]> git.saurik.com Git - apple/xnu.git/blobdiff - security/mac_process.c
projects / apple / xnu.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
xnu-2782.1.97.tar.gz
[apple/xnu.git] / security / mac_process.c
diff --git a/security/mac_process.c b/security/mac_process.c
index 4ed4d53b798f892f42457752925323b420f9e82a..929d8107c69e0094213ac092b35497017ded4107 100644 (file)
--- a/security/mac_process.c
+++ b/security/mac_process.c
@@ -1,5 +1,5 @@
 /*
 /*
- * Copyright (c) 2007 Apple Inc. All rights reserved.
+ * Copyright (c) 2007-2010 Apple Inc. All rights reserved.
  *
  * @APPLE_OSREFERENCE_LICENSE_HEADER_START@
  * 
  *
  * @APPLE_OSREFERENCE_LICENSE_HEADER_START@
  * 
@@ -72,10 +72,12 @@
 #include <sys/proc_internal.h>
 #include <sys/kauth.h>
 #include <sys/imgact.h>
 #include <sys/proc_internal.h>
 #include <sys/kauth.h>
 #include <sys/imgact.h>
+#include <mach/mach_types.h>
 
 #include <security/mac_internal.h>
 
 #include <security/mac_internal.h>
+#include <security/mac_mach_internal.h>
 
 
-#include <bsd/bsm/audit_kernel.h>
+#include <bsd/security/audit/audit.h>
 
 struct label *
 mac_cred_label_alloc(void)
 
 struct label *
 mac_cred_label_alloc(void)
@@ -102,6 +104,12 @@ mac_cred_label_free(struct label *label)
        mac_labelzone_free(label);
 }
 
        mac_labelzone_free(label);
 }
 
+int
+mac_cred_label_compare(struct label *a, struct label *b)
+{
+       return (bcmp(a, b, sizeof (*a)) == 0);
+}
+
 int
 mac_cred_label_externalize_audit(struct proc *p, struct mac *mac)
 {
 int
 mac_cred_label_externalize_audit(struct proc *p, struct mac *mac)
 {
@@ -205,12 +213,15 @@ mac_execve_enter(user_addr_t mac_p, struct image_params *imgp)
                return (0);
 
        if (IS_64BIT_PROCESS(current_proc())) {
                return (0);
 
        if (IS_64BIT_PROCESS(current_proc())) {
-               error = copyin(mac_p, &mac, sizeof(mac));
+               struct user64_mac mac64;
+               error = copyin(mac_p, &mac64, sizeof(mac64));
+               mac.m_buflen = mac64.m_buflen;
+               mac.m_string = mac64.m_string;
        } else {
        } else {
-               struct mac mac32;
+               struct user32_mac mac32;
                error = copyin(mac_p, &mac32, sizeof(mac32));
                mac.m_buflen = mac32.m_buflen;
                error = copyin(mac_p, &mac32, sizeof(mac32));
                mac.m_buflen = mac32.m_buflen;
-               mac.m_string = CAST_USER_ADDR_T(mac32.m_string);
+               mac.m_string = mac32.m_string;
        }
        if (error)
                return (error);
        }
        if (error)
                return (error);
@@ -241,13 +252,17 @@ out:
  * When the subject's label changes, it may require revocation of privilege
  * to mapped objects.  This can't be done on-the-fly later with a unified
  * buffer cache.
  * When the subject's label changes, it may require revocation of privilege
  * to mapped objects.  This can't be done on-the-fly later with a unified
  * buffer cache.
+ *
+ * XXX:                CRF_MAC_ENFORCE should be in a kauth_cred_t field, rather
+ * XXX:                than a posix_cred_t field.
  */
 void
 mac_cred_label_update(kauth_cred_t cred, struct label *newlabel)
 {
  */
 void
 mac_cred_label_update(kauth_cred_t cred, struct label *newlabel)
 {
+       posix_cred_t pcred = posix_cred_get(cred);
 
        /* force label to be part of "matching" for credential */
 
        /* force label to be part of "matching" for credential */
-       cred->cr_flags |= CRF_MAC_ENFORCE;
+       pcred->cr_flags |= CRF_MAC_ENFORCE;
 
        /* inform the policies of the update */
        MAC_PERFORM(cred_label_update, cred, newlabel);
 
        /* inform the policies of the update */
        MAC_PERFORM(cred_label_update, cred, newlabel);
@@ -348,6 +363,39 @@ mac_proc_check_get_task(struct ucred *cred, struct proc *p)
        return (error);
 }
 
