libsmack/libsmack.c

   1 /*
   2  * This file is part of libsmack
   3  *
   4  * Copyright (C) 2010 Nokia Corporation
   5  * Copyright (C) 2011 Intel Corporation
   6  *
   7  * This library is free software; you can redistribute it and/or
   8  * modify it under the terms of the GNU Lesser General Public License
   9  * version 2.1 as published by the Free Software Foundation.
  10  *
  11  * This library is distributed in the hope that it will be useful, but
  12  * WITHOUT ANY WARRANTY; without even the implied warranty of
  13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
  14  * Lesser General Public License for more details.
  15  *
  16  * You should have received a copy of the GNU Lesser General Public
  17  * License along with this library; if not, write to the Free Software
  18  * Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA
  19  * 02110-1301 USA
  20  *
  21  * Authors:
  22  * Jarkko Sakkinen <jarkko.sakkinen@intel.com>
  23  * Brian McGillion <brian.mcgillion@intel.com>
  24  */
  25
  26 #include "libsmack.h"
  27 #include <errno.h>
  28 #include <fcntl.h>
  29 #include <stdio.h>
  30 #include <stdlib.h>
  31 #include <string.h>
  32 #include <sys/socket.h>
  33 #include <sys/stat.h>
  34 #include <sys/types.h>
  35
  36 #define LABEL_LEN 23
  37 #define LOAD_LEN (2 * (LABEL_LEN + 1) + ACC_LEN)
  38 #define ACC_LEN 5
  39
  40 #define ACC_R 0x01
  41 #define ACC_W 0x02
  42 #define ACC_X 0x04
  43 #define ACC_A 0x08
  44 #define ACC_T 0x10
  45
  46 #define KERNEL_FORMAT "%-23s %-23s %5s"
  47 #define READ_BUF_SIZE 512
  48 #define SMACKFS_MNT "/smack"
  49 #define SELF_LABEL_FILE "/proc/self/attr/current"
  50
  51 struct smack_rule {
  52         char subject[LABEL_LEN + 1];
  53         char object[LABEL_LEN + 1];
  54         int access_code;
  55         struct smack_rule *next;
  56 };
  57
  58 struct smack_accesses {
  59         struct smack_rule *first;
  60         struct smack_rule *last;
  61 };
  62
  63 inline int access_type_to_int(const char *access_type);
  64 inline void int_to_access_type_c(unsigned ac, char *str);
  65 inline void int_to_access_type_k(unsigned ac, char *str);
  66
  67 struct smack_accesses *smack_accesses_new(int fd)
  68 {
  69         struct smack_accesses *rules;
  70         FILE *file;
  71         char buf[READ_BUF_SIZE];
  72         char *ptr;
  73         const char *subject, *object, *access;
  74         int newfd;
  75
  76         rules = calloc(sizeof(struct smack_accesses), 1);
  77         if (rules == NULL)
  78                 return NULL;
  79
  80         if (fd < 0)
  81                 return rules;
  82
  83         newfd = dup(fd);
  84         if (newfd == -1) {
  85                 free(rules);
  86                 return NULL;
  87         }
  88
  89         file = fdopen(newfd, "r");
  90         if (file == NULL) {
  91                 close(newfd);
  92                 free(rules);
  93                 return NULL;
  94         }
  95
  96         while (fgets(buf, READ_BUF_SIZE, file) != NULL) {
  97                 subject = strtok_r(buf, " \t\n", &ptr);
  98                 object = strtok_r(NULL, " \t\n", &ptr);
  99                 access = strtok_r(NULL, " \t\n", &ptr);
 100
 101                 if (subject == NULL || object == NULL || access == NULL ||
 102                     strtok_r(NULL, " \t\n", &ptr) != NULL) {
 103                         errno = EINVAL;
 104                         goto err_out;
 105                 }
 106
 107                 if (smack_accesses_add(rules, subject, object, access))
 108                         goto err_out;
 109         }
 110
 111         if (ferror(file))
 112                 goto err_out;
 113
 114         fclose(file);
 115         return rules;
 116 err_out:
 117         fclose(file);
 118         smack_accesses_free(rules);
 119         return NULL;
 120 }
 121
 122 void smack_accesses_free(struct smack_accesses *handle)
