tests: Adding some comments

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

tests: Correcting exit codes

The valid exit code are form 0 to 255. Then using -1 means that the
effective exit code will be 0377==255. It isn't accurate. The exit code
of 1 is merely very often used for failure status.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

tests: Renaming 'r' to 'alea'

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

tests: Changing filenames

Changing two filenames:
- tests/gen.c    becomes tests/generator.c
- tests/makefile becomes tests/Makefile

That is obviously better to have the main file of the program
`generator` named `generator.c`.

The default naming of makefiles is Makefile with a capital
letter. Conforming to that rule is better.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

tests: Change program generating test data

-Change program to produce more parametrized output:
*Introduce parameters to set number of unique rules (u) and merges in policy (m).
*Introduce parametr for maximum number of reocurrances of a label in merged policy (L).
*Add possibility of getting list of labels from stdin in addition to generating random ones.
-Some minor style adjustments to libsmack coding style.

Also:
-Add makefile for policies generation
-Add script generating different type of policies

Signed-off-by: Jan Cybulski <j.cybulski@samsung.com>

Adding a program generating test data.

The program that generate this gen.c produces
a set of rules to be loaded to load/load2
file system interace of smacke. Or to be used
as input file for smackload.

The count of differents labels (option l=N) and of
different access rights (option r=N) can be specified.
The count of rules produced to the ouput can also
be specified (option o=N). By default, l=5, r=100 and o=500.

The generated labels are made of 4 to 7 random letters.
The standard C function 'rand' is used without seeding it;
what means that same options produces same results.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

Removed redundant AUTHORS files.

Git log is the AUTHORS file.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: lazy initialization for SmackFS mount point

Mount SmackFS only when it is first needed. This enables init
daemons to directly use libsmack.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: close smackfs_mnt_dirfd in the library destructor

Close smackfs_mnt_dirfd in the library destructor. Although kernel
would wipe it anyway it is a good practice to clean up all the
reserved resources.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Merge remote-tracking branch 'jsakkine/issue83' into v1.0.x

Conflicts:
libsmack/libsmack.c

libsmack: fallback to 'cipso' when 'cipso2' is not available

This patch implements fallback to 'cipso' when 'cipso2' is not
available. This is a regression from 79f8e26.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: add a common function for opening long and short label file

Added internal function 'open_smackfs_file()' to open long label
file and as a fallback short label file. This can be used for
load, access and cipso files.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: fix: fail if neither 'load' and 'load2' cannot be opened

accesses_apply() continued even if neither 'load' and 'load2' could
not be opened. For 'change-rule' file such semantics do make sense
for backwards compatibility but there's something seriously wrong
if neither 'load' and 'load2' cannot be opened. That's why the only
right thing to do is to stop immediately.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: fix: 'accesses_print' declaration was in wrong place

Moved 'accesses_print' declaration to a proper location.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

utils: fix error message in smackaccess

perror() reports success when validation fails. This patch makes
the error message explicit. Invalid input is the most probable case.
Also, error message is prefixed with the basename of the utility.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: fixed label validation in smack_have_access()

This patch adds subject and object validation to smack_have_access().
It also validates that labels are at most 23 characters when only
short labels are available.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: use 16 bits for smack access codes instead of sizeof(int) * 2

There are 6 access bits to be stored in the access field. Special value -1
is used to distinguish set rules from change rules. Shrinking the filed to
8 bits still leaves space for one more future access bit.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: change logic for detecting long labels in smack_accesses

Instead of storing label length in each smack_rule, have one integer in
smack_accesses to remember if long labels are used.
This saves few bytes per rule.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

Merge remote-tracking branch 'rafal-krypa/issue73' into v1.0.x

Update .gitignore files to ignore all build-time generated files

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: use common code for smack_accesses_apply() and smack_accesses_save().

