xref: /linux/security/landlock/domain.c (revision 30e268185e59c3d5a1233416a2135cfda5630644)
133e65b0dSMickaël Salaün // SPDX-License-Identifier: GPL-2.0-only
233e65b0dSMickaël Salaün /*
333e65b0dSMickaël Salaün  * Landlock - Domain management
433e65b0dSMickaël Salaün  *
533e65b0dSMickaël Salaün  * Copyright © 2016-2020 Mickaël Salaün <mic@digikod.net>
633e65b0dSMickaël Salaün  * Copyright © 2018-2020 ANSSI
733e65b0dSMickaël Salaün  * Copyright © 2024-2025 Microsoft Corporation
833e65b0dSMickaël Salaün  */
933e65b0dSMickaël Salaün 
1020fd2954SMickaël Salaün #include <kunit/test.h>
1120fd2954SMickaël Salaün #include <linux/bitops.h>
1220fd2954SMickaël Salaün #include <linux/bits.h>
131d636984SMickaël Salaün #include <linux/cred.h>
141d636984SMickaël Salaün #include <linux/file.h>
151d636984SMickaël Salaün #include <linux/mm.h>
161d636984SMickaël Salaün #include <linux/path.h>
171d636984SMickaël Salaün #include <linux/pid.h>
181d636984SMickaël Salaün #include <linux/sched.h>
19*4767af82SMickaël Salaün #include <linux/signal.h>
201d636984SMickaël Salaün #include <linux/uidgid.h>
211d636984SMickaël Salaün 
2220fd2954SMickaël Salaün #include "access.h"
2320fd2954SMickaël Salaün #include "common.h"
2433e65b0dSMickaël Salaün #include "domain.h"
2533e65b0dSMickaël Salaün #include "id.h"
2633e65b0dSMickaël Salaün 
2733e65b0dSMickaël Salaün #ifdef CONFIG_AUDIT
2833e65b0dSMickaël Salaün 
2933e65b0dSMickaël Salaün /**
301d636984SMickaël Salaün  * get_current_exe - Get the current's executable path, if any
311d636984SMickaël Salaün  *
321d636984SMickaël Salaün  * @exe_str: Returned pointer to a path string with a lifetime tied to the
331d636984SMickaël Salaün  *           returned buffer, if any.
341d636984SMickaël Salaün  * @exe_size: Returned size of @exe_str (including the trailing null
351d636984SMickaël Salaün  *            character), if any.
361d636984SMickaël Salaün  *
371d636984SMickaël Salaün  * Returns: A pointer to an allocated buffer where @exe_str point to, %NULL if
381d636984SMickaël Salaün  * there is no executable path, or an error otherwise.
391d636984SMickaël Salaün  */
get_current_exe(const char ** const exe_str,size_t * const exe_size)401d636984SMickaël Salaün static const void *get_current_exe(const char **const exe_str,
411d636984SMickaël Salaün 				   size_t *const exe_size)
421d636984SMickaël Salaün {
431d636984SMickaël Salaün 	const size_t buffer_size = LANDLOCK_PATH_MAX_SIZE;
441d636984SMickaël Salaün 	struct mm_struct *mm = current->mm;
451d636984SMickaël Salaün 	struct file *file __free(fput) = NULL;
461d636984SMickaël Salaün 	char *buffer __free(kfree) = NULL;
471d636984SMickaël Salaün 	const char *exe;
481d636984SMickaël Salaün 	ssize_t size;
491d636984SMickaël Salaün 
501d636984SMickaël Salaün 	if (!mm)
511d636984SMickaël Salaün 		return NULL;
521d636984SMickaël Salaün 
531d636984SMickaël Salaün 	file = get_mm_exe_file(mm);
541d636984SMickaël Salaün 	if (!file)
551d636984SMickaël Salaün 		return NULL;
561d636984SMickaël Salaün 
571d636984SMickaël Salaün 	buffer = kmalloc(buffer_size, GFP_KERNEL);
581d636984SMickaël Salaün 	if (!buffer)
591d636984SMickaël Salaün 		return ERR_PTR(-ENOMEM);
601d636984SMickaël Salaün 
611d636984SMickaël Salaün 	exe = d_path(&file->f_path, buffer, buffer_size);
621d636984SMickaël Salaün 	if (WARN_ON_ONCE(IS_ERR(exe)))
631d636984SMickaël Salaün 		/* Should never happen according to LANDLOCK_PATH_MAX_SIZE. */
641d636984SMickaël Salaün 		return ERR_CAST(exe);
651d636984SMickaël Salaün 
661d636984SMickaël Salaün 	size = buffer + buffer_size - exe;
671d636984SMickaël Salaün 	if (WARN_ON_ONCE(size <= 0))
681d636984SMickaël Salaün 		return ERR_PTR(-ENAMETOOLONG);
691d636984SMickaël Salaün 
701d636984SMickaël Salaün 	*exe_size = size;
711d636984SMickaël Salaün 	*exe_str = exe;
721d636984SMickaël Salaün 	return no_free_ptr(buffer);
731d636984SMickaël Salaün }
741d636984SMickaël Salaün 
751d636984SMickaël Salaün /*
761d636984SMickaël Salaün  * Returns: A newly allocated object describing a domain, or an error
771d636984SMickaël Salaün  * otherwise.
