic);
1383
1384         if (context->fds[0] >= 0) {
1385                 ab = audit_log_start(context, GFP_KERNEL, AUDIT_FD_PAIR);
1386                 if (ab) {
1387                         audit_log_format(ab, "fd0=%d fd1=%d",
1388                                         context->fds[0], context->fds[1]);
1389                         audit_log_end(ab);
1390                 }
1391         }
1392
1393         if (context->sockaddr_len) {
1394                 ab = audit_log_start(context, GFP_KERNEL, AUDIT_SOCKADDR);
1395                 if (ab) {
1396                         audit_log_format(ab, "saddr=");
1397                         audit_log_n_hex(ab, (void *)context->sockaddr,
1398                                         context->sockaddr_len);
1399                         audit_log_end(ab);
1400                 }
1401         }
1402
1403         for (aux = context->aux_pids; aux; aux = aux->next) {
1404                 struct audit_aux_data_pids *axs = (void *)aux;
1405
1406                 for (i = 0; i < axs->pid_count; i++)
1407                         if (audit_log_pid_context(context, axs->target_pid[i],
1408                                                   axs->target_auid[i],
1409                                                   axs->target_uid[i],
1410                                                   axs->target_sessionid[i],
1411                                                   axs->target_sid[i],
1412                                                   axs->target_comm[i]))
1413                                 call_panic = 1;
1414         }
1415
1416         if (context->target_pid &&
1417             audit_log_pid_context(context, context->target_pid,
1418                                   context->target_auid, context->target_uid,
1419                                   context->target_sessionid,
1420                                   context->target_sid, context->target_comm))
1421                         call_panic = 1;
1422
1423         if (context->pwd.dentry && context->pwd.mnt) {
1424                 ab = audit_log_start(context, GFP_KERNEL, AUDIT_CWD);
1425                 if (ab) {
1426                         audit_log_d_path(ab, " cwd=", &context->pwd);
1427                         audit_log_end(ab);
1428                 }
1429         }
1430
1431         i = 0;
1432         list_for_each_entry(n, &context->names_list, list) {
1433                 if (n->hidden)
1434                         continue;
1435                 audit_log_name(context, n, NULL, i++, &call_panic);
1436         }
1437
1438         audit_log_proctitle(tsk, context);
1439
1440         /* Send end of event record to help user space know we are finished */
1441         ab = audit_log_start(context, GFP_KERNEL, AUDIT_EOE);
1442         if (ab)
1443                 audit_log_end(ab);
1444         if (call_panic)
1445                 audit_panic("error converting sid to string");
1446 }
1447
1448 /**
1449  * audit_free - free a per-task audit context
1450  * @tsk: task whose audit context block to free
1451  *
1452  * Called from copy_process and do_exit
1453  */
1454 void __audit_free(struct task_struct *tsk)
1455 {
1456         struct audit_context *context;
1457
1458         context = audit_take_context(tsk, 0, 0);
1459         if (!context)
1460                 return;
1461
1462         /* Check for system calls that do not go through the exit
1463          * function (e.g., exit_group), then free context block.
1464          * We use GFP_ATOMIC here because we might be doing this
1465          * in the context of the idle thread */
1466         /* that can happen only if we are called from do_exit() */
1467         if (context->in_syscall && context->current_state == AUDIT_RECORD_CONTEXT)
1468                 audit_log_exit(context, tsk);
1469         if (!list_empty(&context->killed_trees))
1470                 audit_kill_trees(&context->killed_trees);
1471
1472         audit_free_context(context);
1473 }
1474
1475 /**
1476  * audit_syscall_entry - fill in an audit record at syscall entry
1477  * @major: major syscall type (function)
1478  * @a1: additional syscall register 1
1479  * @a2: additional syscall register 2
1480  * @a3: additional syscall register 3
1481  * @a4: additional syscall register 4
1482  *
1483  * Fill in audit context at syscall entry.  This only happens if the
1484  * audit context was created when the task was created and the state or
1485  * filters demand the audit context be built.  If the state from the
1486  * per-task filter or from the per-syscall filter is AUDIT_RECORD_CONTEXT,
1487  * then the record will be written at syscall exit time (otherwise, it
1488  * will only be written if another part of the kernel requests that it
1489  * be written).
