xnu-4570.20.62.tar.gz

[apple/xnu.git] / security / mac_process.c
diff --git a/security/mac_process.c b/security/mac_process.c

index 20ca2fb6428f06b2c7f9b423606727fc8560f164..f3ea32890e68a607f79f5ecb1184c2ca554c0fcb 100644 (file)
--- a/security/mac_process.c
+++ b/security/mac_process.c
@@ -1,5 +1,5 @@
  /*
  /*
- * Copyright (c) 2007 Apple Inc. All rights reserved.
+ * Copyright (c) 2007-2010 Apple Inc. All rights reserved.
   *
   * @APPLE_OSREFERENCE_LICENSE_HEADER_START@
   * 
   *
   * @APPLE_OSREFERENCE_LICENSE_HEADER_START@
   * 
@@ -72,10 +72,13 @@
  #include <sys/proc_internal.h>
  #include <sys/kauth.h>
  #include <sys/imgact.h>
  #include <sys/proc_internal.h>
  #include <sys/kauth.h>
  #include <sys/imgact.h>
+#include <mach/mach_types.h>
+#include <kern/task.h>
  
  #include <security/mac_internal.h>
  
  #include <security/mac_internal.h>
+#include <security/mac_mach_internal.h>
  
  
-#include <bsd/bsm/audit_kernel.h>
+#include <bsd/security/audit/audit.h>
  
  struct label *
  mac_cred_label_alloc(void)
  
  struct label *
  mac_cred_label_alloc(void)
@@ -102,6 +105,12 @@ mac_cred_label_free(struct label *label)
         mac_labelzone_free(label);
  }
  
         mac_labelzone_free(label);
  }
  
+int
+mac_cred_label_compare(struct label *a, struct label *b)
+{
+       return (bcmp(a, b, sizeof (*a)) == 0);
+}
+
  int
  mac_cred_label_externalize_audit(struct proc *p, struct mac *mac)
  {
  int
  mac_cred_label_externalize_audit(struct proc *p, struct mac *mac)
  {
@@ -205,12 +214,15 @@ mac_execve_enter(user_addr_t mac_p, struct image_params *imgp)
                 return (0);
  
         if (IS_64BIT_PROCESS(current_proc())) {
                 return (0);
  
         if (IS_64BIT_PROCESS(current_proc())) {
-               error = copyin(mac_p, &mac, sizeof(mac));
+               struct user64_mac mac64;
+               error = copyin(mac_p, &mac64, sizeof(mac64));
+               mac.m_buflen = mac64.m_buflen;
+               mac.m_string = mac64.m_string;
         } else {
         } else {
-               struct mac mac32;
+               struct user32_mac mac32;
                 error = copyin(mac_p, &mac32, sizeof(mac32));
                 mac.m_buflen = mac32.m_buflen;
                 error = copyin(mac_p, &mac32, sizeof(mac32));
                 mac.m_buflen = mac32.m_buflen;
-               mac.m_string = CAST_USER_ADDR_T(mac32.m_string);
+               mac.m_string = mac32.m_string;
         }
         if (error)
                 return (error);
         }
         if (error)
                 return (error);
@@ -241,13 +253,17 @@ out:
   * When the subject's label changes, it may require revocation of privilege
   * to mapped objects.  This can't be done on-the-fly later with a unified
   * buffer cache.
   * When the subject's label changes, it may require revocation of privilege
   * to mapped objects.  This can't be done on-the-fly later with a unified
   * buffer cache.
+ *
+ * XXX:                CRF_MAC_ENFORCE should be in a kauth_cred_t field, rather
+ * XXX:                than a posix_cred_t field.
   */
  void
  mac_cred_label_update(kauth_cred_t cred, struct label *newlabel)
  {
   */
  void
  mac_cred_label_update(kauth_cred_t cred, struct label *newlabel)
  {
+       posix_cred_t pcred = posix_cred_get(cred);
  
         /* force label to be part of "matching" for credential */
  
         /* force label to be part of "matching" for credential */
-       cred->cr_flags |= CRF_MAC_ENFORCE;
+       pcred->cr_flags |= CRF_MAC_ENFORCE;
  