781d636984SMickaël Salaün  */
get_current_details(void)791d636984SMickaël Salaün static struct landlock_details *get_current_details(void)
801d636984SMickaël Salaün {
811d636984SMickaël Salaün 	/* Cf. audit_log_d_path_exe() */
821d636984SMickaël Salaün 	static const char null_path[] = "(null)";
831d636984SMickaël Salaün 	const char *path_str = null_path;
841d636984SMickaël Salaün 	size_t path_size = sizeof(null_path);
851d636984SMickaël Salaün 	const void *buffer __free(kfree) = NULL;
861d636984SMickaël Salaün 	struct landlock_details *details;
871d636984SMickaël Salaün 
881d636984SMickaël Salaün 	buffer = get_current_exe(&path_str, &path_size);
891d636984SMickaël Salaün 	if (IS_ERR(buffer))
901d636984SMickaël Salaün 		return ERR_CAST(buffer);
911d636984SMickaël Salaün 
921d636984SMickaël Salaün 	/*
931d636984SMickaël Salaün 	 * Create the new details according to the path's length.  Do not
941d636984SMickaël Salaün 	 * allocate with GFP_KERNEL_ACCOUNT because it is independent from the
951d636984SMickaël Salaün 	 * caller.
961d636984SMickaël Salaün 	 */
971d636984SMickaël Salaün 	details =
981d636984SMickaël Salaün 		kzalloc(struct_size(details, exe_path, path_size), GFP_KERNEL);
991d636984SMickaël Salaün 	if (!details)
1001d636984SMickaël Salaün 		return ERR_PTR(-ENOMEM);
1011d636984SMickaël Salaün 
1021d636984SMickaël Salaün 	memcpy(details->exe_path, path_str, path_size);
103*4767af82SMickaël Salaün 	details->pid = get_pid(task_tgid(current));
1041d636984SMickaël Salaün 	details->uid = from_kuid(&init_user_ns, current_uid());
1051d636984SMickaël Salaün 	get_task_comm(details->comm, current);
1061d636984SMickaël Salaün 	return details;
1071d636984SMickaël Salaün }
1081d636984SMickaël Salaün 
1091d636984SMickaël Salaün /**
11033e65b0dSMickaël Salaün  * landlock_init_hierarchy_log - Partially initialize landlock_hierarchy
11133e65b0dSMickaël Salaün  *
11233e65b0dSMickaël Salaün  * @hierarchy: The hierarchy to initialize.
11333e65b0dSMickaël Salaün  *
1141d636984SMickaël Salaün  * The current task is referenced as the domain that is enforcing the
1151d636984SMickaël Salaün  * restriction.  The subjective credentials must not be in an overridden state.
1161d636984SMickaël Salaün  *
11733e65b0dSMickaël Salaün  * @hierarchy->parent and @hierarchy->usage should already be set.