Centralizing code that changes internal smack_accesses representation to
text. Internal function accesses_print() now generates output for applying
the rules to kernel and saving them to a file. This allows easier changes
to data structures used by libmskack and makes the code shorter.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: use common code for smack_accesses_add() and smack_accessess_add_modify()

These API functions were very similar and are now implemented as wrappers
to a single internal function. This allows easier changes to data structures
used by libmskack and makes the code shorter.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

utils: use common code for apply_rules and apply_cipso

Code for apply_rules() has been rewritten to use opendir() and readdir(),
but apply_cipso() remained implemented with nftw().
This patch implements both applying functions with opendir() and readdir()
using a common internal function apply_path(). The common function can
handle both directory and single file,  so apply_rules_file() and
apply_cipso_file() are dropped.
The resulting code is 69 lines shorter and keeps directory traversal logic
in single place. It's side effect is applying CIPSO rules in one shot, just
like regular Smack rules.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: don't define __GNU_SOURCE in the code

__GNU_SOURCE is a glibc internal and should not be used directly.
It was already provided by AC_USE_SYSTEM_EXTENSIONS in configure.ac, so
it can be safely dropped.
Use more explicit AC_GNU_SOURCE in configure.ac instead (on Linux systems
they should be equivalent).

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

utils: fix build warnings related to smack_smackfs_path()

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

Compile for the C99 standard.

The code already uses C99 constructs, but appropriate compiler options
were not set.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

autogen.sh: fix passing arguments to configure

Fixing error when arguments to autogen.sh contain white space, i.e.:
./autogen.sh CFLAGS='-Wall -Wextra'

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

Merge remote-tracking branch 'rafal-krypa/issue84' into v1.0.x

utils: drop build dependency on libattr, introduced by 5da1a22.

Use only glibc headers for xattr functions. Use ENODATA instead of ENOATTR.

libsmack: fix label validation in smack_new_label_from_path

Off-by-one length was returned from the function. This patch fixes
the regression by doing full validation for the SMACK label.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Avoid memory allocation while opening smackfs files.

Using openat() on pre-opened smackfs directory eliminates need to
construct absolute path to a smackfs file before opening it.

Other than it improves availability because file descriptor is kept
open to the mount point throughout the life-cycle of the process.
And it also improves security because as long as the file descriptor
is valid, files really come from SmackFS.

[jsakkine: updated commit message]

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

Add dictionary for labels

Add dictionary for labels to avoid memory allocation
for the same label for multilple times.
Dictionary is common to all labels in a single rules set.
Each rule only keeps ids of labels in a dictionary
instead of whole label as a string.

Signed-off-by: Jan Cybulski <j.cybulski@samsung.com>

libsmack: fix a bug in validation of labels

The function `get_label` didn't handle the characters below
' ' and above '~' correctly.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: update of the manual

This new version of the manual includes the options
the dereferencing symbolic links and for removing
smack's labels.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: refusing repeated labels

Refusing to set many time a label is important for
security. If a label is set more than one time, wich
label is to use? Wich is the good?

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: add option to remove labels

Adding that option allow chsmack to remove the smack labels.
It is really important to have it.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: split option scan in two parts

It prepares the futur option to remove smack labels.
It also separate the validation of the labels what can
improve the readability of the code.

Also add a check that the option transmute isn't repeated.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: using flags for labels

That modification prepare the addition of the option
to remove Smack labels. It seems also best to be agnostic
on what are valid smack labels (and rely on libsmack in the
futur) that maybe one day could be empty strings!

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: checking transmute on directories

The transmute flag is meaningfull only on directories.
The program now check that the transmute flag is set
only on directories.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: add dereference option

Add the options that allow to follow the symbolic
links instead of modifying it. There is no really
need but it may help.

The text of the short option is moved.
It prepares to scan options in two passes. It also
centralize the definition of options, avoiding to have
many lines between the definitions.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: exchanging order of nested blocks if/for

Prepare to add the removing of labels and also reduce
the count of tests.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: use of 'smack_set_label_for_path'

To prepare to the future libsmack that will have a function
for writing Smack labels and to prepare to the handling of
symbolic links, the write of the labels is put in the
function 'smack_set_label_for_path'.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: use of 'smack_new_label_from_path'

The library libsmack offer a function for reading
Smack labels. It is better to use the function of the
library.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: validation of labels

To prepare to the future of libsmack (that will include the
validation function 'smack_label_length'), the validation
of the smack labels is separated from the main function.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: put usage string at head

Setting it at head is a reading improvement for
developpers that can quickly show the usage of the
program. It also makes the main function more readable.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

chsmack: using linux constants for Smack's names

It is better to rely on the centralisation of names in a
single file: it can avoid errors.