         /* inform the policies of the update */
         MAC_PERFORM(cred_label_update, cred, newlabel);
  
         /* inform the policies of the update */
         MAC_PERFORM(cred_label_update, cred, newlabel);
@@ -258,8 +274,11 @@ mac_cred_check_label_update(kauth_cred_t cred, struct label *newlabel)
  {
         int error;
  
  {
         int error;
  
-       if (!mac_proc_enforce)
-               return (0);
+#if SECURITY_MAC_CHECK_ENFORCE
+    /* 21167099 - only check if we allow write */
+    if (!mac_proc_enforce)
+        return 0;
+#endif
  
         MAC_CHECK(cred_check_label_update, cred, newlabel);
  
  
         MAC_CHECK(cred_check_label_update, cred, newlabel);
  
@@ -271,38 +290,30 @@ mac_cred_check_visible(kauth_cred_t u1, kauth_cred_t u2)
  {
         int error;
  
  {
         int error;
  
-
-
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
         if (!mac_proc_enforce)
         if (!mac_proc_enforce)
-               return (0);
-
-
+               return 0;
+#endif
  
         MAC_CHECK(cred_check_visible, u1, u2);
  
  
         MAC_CHECK(cred_check_visible, u1, u2);
  
-
         return (error);
  }
  
         return (error);
  }
  
-/*                                                                                                    
- * called with process locked.                                                                        
- */
-void mac_proc_set_enforce(proc_t p, int enforce_flags)
-{
-        p->p_mac_enforce |= enforce_flags;
-}
-
  int
  mac_proc_check_debug(proc_t curp, struct proc *proc)
  {
         kauth_cred_t cred;
         int error;
  
  int
  mac_proc_check_debug(proc_t curp, struct proc *proc)
  {
         kauth_cred_t cred;
         int error;
  
-
-
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
-               return (0);
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
         cred = kauth_cred_proc_ref(curp);
         MAC_CHECK(proc_check_debug, cred, proc);
  
         cred = kauth_cred_proc_ref(curp);
         MAC_CHECK(proc_check_debug, cred, proc);
@@ -317,9 +328,13 @@ mac_proc_check_fork(proc_t curp)
         kauth_cred_t cred;
         int error;
  
         kauth_cred_t cred;
         int error;
  
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
-               return (0);
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
         cred = kauth_cred_proc_ref(curp);
         MAC_CHECK(proc_check_fork, cred, curp);
  
         cred = kauth_cred_proc_ref(curp);
         MAC_CHECK(proc_check_fork, cred, curp);
@@ -349,194 +364,261 @@ mac_proc_check_get_task(struct ucred *cred, struct proc *p)
  }
  
  int
  }
  
  int
-mac_proc_check_mprotect(proc_t proc,
-    user_addr_t addr, user_size_t size, int prot)
+mac_proc_check_expose_task(struct ucred *cred, struct proc *p)
  {
  {
-       kauth_cred_t cred;
         int error;
  
         int error;
  
-       if (!mac_vm_enforce ||
-           !mac_proc_check_enforce(proc, MAC_VM_ENFORCE))
-               return (0);
-
-       cred = kauth_cred_proc_ref(proc);
-       MAC_CHECK(proc_check_mprotect, cred, proc, addr, size, prot);
-       kauth_cred_unref(&cred);
+       MAC_CHECK(proc_check_expose_task, cred, p);
  
         return (error);
  }
  
  int
  
         return (error);
  }
  
  int
-mac_proc_check_sched(proc_t curp, struct proc *proc)
+mac_proc_check_inherit_ipc_ports(struct proc *p, struct vnode *cur_vp, off_t cur_offset, struct vnode *img_vp, off_t img_offset, struct vnode *scriptvp)
  {
  {
-       kauth_cred_t cred;
         int error;
  
         int error;
  
+       MAC_CHECK(proc_check_inherit_ipc_ports, p, cur_vp, cur_offset, img_vp, img_offset, scriptvp);
  