1490  */
1491 void __audit_syscall_entry(int major, unsigned long a1, unsigned long a2,
1492                            unsigned long a3, unsigned long a4)
1493 {
1494         struct task_struct *tsk = current;
1495         struct audit_context *context = tsk->audit_context;
1496         enum audit_state     state;
1497
1498         if (!context)
1499                 return;
1500
1501         BUG_ON(context->in_syscall || context->name_count);
1502
1503         if (!audit_enabled)
1504                 return;
1505
1506         context->arch       = syscall_get_arch();
1507         context->major      = major;
1508         context->argv[0]    = a1;
1509         context->argv[1]    = a2;
1510         context->argv[2]    = a3;
1511         context->argv[3]    = a4;
1512
1513         state = context->state;
1514         context->dummy = !audit_n_rules;
1515         if (!context->dummy && state == AUDIT_BUILD_CONTEXT) {
1516                 context->prio = 0;
1517                 state = audit_filter_syscall(tsk, context, &audit_filter_list[AUDIT_FILTER_ENTRY]);
1518         }
1519         if (state == AUDIT_DISABLED)
1520                 return;
1521
1522         context->serial     = 0;
1523         context->ctime      = CURRENT_TIME;
1524         context->in_syscall = 1;
1525         context->current_state  = state;
1526         context->ppid       = 0;
1527 }
1528
1529 /**
1530  * audit_syscall_exit - deallocate audit context after a system call
1531  * @success: success value of the syscall
1532  * @return_code: return value of the syscall
1533  *
1534  * Tear down after system call.  If the audit context has been marked as
1535  * auditable (either because of the AUDIT_RECORD_CONTEXT state from
1536  * filtering, or because some other part of the kernel wrote an audit
1537  * message), then write out the syscall information.  In call cases,
1538  * free the names stored from getname().
1539  */
1540 void __audit_syscall_exit(int success, long return_code)
1541 {
1542         struct task_struct *tsk = current;
1543         struct audit_context *context;
1544
1545         if (success)
1546                 success = AUDITSC_SUCCESS;
1547         else
1548                 success = AUDITSC_FAILURE;
1549
1550         context = audit_take_context(tsk, success, return_code);
1551         if (!context)
1552                 return;
1553
1554         if (context->in_syscall && context->current_state == AUDIT_RECORD_CONTEXT)
1555                 audit_log_exit(context, tsk);
1556
1557         context->in_syscall = 0;
1558         context->prio = context->state == AUDIT_RECORD_CONTEXT ? ~0ULL : 0;
1559
1560         if (!list_empty(&context->killed_trees))
1561                 audit_kill_trees(&context->killed_trees);
1562
1563         audit_free_names(context);
1564         unroll_tree_refs(context, NULL, 0);
1565         audit_free_aux(context);
1566         context->aux = NULL;
1567         context->aux_pids = NULL;
1568         context->target_pid = 0;
1569         context->target_sid = 0;
1570         context->sockaddr_len = 0;
1571         context->type = 0;
1572         context->fds[0] = -1;
1573         if (context->state != AUDIT_RECORD_CONTEXT) {
1574                 kfree(context->filterkey);
1575                 context->filterkey = NULL;
1576         }
1577         tsk->audit_context = context;
1578 }
1579
1580 static inline void handle_one(const struct inode *inode)
1581 {
1582 #ifdef CONFIG_AUDIT_TREE
1583         struct audit_context *context;
1584         struct audit_tree_refs *p;
1585         struct audit_chunk *chunk;
1586         int count;
1587         if (likely(hlist_empty(&inode->i_fsnotify_marks)))
1588                 return;
1589         context = current->audit_context;
1590         p = context->trees;
1591         count = context->tree_count;
1592         rcu_read_lock();
1593         chunk = audit_tree_lookup(inode);
1594         rcu_read_unlock();
1595         if (!chunk)
1596                 return;
1597         if (likely(put_tree_ref(context, chunk)))
1598                 return;
1599         if (unlikely(!grow_tree_refs(context))) {
1600                 pr_warn("out of memory, audit has lost a tree reference\n");
1601                 audit_set_auditable(context);
1602                 audit_put_chunk(chunk);
1603                 unroll_tree_refs(context, p, count);
1604                 return;
1605         }
1606         put_tree_ref(context, chunk);
1607 #endif
1608 }
1609
1610 static void handle_path(const struct dentry *dentry)
1611 {
1612 #ifdef CONFIG_AUDIT_TREE
1613         struct audit_context *context;
1614         struct audit_tree_refs *p;
1615         const struct dentry *d, *parent;
1616         struct audit_chunk *drop;
1617         unsigned long seq;
1618         int count;
1619
1620         context = current->audit_context;
1621         p = context->trees;
1622         count = context->tree_count;
1623 retry:
1624         drop = NULL;
1625         d = dentry;
1626         rcu_read_lock();
1627         seq = read_seqbegin(&rename_lock);
1628         for(;;) {