The declarations of <linux/xattr.h> contains the definitions
of the names of the Smack's security attributes.

As Smack only runs on Linux and libsmack doesn't provides
a centralized version of the names of the security attributes
(because it were not needed), using the linux header seems
to be a good choice.

Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

tests: starting point for stress testing

This starting point for stress testing. Generates 200 files each
with 10000 random access rules. Does not yet support modify rules.
Next step would be probably making this more parametrized.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Fix return value of 'smack_new_label_from_path'

Change-Id: Ic5412e9555a64a81bf1a871b30844d73dbed5758
Signed-off-by: José Bollo <jose.bollo@open.eurogiciel.org>

Revert "utils: use common code for apply_rules and apply_cipso"

This reverts commit 68e38ff3936597a3189d29f57a68dae5ac08db1e.

Bumped version to 1.0.3.

utils: use common code for apply_rules and apply_cipso

Code for apply_rules() has been rewritten to use opendir() and readdir(),
but apply_cipso() remained implemented with nftw().
This patch implements both applying functions with opendir() and readdir()
using a common internal function apply_dir().
The resulting code is 45 lines shorter and keeps directory traversal logic
in single place.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: clean up redundant stuff

Cleaned up redundant constants and code. Grouped related constants
nearby each other.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: add support for new access mode for setting locks ("l")

This change should be backward compatible for kernels without l-mode support
as long as requested permissions don't contain this mode.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

utils: common.c: invalid fprintf()

fprintf() has path parameter that was not utilized.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

utils: apply access rules to load/load2 in one shot

Open load/load2 only once. Inside the callback only collect rules
using smack_accessed_add_from_file(). Finally, apply access rules
in a single slot.

This was inspired by feedback from Rafal Krypa <r.krypa@samsung.com>.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Do not silently ignore files when applying them in smackload/ctl

Detect unknown file types and non-regular files and fail if they
are found with proper error reporting.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Merge remote-tracking branch 'jsakkine/issue60' into v1.0.x

Merge remote-tracking branch 'rafal-krypa/issue70' into v1.0.x

smackctl: fix reporting "unknown action" (regression in ce452ab)

Running "smackctl apply" and "smackctl clear" ended with error and
message about unknown action, although the action was known and
performed successfully.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: fix smack_cipso_apply() failing with more than one rule

Fixing regression in f47b9c90 that causes smack_cipso_apply() to fail due
to a typo.

Signed-off-by: Rafal Krypa <r.krypa@samsung.com>

libsmack: remove redundant check for clear flag form accesses_apply()

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: remove redundant strlen() call from accesses_apply()

Return value of snprintf() should give the same length as strlen()
would given that string fits into buffer.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: check in accesses_apply() that rule has short labels

Check rule has short labels when only 'load' is available.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Merge remote-tracking branch 'rafal-krypa/issue68' into v1.0.x

libsmack: early fail in accesses_apply() if modify rules are not supported

In accesses_apply(), in the beginning of each iteration, check
that change_fd is a valid file descriptor if the current rule
is a modify rule. Return with -1 immediately if that is not the
case.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

libsmack: parse whole access type string, not only first 5 bytes.

Previous version of this function parsed only first ACC_LEN (5)
characters of access_type. Now the whole string will be read.

This will prevent silent ignoring of access type characters in cases
like "-rwxat" or "rrwxat".

Re-applying because it was reverted by d2283792.

libsmack: fixed segfault in get_label() (regression in 66483b)

Commit 66483b introduced segfault in API functions smack_revoke_subject()
and smack_set_label_for_self().
Fix the accidental NULL pointer dereference.

Merge remote-tracking branch 'jsakkine/issue64' into v1.0.x

libsmack: fixed apply_accesses() (regression in d2283792)

Took accesses_apply() from 8fd0167 and converted it mechanically
as possible to use the changed struct smack_rule. Now smackload
works succesfully for a single file too. Mistake I did in
d2283792 was that I unncessarily cleaned up accesses_apply()
at the same time as changing things. My bad.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

isgx: fix: clear flag for directory parameter in smackload/smackctl

Clear flag was not properly applied when directory is given
for smackload. This patch fixes the issue. I decided to move
into opendir/readdir approach because nftw() does not support
supplying any kind of state to the callback. The end result
looks also more manageable that we had before.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

debian: enable parallel build.