        return (error);
 }
 
+int
+mac_proc_check_inherit_ipc_ports(struct proc *p, struct vnode *cur_vp, off_t cur_offset, struct vnode *img_vp, off_t img_offset, struct vnode *scriptvp)
+{
+       int error;
+
+       MAC_CHECK(proc_check_inherit_ipc_ports, p, cur_vp, cur_offset, img_vp, img_offset, scriptvp);
+
+       return (error);
+}
+
+/*
+ * The type of maxprot in proc_check_map_anon must be equivalent to vm_prot_t
+ * (defined in <mach/vm_prot.h>). mac_policy.h does not include any header
+ * files, so cannot use the typedef itself.
+ */
+int
+mac_proc_check_map_anon(proc_t proc, user_addr_t u_addr,
+    user_size_t u_size, int prot, int flags, int *maxprot)
+{
+       kauth_cred_t cred;
+       int error;
+
+       if (!mac_vm_enforce ||
+           !mac_proc_check_enforce(proc, MAC_VM_ENFORCE))
+               return (0);
+
+       cred = kauth_cred_proc_ref(proc);
+       MAC_CHECK(proc_check_map_anon, proc, cred, u_addr, u_size, prot, flags, maxprot);
+       kauth_cred_unref(&cred);
+
+       return (error);
+}
+
 int
 mac_proc_check_mprotect(proc_t proc,
     user_addr_t addr, user_size_t size, int prot)
 int
 mac_proc_check_mprotect(proc_t proc,
     user_addr_t addr, user_size_t size, int prot)
@@ -367,16 +415,13 @@ mac_proc_check_mprotect(proc_t proc,
 }
 
 int
 }
 
 int
-mac_proc_check_map_prot_copy_allow(proc_t proc)
+mac_proc_check_run_cs_invalid(proc_t proc)
 {
 {
-       kauth_cred_t cred;
        int error;
        
        if (!mac_vm_enforce) return (0);
        
        int error;
        
        if (!mac_vm_enforce) return (0);
        
-       cred = kauth_cred_proc_ref(proc);
-       MAC_CHECK(proc_check_map_prot_copy_allow, cred, proc);
-       kauth_cred_unref(&cred);
+       MAC_CHECK(proc_check_run_cs_invalid, proc);
        
        return (error);
 }
        
        return (error);
 }
@@ -547,11 +592,125 @@ mac_lctx_check_label_update(struct lctx *l, struct label *newlabel)
 }
 #endif /* LCTX */
 
 }
 #endif /* LCTX */
 
+int
+mac_proc_check_suspend_resume(proc_t curp, int sr)
+{
+       kauth_cred_t cred;
+       int error;
+
+       if (!mac_proc_enforce ||
+           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
+               return (0);
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_suspend_resume, cred, curp, sr);
+       kauth_cred_unref(&cred);
+
+       return (error);
+}
+
+int
+mac_proc_check_ledger(proc_t curp, proc_t proc, int ledger_op)
+{
+       kauth_cred_t cred;
+       int error = 0;
+
+       if (!mac_proc_enforce ||
+           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
+               return (0);
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_ledger, cred, proc, ledger_op);
+       kauth_cred_unref(&cred);
+
+       return (error);
+}
+
+int
+mac_proc_check_cpumon(proc_t curp)
+{
+       kauth_cred_t cred;
+       int error = 0;
+
+       if (!mac_proc_enforce ||
+           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
+               return (0);
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_cpumon, cred);
+       kauth_cred_unref(&cred);
+
+       return (error);
+}
+
+int
+mac_proc_check_proc_info(proc_t curp, proc_t target, int callnum, int flavor)
+{
+       kauth_cred_t cred;
+       int error = 0;
+
+       if (!mac_proc_enforce ||
+           !mac_proc_check_enforce(curp, MAC_PROC_ENFORCE))
+               return (0);
+
+       cred = kauth_cred_proc_ref(curp);
+       MAC_CHECK(proc_check_proc_info, cred, target, callnum, flavor);
+       kauth_cred_unref(&cred);
+
+       return (error);
+}
+
+struct label *
+mac_thread_label_alloc(void)
+{
+       struct label *label;
+
+       label = mac_labelzone_alloc(MAC_WAITOK);
+       if (label == NULL)
+               return (NULL);
+       MAC_PERFORM(thread_label_init, label);
+       return (label);
+}
+
+void
+mac_thread_label_init(struct uthread *uthread)
+{
+       uthread->uu_label = mac_thread_label_alloc();
+}
+
+void
+mac_thread_label_free(struct label *label)
+{
+       MAC_PERFORM(thread_label_destroy, label);
+       mac_labelzone_free(label);
+}
 
 void
 
 void
-mac_thread_userret(int code, int error, struct thread *thread)
+mac_thread_label_destroy(struct uthread *uthread)
+{
+
+       mac_thread_label_free(uthread->uu_label);
+       uthread->uu_label = NULL;
+}
+
+void
+mac_thread_userret(struct thread *td)
+{
+
+       MAC_PERFORM(thread_userret, td);
+}
+
+struct label *
+mac_thread_get_uthreadlabel(struct uthread *uthread)
+{
+
+       return (uthread->uu_label);
+}
+
+struct label *
+mac_thread_get_threadlabel(struct thread *thread)
 {
 {
+       struct uthread *uthread = get_bsdthread_info(thread);
 
 
-       if (mac_late)
-               MAC_PERFORM(thread_userret, code, error, thread);
+       return (mac_thread_get_uthreadlabel(uthread));
 }
 }
mirror of XNU