 123 {
 124         if (handle == NULL)
 125                 return;
 126
 127         struct smack_rule *rule = handle->first;
 128         struct smack_rule *next_rule = NULL;
 129
 130         while (rule != NULL) {
 131                 next_rule = rule->next;
 132                 free(rule);
 133                 rule = next_rule;
 134         }
 135
 136         free(handle);
 137 }
 138
 139 int smack_accesses_save(struct smack_accesses *handle, int fd)
 140 {
 141         struct smack_rule *rule = handle->first;
 142         char access_type[ACC_LEN + 1];
 143         FILE *file;
 144         int ret;
 145         int newfd;
 146
 147         newfd = dup(fd);
 148         if (newfd == -1)
 149                 return -1;
 150
 151         file = fdopen(newfd, "w");
 152         if (file == NULL) {
 153                 close(newfd);
 154                 return -1;
 155         }
 156
 157         while (rule) {
 158                 int_to_access_type_c(rule->access_code, access_type);
 159
 160                 ret = fprintf(file, "%s %s %s\n",
 161                               rule->subject, rule->object, access_type);
 162                 if (ret < 0) {
 163                         fclose(file);
 164                         return -1;
 165                 }
 166
 167                 rule = rule->next;
 168         }
 169
 170         fclose(file);
 171         return 0;
 172 }
 173
 174 int smack_accesses_apply(struct smack_accesses *handle, int flags)
 175 {
 176         char buf[LOAD_LEN + 1];
 177         char access_type[ACC_LEN + 1];
 178         struct smack_rule *rule;
 179         int ret;
 180         int fd;
 181
 182         fd = open(SMACKFS_MNT "/load", O_WRONLY);
 183         if (fd < 0)
 184                 return -1;
 185
 186         if (flags & SMACK_RULE_SET_APPLY_CLEAR)
 187                 strcpy(access_type, "-----");
 188
 189         for (rule = handle->first; rule != NULL; rule = rule->next) {
 190                 if (!(flags & SMACK_RULE_SET_APPLY_CLEAR))
 191                         int_to_access_type_k(rule->access_code, access_type);
 192
 193                 ret = snprintf(buf, LOAD_LEN + 1, KERNEL_FORMAT, rule->subject, rule->object, access_type);
 194                 if (ret < 0) {
 195                         close(fd);
 196                         return -1;
 197                 }
 198
 199                 ret = write(fd, buf, LOAD_LEN);
 200                 if (ret < 0) {
 201                         close(fd);
 202                         return -1;
 203                 }
 204         }
 205
 206         close(fd);
 207         return 0;
 208 }
 209
 210 int smack_accesses_add(struct smack_accesses *handle, const char *subject,
 211                        const char *object, const char *access_type)
 212 {
 213         struct smack_rule *rule = NULL;
 214
 215         rule = calloc(sizeof(struct smack_rule), 1);
 216         if (rule == NULL)
 217                 return -1;
 218
 219         strncpy(rule->subject, subject, LABEL_LEN + 1);
 220         strncpy(rule->object, object, LABEL_LEN + 1);
 221         rule->access_code = access_type_to_int(access_type);
 222
 223         if (handle->first == NULL) {
 224                 handle->first = handle->last = rule;
 225         } else {
 226                 handle->last->next = rule;
 227                 handle->last = rule;
 228         }
 229
 230         return 0;
 231 }
 232
 233 int smack_have_access(const char *subject, const char *object,
 234                       const char *access_type)
 235 {
 236         char buf[LOAD_LEN + 1];
 237         char access_type_k[ACC_LEN + 1];
 238         unsigned access_code;
 239         int ret;
 240         int fd;
 241
 242         access_code = access_type_to_int(access_type);
 243         int_to_access_type_k(access_code, access_type_k);
 244
 245         ret = snprintf(buf, LOAD_LEN + 1, KERNEL_FORMAT, subject, object,