Support `dpkg-buildpackage -j' by adding --parallel to dh invocations.

debian: convert for multi-arch packages.

debian: add build dependency on doxygen.

Make sure that devel manuals will be generated for libsmack-dev package.

libsmack: revert access codes

Revert access codes as internal representation for access types
because they work much better when we have to merge rules.

Other aim of this patch is to clean up internal presentation.
After this change the whole access state can be represented
with only two integers.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

utils: more verbose error reporting when applying rules

Add more verbose error reporting when applying either access
rules or CIPSO. The key point is to be able to separate whether
error occured during reading or applying phase.

Signed-off-by: Jarkko Sakkinen <jarkko.sakkinen@linux.intel.com>

Fix memory leak on smack_cipso

smack_cipso_free() didn't release main pointer, which was
inconsistent with header description and further usage in
apply_cipso_file().
(cherry picked from commit 6304f9a3f73312a7feb3b25fa593919744acb947)

utils: fix CIPSO error messages in common.c

When applying CIPSO fails use different error message than when
applying access rules. Additionally, fixed indentation for lines
printing error message that are over 80 characters long.
(cherry picked from commit 43b5e8da94acba1f790eb65b4256ba6013397dde)

doc: show version

Fix documentation to show correct package version.
(cherry picked from commit 399e3a662c0ddb81cae94804a96416ae856e7507)

doc: fix parallel build, broken by c5e2007.

Parallel make failed, because dependencies were not properly specified
for all auto generated man pages.
(cherry picked from commit d9e0abc8657dc1ee5aab391af4543a7cd1c9d757)

debian: fix package build, broken by c5e2007.

Auto generated manpages are in different locations than static ones, so
libsmack-dev.manpages needs to be modified.
It now includes all generated section 3 manuals.
(cherry picked from commit b3b70c21b75cc5e92d7334406557a8f49d0b4714)

Generate API documentation by using Doxygen.

Generate API documentation from smack.h by using Doxygen so that
documentation needs to be maintained only in one place.
(cherry picked from commit c5e200768a99451c559570b0a44673a8ecd5ee7f)

Conflicts:

doc/Makefile.am
doc/smack_have_access.3

Solve problem with "make distcheck" breaking on systemd config files.

Dist packages created by "make dist" were built without smack.mount and
smack.service files. This caused the packages to fail to build.
Adding the files to EXTRA_DIST solves the problem.
(cherry picked from commit 73ec7d5be2c87bf13dbd45f2cb8433122b1bd08d)

Copy labels using get_label()

Copy and validate labels in a single transaction:

- No trust for having '\0' in the src buffer when copying
  labels.
- Improves performance by combining length calculation, validation
  and copying.
(cherry picked from commit 16f84d57e2766f1ccfd59ae77fad407b6cc5ff81)

Helper function get_label()

The helper function ssize_t get_label(char *dest, const char *src)
validates the given label and copies it to the dest buffer if
available.
(cherry picked from commit 09fdff9a456dec54a4c8548c9b9acbcbce48d59a)

Use strncpy() always copying labels.

Defence in depth and a good practice. Places an absolute limit
to the length copied.
(cherry picked from commit 0eee8f8b3efd153c5ef09c08244e189f0cda51a4)

Fixed copyright clauses.

Checked that copyright notices are properly set up as according to:

http://www.gnu.org/licenses/gpl-howto.html

Corrected where they are not. Note that one or two-line fixes do not
count as copyrightable assets.

Additionally, fixed a minor indentation issue in chsmack.c.
(cherry picked from commit 7b41f3cff96755146539f74a8c780ac9bbe71b36)

Regression fix: don't modify smack_accesses while applying the rules.

Regression introduced in eaf908fd caused access_type field to be modified,
when smack_accesses_apply() is called with clear set to true.