  
+       return (error);
+}
  
  
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
+/*
+ * The type of maxprot in proc_check_map_anon must be equivalent to vm_prot_t
+ * (defined in <mach/vm_prot.h>). mac_policy.h does not include any header
+ * files, so cannot use the typedef itself.
+ */
+int
+mac_proc_check_map_anon(proc_t proc, user_addr_t u_addr,
+    user_size_t u_size, int prot, int flags, int *maxprot)
+{
+       kauth_cred_t cred;
+       int error;
+
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_vm_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(proc))
                 return (0);
  
                 return (0);
  
-       cred = kauth_cred_proc_ref(curp);
-       MAC_CHECK(proc_check_sched, cred, proc);
+       cred = kauth_cred_proc_ref(proc);
+       MAC_CHECK(proc_check_map_anon, proc, cred, u_addr, u_size, prot, flags, maxprot);
         kauth_cred_unref(&cred);
  
         return (error);
  }
  
  int
         kauth_cred_unref(&cred);
  
         return (error);
  }
  
  int
-mac_proc_check_signal(proc_t curp, struct proc *proc, int signum)
+mac_proc_check_mprotect(proc_t proc,
+    user_addr_t addr, user_size_t size, int prot)
  {
         kauth_cred_t cred;
         int error;
  
  {
         kauth_cred_t cred;
         int error;
  
-
-
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_vm_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(proc))
                 return (0);
  
                 return (0);
  
-       cred = kauth_cred_proc_ref(curp);
-       MAC_CHECK(proc_check_signal, cred, proc, signum);
+       cred = kauth_cred_proc_ref(proc);
+       MAC_CHECK(proc_check_mprotect, cred, proc, addr, size, prot);
         kauth_cred_unref(&cred);
  
         return (error);
  }
  
  int
         kauth_cred_unref(&cred);
  
         return (error);
  }
  
  int
-mac_proc_check_wait(proc_t curp, struct proc *proc)
+mac_proc_check_run_cs_invalid(proc_t proc)
+{
+       int error;
+       
+#if SECURITY_MAC_CHECK_ENFORCE
+    /* 21167099 - only check if we allow write */
+    if (!mac_vm_enforce)
+        return 0;
+#endif
+       
+       MAC_CHECK(proc_check_run_cs_invalid, proc);
+       
+       return (error);
+}
+                                  
+int
+mac_proc_check_sched(proc_t curp, struct proc *proc)
  {
         kauth_cred_t cred;
         int error;
  
  {
         kauth_cred_t cred;
         int error;
  
-
-
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
-               return (0);
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
         cred = kauth_cred_proc_ref(curp);
  
         cred = kauth_cred_proc_ref(curp);
-       MAC_CHECK(proc_check_wait, cred, proc);
+       MAC_CHECK(proc_check_sched, cred, proc);
         kauth_cred_unref(&cred);
  
         return (error);
  }
  
         kauth_cred_unref(&cred);
  
         return (error);
  }
  
-#if CONFIG_LCTX
-/*
- * Login Context
- */
-
  int
  int
-mac_proc_check_setlcid (struct proc *p0, struct proc *p,
-                       pid_t pid, pid_t lcid)
+mac_proc_check_signal(proc_t curp, struct proc *proc, int signum)
  {
  {
+       kauth_cred_t cred;
         int error;
  
         int error;
  
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(p0, MAC_PROC_ENFORCE))
-               return (0);
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_signal, cred, proc, signum);
+       kauth_cred_unref(&cred);
  
  
-       MAC_CHECK(proc_check_setlcid, p0, p, pid, lcid);
         return (error);
  }
  
  int
         return (error);
  }
  
  int
-mac_proc_check_getlcid (struct proc *p0, struct proc *p, pid_t pid)
+mac_proc_check_wait(proc_t curp, struct proc *proc)
  {
  {
+       kauth_cred_t cred;
         int error;
  
         int error;
  
-       if (!mac_proc_enforce ||
-           !mac_proc_check_enforce(p0, MAC_PROC_ENFORCE))
-               return (0);
-
-       MAC_CHECK(proc_check_getlcid, p0, p, pid);
-       return (error);
-}
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
  