 246                        access_type_k);
 247         if (ret < 0)
 248                 return -1;
 249
 250         fd = open(SMACKFS_MNT "/access", O_RDWR);
 251         if (fd < 0)
 252                 return -1;
 253
 254         ret = write(fd, buf, LOAD_LEN);
 255         if (ret < 0) {
 256                 close(fd);
 257                 return -1;
 258         }
 259
 260         ret = read(fd, buf, 1);
 261         close(fd);
 262         if (ret < 0)
 263                 return -1;
 264
 265         return buf[0] == '1';
 266 }
 267
 268 char *smack_get_self_label()
 269 {
 270         char *label;
 271         int fd;
 272         int ret;
 273
 274         label = calloc(LABEL_LEN + 1, 1);
 275         if (label == NULL)
 276                 return NULL;
 277
 278         fd = open(SELF_LABEL_FILE, O_RDONLY);
 279         if (fd < 0) {
 280                 free(label);
 281                 return NULL;
 282         }
 283
 284         ret = read(fd, label, LABEL_LEN);
 285         close(fd);
 286         if (ret < 0) {
 287                 free(label);
 288                 return NULL;
 289         }
 290
 291         return label;
 292 }
 293
 294 char *smack_get_peer_label(int fd)
 295 {
 296         char dummy;
 297         int ret;
 298         socklen_t length = 1;
 299         char *label;
 300
 301         ret = getsockopt(fd, SOL_SOCKET, SO_PEERSEC, &dummy, &length);
 302         if (ret < 0 && errno != ERANGE)
 303                 return NULL;
 304
 305         label = calloc(length, 1);
 306         if (label == NULL)
 307                 return NULL;
 308
 309         ret = getsockopt(fd, SOL_SOCKET, SO_PEERSEC, label, &length);
 310         if (ret < 0) {
 311                 free(label);
 312                 return NULL;
 313         }
 314
 315         return label;
 316 }
 317
 318 inline int access_type_to_int(const char *access_type)
 319 {
 320         int i, count;
 321         unsigned access;
 322
 323         access = 0;
 324         for (i = 0; i < ACC_LEN && access_type[i] != '\0'; i++)
 325                 switch (access_type[i]) {
 326                 case 'r':
 327                 case 'R':
 328                         access |= ACC_R;
 329                         break;
 330                 case 'w':
 331                 case 'W':
 332                         access |= ACC_W;
 333                         break;
 334                 case 'x':
 335                 case 'X':
 336                         access |= ACC_X;
 337                         break;
 338                 case 'a':
 339                 case 'A':
 340                         access |= ACC_A;
 341                         break;
 342                 case 't':
 343                 case 'T':
 344                         access |= ACC_T;
 345                         break;
 346                 default:
 347                         break;
 348                 }
 349
 350         return access;
 351 }
 352
 353 inline void int_to_access_type_c(unsigned access, char *str)
 354 {
 355         int i;
 356         i = 0;
 357         if ((access & ACC_R) != 0)
 358                 str[i++] = 'r';
 359         if ((access & ACC_W) != 0)
 360                 str[i++] = 'w';
 361         if ((access & ACC_X) != 0)
 362                 str[i++] = 'x';
 363         if ((access & ACC_A) != 0)
 364                 str[i++] = 'a';
 365         if ((access & ACC_T) != 0)
 366                 str[i++] = 't';
 367         str[i] = '\0';
 368 }
 369
 370 inline void int_to_access_type_k(unsigned access, char *str)
 371 {
 372         str[0] = ((access & ACC_R) != 0) ? 'r' : '-';
 373         str[1] = ((access & ACC_W) != 0) ? 'w' : '-';
 374         str[2] = ((access & ACC_X) != 0) ? 'x' : '-';
 375         str[3] = ((access & ACC_A) != 0) ? 'a' : '-';
 376         str[4] = ((access & ACC_T) != 0) ? 't' : '-';
 377         str[5] = '\0';
 378 }
 379