This patch reverts that, restoring invariant that smack_accessess_apply()
doesn't modify given rule set.
(cherry picked from commit 74f5b5c21a2ed9c0576c3c3ab3802d11d66098a9)

Fix man pages

Regression from 1edba54.
(cherry picked from commit e6f32e4403ad549102cfbdbd02b4dcd254da84d2)

Use smack_label_length() internally instead strnlen()

Use smack_label_length() to check correctness labels instead strnlen().
(cherry picked from commit 6d3fd3049e08377f75b554cedcd200286fbf359c)

Fix value returned by smack_label_length()

In some cases smack_label_length have returned 0 on incorrect label.
Now smack_label_length() always returns -1 in case of incorrect label.
(cherry picked from commit f7e4232a319b269f6214af660173eebaa605ad9e)

Remove errno assignments

If we want to report something libsmack specific, then we should
have our own error codes. By using errno values to report libsmack
specific error condition we almost zero their value. By removing
these assignment you can resolved from a changed errno value that
a system call failed.

This patch does not break API contract as use of errno values is
undefined in the API documentation.
(cherry picked from commit 1edba541de63b088a60d89e4a0433bf9149c4b13)

Removed smack_label_length() API

In order to use this smack_label_length() in 1.0 branch, this patch
takes it away from the API. Adds temporarily unused attribute to the
function siganture.

Add smack_label_length() function

Kernel does not validate the Smack label - instead the label will be
cut on the first incorrect character (after parsing at least one
correct character).

This function gives the user possibility to verify the correctness
of the Smack label before use and calculate labels length.

Additionally, all string length calculations are replaces with this
function to make implementation safer.

[jarkko.sakkinen@linux.intel.com:
 did some modifications:
 - smack_is_label_valid() -> smack_label_length()
 - libsmack.c:
   * return length
   * loop invariant had off-by-one error
   * cosmetic: "++i" not "i++"
 - libsmack.h:
   * updated documentation
   * cosmetic: formatting errors in  @param and @return]
(cherry picked from commit 8b083a8c67219c5d1dbfbf2ad1082c1954f9c9fa)

Cleaning error logs for rules applying utilities

Removed perror logs from main utilities files. Moved error logs
inside /utils/common.c. Errors are logged from I/O operations and
applying rules/cipso from files.
(cherry picked from commit bcaf9018f41809cb93aaccf9e9fb49b59750dc7e)

Add parameter name back to the chsmack error message

This patch add parameter name back to the error message. Instead
of relaying on hazardous longindex parameter of getopt_long(), a
look-up table is constructed to map short option to the corresponding
struct option entry.

Additionally, the basename of the application is added to the error
message. Also usage message is converted to use basename instead of
the full path name.
(cherry picked from commit d98a04ff7ccbcfcf36d9d4d43de68448b70da9fa)

utils/chsmack: fix hazardous option parsing

The variable option_index was only set to a proper value if the
given option is a long option. There was also exit() missing on
error condition if SMACK label was invalid.

This patch removes option_index, parameter name from corresponding
error message and adds exit() call when the error condition
realizes.

[jarkko.sakkinen@linux.intel.com: rewrote patch description]
(cherry picked from commit 18ebc2fe71da94599e45029d7b26144c6bbe7cb4)

Fix: accept 255 character labels

Example:

 # /home/jsakkine/devel/smack/utils/chsmack \
   -a$(printf '12345%.0s' {1..51}) foo
 foo: Invalid argument
 # /home/jsakkine/devel/smack/utils/chsmack \
   -a$(printf '12345%.0s' {1..51} | head -c -1) foo
 #

This patch fixes this issue.
(cherry picked from commit 1794fed08418b0e254e1e3a7325a8a67f8186bbc)

Change apply_cipso_cb() to use proper apply_cipso_file()

apply_cipso_cb() used improper apply_rules_file(). Changed this to
call apply_cipso_file() instead.
(cherry picked from commit d45ffe9082243377cdba9a2d224bab0e110501e0)

Fix: allow CIPSO labels with zero categories

There was false restriction in smack_cipso_add_from_file() that
disallowed CIPSO labels without categories.

For example, this example given in the SMACK kernel documentation
should be perfectly legal:

TopSecret 7
(cherry picked from commit 4e4ea9142727ca7f14bf1d64cd81949b28bb1d0b)

Documented order in which access rules are applied to kernel.
(cherry picked from commit f82cadf3b7a9d84ae0bf2aa06fb8ecff9b4332dc)