1629                 struct inode *inode = d_backing_inode(d);
1630                 if (inode && unlikely(!hlist_empty(&inode->i_fsnotify_marks))) {
1631                         struct audit_chunk *chunk;
1632                         chunk = audit_tree_lookup(inode);
1633                         if (chunk) {
1634                                 if (unlikely(!put_tree_ref(context, chunk))) {
1635                                         drop = chunk;
1636                                         break;
1637                                 }
1638                         }
1639                 }
1640                 parent = d->d_parent;
1641                 if (parent == d)
1642                         break;
1643                 d = parent;
1644         }
1645         if (unlikely(read_seqretry(&rename_lock, seq) || drop)) {  /* in this order */
1646                 rcu_read_unlock();
1647                 if (!drop) {
1648                         /* just a race with rename */
1649                         unroll_tree_refs(context, p, count);
1650                         goto retry;
1651                 }
1652                 audit_put_chunk(drop);
1653                 if (grow_tree_refs(context)) {
1654                         /* OK, got more space */
1655                         unroll_tree_refs(context, p, count);
1656                         goto retry;
1657                 }
1658                 /* too bad */
1659                 pr_warn("out of memory, audit has lost a tree reference\n");
1660                 unroll_tree_refs(context, p, count);
1661                 audit_set_auditable(context);
1662                 return;
1663         }
1664         rcu_read_unlock();
1665 #endif
1666 }
1667
1668 static struct audit_names *audit_alloc_name(struct audit_context *context,
1669                                                 unsigned char type)
1670 {
1671         struct audit_names *aname;
1672
1673         if (context->name_count < AUDIT_NAMES) {
1674                 aname = &context->preallocated_names[context->name_count];
1675                 memset(aname, 0, sizeof(*aname));
1676         } else {
1677                 aname = kzalloc(sizeof(*aname), GFP_NOFS);
1678                 if (!aname)
1679                         return NULL;
1680                 aname->should_free = true;
1681         }
1682
1683         aname->ino = (unsigned long)-1;
1684         aname->type = type;
1685         list_add_tail(&aname->list, &context->names_list);
1686
1687         context->name_count++;
1688         return aname;
1689 }
1690
1691 /**
1692  * audit_reusename - fill out filename with info from existing entry
1693  * @uptr: userland ptr to pathname
1694  *
1695  * Search the audit_names list for the current audit context. If there is an
1696  * existing entry with a matching "uptr" then return the filename
1697  * associated with that audit_name. If not, return NULL.
1698  */
1699 struct filename *
1700 __audit_reusename(const __user char *uptr)
1701 {
1702         struct audit_context *context = current->audit_context;
1703         struct audit_names *n;
1704
1705         list_for_each_entry(n, &context->names_list, list) {
1706                 if (!n->name)
1707                         continue;
1708                 if (n->name->uptr == uptr) {
1709                         n->name->refcnt++;
1710                         return n->name;
1711                 }
1712         }
1713         return NULL;
1714 }
1715
1716 /**
1717  * audit_getname - add a name to the list
1718  * @name: name to add
1719  *
1720  * Add a name to the list of audit names for this context.
1721  * Called from fs/namei.c:getname().
1722  */
1723 void __audit_getname(struct filename *name)
1724 {
1725         struct audit_context *context = current->audit_context;
1726         struct audit_names *n;
1727
1728         if (!context->in_syscall)
1729                 return;
1730
1731         n = audit_alloc_name(context, AUDIT_TYPE_UNKNOWN);
1732         if (!n)
1733                 return;
1734
1735         n->name = name;
1736         n->name_len = AUDIT_NAME_FULL;
1737         name->aname = n;
1738         name->refcnt++;
1739
1740         if (!context->pwd.dentry)
1741                 get_fs_pwd(current->fs, &context->pwd);
1742 }
1743
1744 /**
1745  * __audit_inode - store the inode and device from a lookup
1746  * @name: name being audited
1747  * @dentry: dentry being audited
1748  * @flags: attributes for this particular entry
1749  */
1750 void __audit_inode(struct filename *name, const struct dentry *dentry,
1751                    unsigned int flags)
1752 {
1753         struct audit_context *context = current->audit_context;
1754         const struct inode *inode = d_backing_inode(dentry);
1755         struct audit_names *n;
1756         bool parent = flags & AUDIT_INODE_PARENT;
1757
1758         if (!context->in_syscall)
1759                 return;
1760
1761         if (!name)
1762                 goto out_alloc;
1763
1764         /*
1765          * If we have a pointer to an audit_names entry already, then we can
1766          * just use it directly if the type is correct.