-void
-mac_lctx_notify_create (struct proc *p, struct lctx *l)
-{
-       MAC_PERFORM(lctx_notify_create, p, l);
-}
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_wait, cred, proc);
+       kauth_cred_unref(&cred);
  
  
-void
-mac_lctx_notify_join (struct proc *p, struct lctx *l)
-{
-       MAC_PERFORM(lctx_notify_join, p, l);
+       return (error);
  }
  
  void
  }
  
  void
-mac_lctx_notify_leave (struct proc *p, struct lctx *l)
+mac_proc_notify_exit(struct proc *proc)
  {
  {
-       MAC_PERFORM(lctx_notify_leave, p, l);
+       MAC_PERFORM(proc_notify_exit, proc);
  }
  
  }
  
-struct label *
-mac_lctx_label_alloc(void)
+int
+mac_proc_check_suspend_resume(proc_t curp, int sr)
  {
  {
-       struct label *label;
+       kauth_cred_t cred;
+       int error;
  
  
-       label = mac_labelzone_alloc(MAC_WAITOK);
-       if (label == NULL)
-               return (NULL);
-       MAC_PERFORM(lctx_label_init, label);
-       return (label);
-}
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
  
-void
-mac_lctx_label_free(struct label *label)
-{
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_suspend_resume, cred, curp, sr);
+       kauth_cred_unref(&cred);
  
  
-       MAC_PERFORM(lctx_label_destroy, label);
-       mac_labelzone_free(label);
+       return (error);
  }
  
  int
  }
  
  int
-mac_lctx_label_externalize(struct label *label, char *elements,
-    char *outbuf, size_t outbuflen)
+mac_proc_check_ledger(proc_t curp, proc_t proc, int ledger_op)
  {
  {
-       int error;
+       kauth_cred_t cred;
+       int error = 0;
+
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
  
-       error = MAC_EXTERNALIZE(lctx, label, elements, outbuf, outbuflen);
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_ledger, cred, proc, ledger_op);
+       kauth_cred_unref(&cred);
  
         return (error);
  }
  
  int
  
         return (error);
  }
  
  int
-mac_lctx_label_internalize(struct label *label, char *string)
+mac_proc_check_proc_info(proc_t curp, proc_t target, int callnum, int flavor)
  {
  {
-       int error;
+       kauth_cred_t cred;
+       int error = 0;
+
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
  
  
-       error = MAC_INTERNALIZE(lctx, label, string);
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_proc_info, cred, target, callnum, flavor);
+       kauth_cred_unref(&cred);
  
         return (error);
  }
  
  
         return (error);
  }
  
-void
-mac_lctx_label_update(struct lctx *l, struct label *newlabel)
+int
+mac_proc_check_get_cs_info(proc_t curp, proc_t target, unsigned int op)
  {
  {
+       kauth_cred_t cred;
+       int error = 0;
  
  
-       MAC_PERFORM(lctx_label_update, l, newlabel);
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_get_cs_info, cred, target, op);
+       kauth_cred_unref(&cred);
+
+       return (error);
  }
  
  int
  }
  
  int
-mac_lctx_check_label_update(struct lctx *l, struct label *newlabel)
+mac_proc_check_set_cs_info(proc_t curp, proc_t target, unsigned int op)
  {
  {
-       int error;
+       kauth_cred_t cred;
+       int error = 0;
  
  
-       MAC_CHECK(lctx_check_label_update, l, newlabel);
+#if SECURITY_MAC_CHECK_ENFORCE
+       /* 21167099 - only check if we allow write */
+       if (!mac_proc_enforce)
+               return 0;
+#endif
+       if (!mac_proc_check_enforce(curp))
+               return 0;
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_set_cs_info, cred, target, op);
+       kauth_cred_unref(&cred);
  
         return (error);
  }
  
         return (error);
  }
-#endif /* LCTX */
-
  
  
-void
-mac_thread_userret(int code, int error, struct thread *thread)
-{
-
-       if (mac_late)
-               MAC_PERFORM(thread_userret, code, error, thread);
-}