1767          */
1768         n = name->aname;
1769         if (n) {
1770                 if (parent) {
1771                         if (n->type == AUDIT_TYPE_PARENT ||
1772                             n->type == AUDIT_TYPE_UNKNOWN)
1773                                 goto out;
1774                 } else {
1775                         if (n->type != AUDIT_TYPE_PARENT)
1776                                 goto out;
1777                 }
1778         }
1779
1780         list_for_each_entry_reverse(n, &context->names_list, list) {
1781                 if (n->ino) {
1782                         /* valid inode number, use that for the comparison */
1783                         if (n->ino != inode->i_ino ||
1784                             n->dev != inode->i_sb->s_dev)
1785                                 continue;
1786                 } else if (n->name) {
1787                         /* inode number has not been set, check the name */
1788                         if (strcmp(n->name->name, name->name))
1789                                 continue;
1790                 } else
1791                         /* no inode and no name (?!) ... this is odd ... */
1792                         continue;
1793
1794                 /* match the correct record type */
1795                 if (parent) {
1796                         if (n->type == AUDIT_TYPE_PARENT ||
1797                             n->type == AUDIT_TYPE_UNKNOWN)
1798                                 goto out;
1799                 } else {
1800                         if (n->type != AUDIT_TYPE_PARENT)
1801                                 goto out;
1802                 }
1803         }
1804
1805 out_alloc:
1806         /* unable to find an entry with both a matching name and type */
1807         n = audit_alloc_name(context, AUDIT_TYPE_UNKNOWN);
1808         if (!n)
1809                 return;
1810         if (name) {
1811                 n->name = name;
1812                 name->refcnt++;
1813         }
1814
1815 out:
1816         if (parent) {
1817                 n->name_len = n->name ? parent_len(n->name->name) : AUDIT_NAME_FULL;
1818                 n->type = AUDIT_TYPE_PARENT;
1819                 if (flags & AUDIT_INODE_HIDDEN)
1820                         n->hidden = true;
1821         } else {
1822                 n->name_len = AUDIT_NAME_FULL;
1823                 n->type = AUDIT_TYPE_NORMAL;
1824         }
1825         handle_path(dentry);
1826         audit_copy_inode(n, dentry, inode);
1827 }
1828
1829 void __audit_file(const struct file *file)
1830 {
1831         __audit_inode(NULL, file->f_path.dentry, 0);
1832 }
1833
1834 /**
1835  * __audit_inode_child - collect inode info for created/removed objects
1836  * @parent: inode of dentry parent
1837  * @dentry: dentry being audited
1838  * @type:   AUDIT_TYPE_* value that we're looking for
1839  *
1840  * For syscalls that create or remove filesystem objects, audit_inode
1841  * can only collect information for the filesystem object's parent.
1842  * This call updates the audit context with the child's information.
1843  * Syscalls that create a new filesystem object must be hooked after
1844  * the object is created.  Syscalls that remove a filesystem object
1845  * must be hooked prior, in order to capture the target inode during
1846  * unsuccessful attempts.
1847  */
1848 void __audit_inode_child(const struct inode *parent,
1849                          const struct dentry *dentry,
1850                          const unsigned char type)
1851 {
1852         struct audit_context *context = current->audit_context;
1853         const struct inode *inode = d_backing_inode(dentry);
1854         const char *dname = dentry->d_name.name;
1855         struct audit_names *n, *found_parent = NULL, *found_child = NULL;
1856
1857         if (!context->in_syscall)
1858                 return;
1859
1860         if (inode)
1861                 handle_one(inode);
1862
1863         /* look for a parent entry first */
1864         list_for_each_entry(n, &context->names_list, list) {
1865                 if (!n->name ||
1866                     (n->type != AUDIT_TYPE_PARENT &&
1867                      n->type != AUDIT_TYPE_UNKNOWN))
1868                         continue;
1869
1870                 if (n->ino == parent->i_ino && n->dev == parent->i_sb->s_dev &&
1871                     !audit_compare_dname_path(dname,
1872                                               n->name->name, n->name_len)) {
1873                         if (n->type == AUDIT_TYPE_UNKNOWN)
1874                                 n->type = AUDIT_TYPE_PARENT;
1875                         found_parent = n;
1876                         break;
1877                 }
1878         }
1879
1880         /* is there a matching child entry? */
1881         list_for_each_entry(n, &context->names_list, list) {
1882                 /* can only match entries that have a name */
1883                 if (!n->name ||
1884                     (n->type != type && n->type != AUDIT_TYPE_UNKNOWN))
1885                         continue;
1886
1887                 if (!strcmp(dname, n->name->name) ||
1888                     !audit_compare_dname_path(dname, n->name->name,
1889                                                 found_parent ?
1890                                                 found_parent->name_len :
1891                                                 AUDIT_NAME_FULL)) {
1892                         if (n->type == AUDIT_TYPE_UNKNOWN)
1893                                 n->type = type;
1894                         found_child = n;
1895                         break;
1896                 }
1897         }
1898
1899         if (!found_parent) {
1900                 /* create a new, "anonymous" parent record */
1901                 n = audit_alloc_name(context, AUDIT_TYPE_PARENT);
1902                 if (!n)
1903                         return;
1904                 audit_copy_inode(n, NULL, parent);
1905         }
1906
1907         if (!found_child) {
1908                 found_child = audit_alloc_name(context, type);
1909                 if (!found_child)
1910                         return;
1911
1912                 /* Re-use the name belonging to the slot for a matching parent
1913                  * directory. All names for this context are relinquished in
1914                  * audit_free_names() */
1915                 if (found_parent) {
1916                         found_child->name = found_parent->name;
1917                         found_child->name_len = AUDIT_NAME_FULL;
1918                         found_child->name->refcnt++;
1919                 }
1920         }
1921
1922         if (inode)
1923                 audit_copy_inode(found_child, dentry, inode);
1924         else
1925                 found_child->ino = (unsigned long)-1;
1926 }
1927 EXPORT_SYMBOL_GPL(__audit_inode_child);
1928
1929 /**
1930  * auditsc_get_stamp - get local copies of audit_context values
1931  * @ctx: audit_context for the task
1932  * @t: timespec to store time recorded in the audit_context
1933  * @serial: serial value that is recorded in the audit_context
1934  *
1935  * Also sets the context as auditable.
1936  */
1937 int auditsc_get_stamp(struct audit_context *ctx,
1938                        struct timespec *t, unsigned int *serial)
1939 {
1940         if (!ctx->in_syscall)
1941                 return 0;
1942         if (!ctx->serial)
1943                 ctx->serial = audit_serial();
1944         t->tv_sec  = ctx->ctime.tv_sec;
1945         t->tv_nsec = ctx->ctime.tv_nsec;
1946         *serial    = ctx->serial;
1947         if (!ctx->prio) {
1948                 ctx->prio = 1;
1949                 ctx->current_state = AUDIT_RECORD_CONTEXT;
1950         }
1951         return 1;
1952 }
1953
1954 /* global counter which is incremented every time something logs in */
1955 static atomic_t session_id = ATOMIC_INIT(0);
1956
1957 static int audit_set_loginuid_perm(kuid_t loginuid)
1958 {
1959         /* if we are unset, we don't need privs */
1960         if (!audit_loginuid_set(current))
1961                 return 0;
1962         /* if AUDIT_FEATURE_LOGINUID_IMMUTABLE means never ever allow a change*/
1963         if (is_audit_feature_set(AUDIT_FEATURE_LOGINUID_IMMUTABLE))
1964                 return -EPERM;
1965         /* it is set, you need permission */
1966         if (!capable(CAP_AUDIT_CONTROL))
1967                 return -EPERM;
1968         /* reject if this is not an unset and we don't allow that */
1969         if (is_audit_feature_set(AUDIT_FEATURE_ONLY_UNSET_LOGINUID) && uid_valid(loginuid))
1970                 return -EPERM;
1971         return 0;
1972 }
1973
1974 static void audit_log_set_loginuid(kuid_t koldloginuid, kuid_t kloginuid,
1975                                    unsigned int oldsessionid, unsigned int sessionid,
1976                                    int rc)
1977 {
1978         struct audit_buffer *ab;
1979         uid_t uid, oldloginuid, loginuid;
1980
1981         if (!audit_enabled)
1982                 return;
1983
1984         uid = from_kuid(&init_user_ns, task_uid(current));
1985         oldloginuid = from_kuid(&init_user_ns, koldloginuid);
1986         loginuid = from_kuid(&init_user_ns, kloginuid),
1987
1988         ab = audit_log_start(NULL, GFP_KERNEL, AUDIT_LOGIN);
1989         if (!ab)
1990                 return;
1991         audit_log_format(ab, "pid=%d uid=%u", task_pid_nr(current), uid);
1992         audit_log_task_context(ab);
1993         audit_log_format(ab, " old-auid=%u auid=%u old-ses=%u ses=%u res=%d",
1994                          oldloginuid, loginuid, oldsessionid, sessionid, !rc);
1995         audit_log_end(ab);
1996 }
1997
1998 /**
1999  * audit_set_loginuid - set current task's audit_context loginuid
2000  * @loginuid: loginuid value
2001  *
2002  * Returns 0.
2003  *
2004  * Called (set) from fs/proc/base.c::proc_loginuid_write().
2005  */
2006 int audit_set_loginuid(kuid_t loginuid)
2007 {
2008         struct task_struct *task = current;
2009         unsigned int oldsessionid, sessionid = (unsigned int)-1;
2010         kuid_t oldloginuid;
2011         int rc;
2012
2013         oldloginuid = audit_get_loginuid(current);
2014         oldsessionid = audit_get_sessionid(current);
2015
2016         rc = audit_set_loginuid_perm(loginuid);
2017         if (rc)
2018                 goto out;
2019
2020         /* are we setting or clearing? */
2021         if (uid_valid(loginuid))
2022                 sessionid = (unsigned int)atomic_inc_return(&session_id);
2023
2024         task->sessionid = sessionid;
2025         task->loginuid = loginuid;
2026 out:
2027         audit_log_set_loginuid(oldloginuid, loginuid, oldsessionid, sessionid, rc);
2028         return rc;
2029 }
2030
2031 /**
2032  * __audit_mq_open - record audit data for a POSIX MQ open
2033  * @oflag: open flag
2034  * @mode: mode bits
2035  * @attr: queue attributes
2036  *
2037  */
2038 void __audit_mq_open(int oflag, umode_t mode, struct mq_attr *attr)
2039 {
2040         struct audit_context *context = current->audit_context;
2041
2042         if (attr)
2043                 memcpy(&context->mq_open.attr, attr, sizeof(struct mq_attr));
2044         else
2045                 memset(&context->mq_open.attr, 0, sizeof(struct mq_attr));
2046
2047         context->mq_open.oflag = oflag;
2048         context->mq_open.mode = mode;
2049
2050         context->type = AUDIT_MQ_OPEN;
2051 }
2052
2053 /**
2054  * __audit_mq_sendrecv - record audit data for a POSIX MQ timed send/receive
2055  * @mqdes: MQ descriptor
2056  * @msg_len: Message length
2057  * @msg_prio: Message priority
2058  * @abs_timeout: Message timeout in absolute time
2059  *
2060  */
2061 void __audit_mq_sendrecv(mqd_t mqdes, size_t msg_len, unsigned int msg_prio,
2062                         const struct timespec *abs_timeout)
2063 {
2064         struct audit_context *context = current->audit_context;
2065         struct timespec *p = &context->mq_sendrecv.abs_timeout;
2066
2067         if (abs_timeout)
2068                 memcpy(p, abs_timeout, sizeof(struct timespec));
2069         else
2070                 memset(p, 0, sizeof(struct timespec));
2071
2072         context->mq_sendrecv.mqdes = mqdes;
2073         context->mq_sendrecv.msg_len = msg_len;
2074         context->mq_sendrecv.msg_prio = msg_prio;
2075
2076         context->type = AUDIT_MQ_SENDRECV;
2077 }
2078
2079 /**
2080  * __audit_mq_notify - record audit data for a POSIX MQ notify
2081  * @mqdes: MQ descriptor
2082  * @notification: Notification event
2083  *
2084  */
2085
2086 void __audit_mq_notify(mqd_t mqdes, const struct sigevent *notification)
2087 {
2088         struct audit_context *context = current->audit_context;
2089
2090         if (notification)
2091                 context->mq_notify.sigev_signo = notification->sigev_signo;
2092         else
2093                 context->mq_notify.sigev_signo = 0;
2094
2095         context->mq_notify.mqdes = mqdes;
2096         context->type = AUDIT_MQ_NOTIFY;
2097 }
2098
2099 /**
2100  * __audit_mq_getsetattr - record audit data for a POSIX MQ get/set attribute
2101  * @mqdes: MQ descriptor
2102  * @mqstat: MQ flags
2103  *
2104  */
2105 void __audit_mq_getsetattr(mqd_t mqdes, struct mq_attr *mqstat)
2106 {
2107         struct audit_context *context = current->audit_context;
2108         context->mq_getsetattr.mqdes = mqdes;
2109         context->mq_getsetattr.mqstat = *mqstat;
2110         context->type = AUDIT_MQ_GETSETATTR;
2111 }
2112
2113 /**
2114  * audit_ipc_obj - record audit data for ipc object
2115  * @ipcp: ipc permissions
2116  *
2117  */
2118 void __audit_ipc_obj(struct kern_ipc_perm *ipcp)
2119 {
2120         struct audit_context *context = current->audit_context;
2121         context->ipc.uid = ipcp->uid;
2122         context->ipc.gid = ipcp->gid;
2123         context->ipc.mode = ipcp->mode;
2124         context->ipc.has_perm = 0;
2125         security_ipc_getsecid(ipcp, &context->ipc.osid);
2126         context->type = AUDIT_IPC;
2127 }
2128
2129 /**
2130  * audit_ipc_set_perm - record audit data for new ipc permissions
2131  * @qbytes: msgq bytes
2132  * @uid: msgq user id
2133  * @gid: msgq group id
2134  * @mode: msgq mode (permissions)
2135  *
2136  * Called only after audit_ipc_obj().
2137  */
2138 void __audit_ipc_set_perm(unsigned long qbytes, uid_t uid, gid_t gid, umode_t mode)
2139 {
2140         struct audit_context *context = current->audit_context;
2141
2142         context->ipc.qbytes = qbytes;
2143         context->ipc.perm_uid = uid;
2144         context->ipc.perm_gid = gid;
2145         context->ipc.perm_mode = mode;
2146         context->ipc.has_perm = 1;
2147 }
2148
2149 void __audit_bprm(struct linux_binprm *bprm)
2150 {
2151         struct audit_context *context = current->audit_context;
2152
2153         context->type = AUDIT_EXECVE;
2154         context->execve.argc = bprm->argc;
2155 }
2156
2157
2158 /**
2159  * audit_socketcall - record audit data for sys_socketcall
2160  * @nargs: number of args, which should not be more than AUDITSC_ARGS.
2161  * @args: args array
2162  *
2163  */
2164 int __audit_socketcall(int nargs, unsigned long *args)
2165 {
2166         struct audit_context *context = current->audit_context;
2167
2168         if (nargs <= 0 || nargs > AUDITSC_ARGS || !args)
2169                 return -EINVAL;
2170         context->type = AUDIT_SOCKETCALL;
2171         context->socketcall.nargs = nargs;
2172         memcpy(context->socketcall.args, args, nargs * sizeof(unsigned long));
2173         return 0;
2174 }
2175
2176 /**
2177  * __audit_fd_pair - record audit data for pipe and socketpair
2178  * @fd1: the first file descriptor
2179  * @fd2: the second file descriptor
2180  *
2181  */
2182 void __audit_fd_pair(int fd1, int fd2)
2183 {
2184         struct audit_context *context = current->audit_context;
2185         context->fds[0] = fd1;
2186         context->fds[1] = fd2;
2187 }
2188
2189 /**
2190  * audit_sockaddr - record audit data for sys_bind, sys_connect, sys_sendto
2191  * @len: data length in user space
2192  * @a: data address in kernel space
2193  *
2194  * Returns 0 for success or NULL context or < 0 on error.
2195  */
2196 int __audit_sockaddr(int len, void *a)
2197 {
2198         struct audit_context *context = current->audit_context;
2199
2200         if (!context->sockaddr) {
2201                 void *p = kmalloc(sizeof(struct sockaddr_storage), GFP_KERNEL);
2202                 if (!p)
2203                         return -ENOMEM;
2204                 context->sockaddr = p;
2205         }
2206
2207         context->sockaddr_len = len;
2208         memcpy(context->sockaddr, a, len);
2209         return 0;
2210 }
2211
2212 void __audit_ptrace(struct task_struct *t)
2213 {
2214         struct audit_context *context = current->audit_context;
2215
2216         context->target_pid = task_pid_nr(t);
2217         context->target_auid = audit_get_loginuid(t);
2218         context->target_uid = task_uid(t);
2219         context->target_sessionid = audit_get_sessionid(t);
2220         security_task_getsecid(t, &context->target_sid);
2221         memcpy(context->target_comm, t->comm, TASK_COMM_LEN);
2222 }
2223
2224 /**
2225  * audit_signal_info - record signal info for shutting down audit subsystem
2226  * @sig: signal value
2227  * @t: task being signaled
2228  *
2229  * If the audit subsystem is being terminated, record the task (pid)
2230  * and uid that is doing that.
2231  */
2232 int __audit_signal_info(int sig, struct task_struct *t)
2233 {
2234         struct audit_aux_data_pids *axp;
2235         struct task_struct *tsk = current;
2236         struct audit_context *ctx = tsk->audit_context;
2237         kuid_t uid = current_uid(), t_uid = task_uid(t);
2238
2239         if (audit_pid && t->tgid == audit_pid) {
2240                 if (sig == SIGTERM || sig == SIGHUP || sig == SIGUSR1 || sig == SIGUSR2) {
2241                         audit_sig_pid = task_pid_nr(tsk);
2242                         if (uid_valid(tsk->loginuid))
2243                                 audit_sig_uid = tsk->loginuid;
2244                         else
2245                                 audit_sig_uid = uid;
2246                         security_task_getsecid(tsk, &audit_sig_sid);
2247                 }
2248                 if (!audit_signals || audit_dummy_context())
2249                         return 0;
2250         }
2251
2252         /* optimize the common case by putting first signal recipient directly
2253          * in audit_context */
2254         if (!ctx->target_pid) {
2255                 ctx->target_pid = task_tgid_nr(t);
2256                 ctx->target_auid = audit_get_loginuid(t);
2257                 ctx->target_uid = t_uid;
2258                 ctx->target_sessionid = audit_get_sessionid(t);
2259                 security_task_getsecid(t, &ctx->target_sid);
2260                 memcpy(ctx->target_comm, t->comm, TASK_COMM_LEN);
2261                 return 0;
2262         }
2263
2264         axp = (void *)ctx->aux_pids;
2265         if (!axp || axp->pid_count == AUDIT_AUX_PIDS) {
2266                 axp = kzalloc(sizeof(*axp), GFP_ATOMIC);
2267                 if (!axp)
2268                         return -ENOMEM;
2269
2270                 axp->d.type = AUDIT_OBJ_PID;
2271                 axp->d.next = ctx->aux_pids;
2272                 ctx->aux_pids = (void *)axp;
2273         }
2274         BUG_ON(axp->pid_count >= AUDIT_AUX_PIDS);
2275
2276         axp->target_pid[axp->pid_count] = task_tgid_nr(t);
2277         axp->target_auid[axp->pid_count] = audit_get_loginuid(t);
2278         axp->target_uid[axp->pid_count] = t_uid;
2279         axp->target_sessionid[axp->pid_count] = audit_get_sessionid(t);
2280         security_task_getsecid(t, &axp->target_sid[axp->pid_count]);
2281         memcpy(axp->target_comm[axp->pid_count], t->comm, TASK_COMM_LEN);
2282         axp->pid_count++;
2283
2284         return 0;
2285 }
2286
2287 /**
2288  * __audit_log_bprm_fcaps - store information about a loading bprm and relevant fcaps
2289  * @bprm: pointer to the bprm being processed
2290  * @new: the proposed new credentials
2291  * @old: the old credentials
2292  *
2293  * Simply check if the proc already has the caps given by the file and if not
2294  * store the priv escalation info for later auditing at the end of the syscall
2295  *
2296  * -Eric
2297  */
2298 int __audit_log_bprm_fcaps(struct linux_binprm *bprm,
2299                            const struct cred *new, const struct cred *old)
2300 {
2301         struct audit_aux_data_bprm_fcaps *ax;
2302         struct audit_context *context = current->audit_context;
2303         struct cpu_vfs_cap_data vcaps;
2304
2305         ax = kmalloc(sizeof(*ax), GFP_KERNEL);
2306         if (!ax)
2307                 return -ENOMEM;
2308
2309         ax->d.type = AUDIT_BPRM_FCAPS;
2310         ax->d.next = context->aux;
2311         context->aux = (void *)ax;
2312
2313         get_vfs_caps_from_disk(bprm->file->f_path.dentry, &vcaps);
2314
2315         ax->fcap.permitted = vcaps.permitted;
2316         ax->fcap.inheritable = vcaps.inheritable;
2317         ax->fcap.fE = !!(vcaps.magic_etc & VFS_CAP_FLAGS_EFFECTIVE);
2318         ax->fcap_ver = (vcaps.magic_etc & VFS_CAP_REVISION_MASK) >> VFS_CAP_REVISION_SHIFT;
2319
2320         ax->old_pcap.permitted   = old->cap_permitted;
2321         ax->old_pcap.inheritable = old->cap_inheritable;
2322         ax->old_pcap.effective   = old->cap_effective;
2323
2324         ax->new_pcap.permitted   = new->cap_permitted;
2325         ax->new_pcap.inheritable = new->cap_inheritable;
2326         ax->new_pcap.effective   = new->cap_effective;
2327         return 0;
2328 }
2329
2330 /**
2331  * __audit_log_capset - store information about the arguments to the capset syscall
2332  * @new: the new credentials
2333  * @old: the old (current) credentials
2334  *
2335  * Record the arguments userspace sent to sys_capset for later printing by the
2336  * audit system if applicable
2337  */
2338 void __audit_log_capset(const struct cred *new, const struct cred *old)
2339 {
2340         struct audit_context *context = current->audit_context;
2341         context->capset.pid = task_pid_nr(current);
2342         context->capset.cap.effective   = new->cap_effective;
2343         context->capset.cap.inheritable = new->cap_effective;
2344         context->capset.cap.permitted   = new->cap_permitted;
2345         context->type = AUDIT_CAPSET;
2346 }
2347
2348 void __audit_mmap_fd(int fd, int flags)
2349 {
2350         struct audit_context *context = current->audit_context;
2351         context->mmap.fd = fd;
2352         context->mmap.flags = flags;
2353         context->type = AUDIT_MMAP;
2354 }
2355
2356 static void audit_log_task(struct audit_buffer *ab)
2357 {
2358         kuid_t auid, uid;
2359         kgid_t gid;
2360         unsigned int sessionid;
2361         char comm[sizeof(current->comm)];
2362
2363         auid = audit_get_loginuid(current);
2364         sessionid = audit_get_sessionid(current);
2365         current_uid_gid(&uid, &gid);
2366
2367         audit_log_format(ab, "auid=%u uid=%u gid=%u ses=%u",
2368                          from_kuid(&init_user_ns, auid),
2369                          from_kuid(&init_user_ns, uid),
2370                          from_kgid(&init_user_ns, gid),
2371                          sessionid);
2372         audit_log_task_context(ab);
2373         audit_log_format(ab, " pid=%d comm=", task_pid_nr(current));
2374         audit_log_untrustedstring(ab, get_task_comm(comm, current));
2375         audit_log_d_path_exe(ab, current->mm);
2376 }
2377
2378 /**
2379  * audit_core_dumps - record information about processes that end abnormally
2380  * @signr: signal value
2381  *
2382  * If a process ends with a core dump, something fishy is going on and we
2383  * should record the event for investigation.
2384  */
2385 void audit_core_dumps(long signr)
2386 {
2387         struct audit_buffer *ab;
2388
2389         if (!audit_enabled)
2390                 return;
2391
2392         if (signr == SIGQUIT)   /* don't care for those */
2393                 return;
2394
2395         ab = audit_log_start(NULL, GFP_KERNEL, AUDIT_ANOM_ABEND);
2396         if (unlikely(!ab))
2397                 return;
2398         audit_log_task(ab);
2399         audit_log_format(ab, " sig=%ld", signr);
2400         audit_log_end(ab);
2401 }
2402
2403 void __audit_seccomp(unsigned long syscall, long signr, int code)
2404 {
2405         struct audit_buffer *ab;
2406
2407         ab = audit_log_start(NULL, GFP_KERNEL, AUDIT_SECCOMP);
2408         if (unlikely(!ab))
2409                 return;
2410         audit_log_task(ab);
2411         audit_log_format(ab, " sig=%ld arch=%x syscall=%ld compat=%d ip=0x%lx code=0x%x",
2412                          signr, syscall_get_arch(), syscall, is_compat_task(),
2413                          KSTK_EIP(current), code);
2414         audit_log_end(ab);
2415 }
2416
2417 struct list_head *audit_killed_trees(void)
2418 {
2419         struct audit_context *ctx = current->audit_context;
2420         if (likely(!ctx || !ctx->in_syscall))
2421                 return NULL;
2422         return &ctx->killed_trees;
2423 }