11833e65b0dSMickaël Salaün  */
landlock_init_hierarchy_log(struct landlock_hierarchy * const hierarchy)11933e65b0dSMickaël Salaün int landlock_init_hierarchy_log(struct landlock_hierarchy *const hierarchy)
12033e65b0dSMickaël Salaün {
1211d636984SMickaël Salaün 	struct landlock_details *details;
1221d636984SMickaël Salaün 
1231d636984SMickaël Salaün 	details = get_current_details();
1241d636984SMickaël Salaün 	if (IS_ERR(details))
1251d636984SMickaël Salaün 		return PTR_ERR(details);
1261d636984SMickaël Salaün 
1271d636984SMickaël Salaün 	hierarchy->details = details;
12833e65b0dSMickaël Salaün 	hierarchy->id = landlock_get_id_range(1);
1291d636984SMickaël Salaün 	hierarchy->log_status = LANDLOCK_LOG_PENDING;
13012bfcda7SMickaël Salaün 	hierarchy->log_same_exec = true;
13112bfcda7SMickaël Salaün 	hierarchy->log_new_exec = false;
1321d636984SMickaël Salaün 	atomic64_set(&hierarchy->num_denials, 0);
13333e65b0dSMickaël Salaün 	return 0;
13433e65b0dSMickaël Salaün }
13533e65b0dSMickaël Salaün 
13620fd2954SMickaël Salaün static deny_masks_t
get_layer_deny_mask(const access_mask_t all_existing_optional_access,const unsigned long access_bit,const size_t layer)13720fd2954SMickaël Salaün get_layer_deny_mask(const access_mask_t all_existing_optional_access,
13820fd2954SMickaël Salaün 		    const unsigned long access_bit, const size_t layer)
13920fd2954SMickaël Salaün {
14020fd2954SMickaël Salaün 	unsigned long access_weight;
14120fd2954SMickaël Salaün 
14220fd2954SMickaël Salaün 	/* This may require change with new object types. */
14320fd2954SMickaël Salaün 	WARN_ON_ONCE(all_existing_optional_access !=
14420fd2954SMickaël Salaün 		     _LANDLOCK_ACCESS_FS_OPTIONAL);
14520fd2954SMickaël Salaün 
14620fd2954SMickaël Salaün 	if (WARN_ON_ONCE(layer >= LANDLOCK_MAX_NUM_LAYERS))
14720fd2954SMickaël Salaün 		return 0;
14820fd2954SMickaël Salaün 
14920fd2954SMickaël Salaün 	access_weight = hweight_long(all_existing_optional_access &
15020fd2954SMickaël Salaün 				     GENMASK(access_bit, 0));
15120fd2954SMickaël Salaün 	if (WARN_ON_ONCE(access_weight < 1))
15220fd2954SMickaël Salaün 		return 0;
15320fd2954SMickaël Salaün 
15420fd2954SMickaël Salaün 	return layer
15520fd2954SMickaël Salaün 	       << ((access_weight - 1) * HWEIGHT(LANDLOCK_MAX_NUM_LAYERS - 1));
15620fd2954SMickaël Salaün }
15720fd2954SMickaël Salaün 
15820fd2954SMickaël Salaün #ifdef CONFIG_SECURITY_LANDLOCK_KUNIT_TEST
15920fd2954SMickaël Salaün 
test_get_layer_deny_mask(struct kunit * const test)16020fd2954SMickaël Salaün static void test_get_layer_deny_mask(struct kunit *const test)
16120fd2954SMickaël Salaün {
16220fd2954SMickaël Salaün 	const unsigned long truncate = BIT_INDEX(LANDLOCK_ACCESS_FS_TRUNCATE);
16320fd2954SMickaël Salaün 	const unsigned long ioctl_dev = BIT_INDEX(LANDLOCK_ACCESS_FS_IOCTL_DEV);
16420fd2954SMickaël Salaün 
16520fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(test, 0,
16620fd2954SMickaël Salaün 			get_layer_deny_mask(_LANDLOCK_ACCESS_FS_OPTIONAL,
16720fd2954SMickaël Salaün 					    truncate, 0));
16820fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(test, 0x3,
16920fd2954SMickaël Salaün 			get_layer_deny_mask(_LANDLOCK_ACCESS_FS_OPTIONAL,
17020fd2954SMickaël Salaün 					    truncate, 3));
17120fd2954SMickaël Salaün 
17220fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(test, 0,
17320fd2954SMickaël Salaün 			get_layer_deny_mask(_LANDLOCK_ACCESS_FS_OPTIONAL,
17420fd2954SMickaël Salaün 					    ioctl_dev, 0));
17520fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(test, 0xf0,
17620fd2954SMickaël Salaün 			get_layer_deny_mask(_LANDLOCK_ACCESS_FS_OPTIONAL,
17720fd2954SMickaël Salaün 					    ioctl_dev, 15));
17820fd2954SMickaël Salaün }
17920fd2954SMickaël Salaün 
18020fd2954SMickaël Salaün #endif /* CONFIG_SECURITY_LANDLOCK_KUNIT_TEST */
18120fd2954SMickaël Salaün 
18220fd2954SMickaël Salaün deny_masks_t
landlock_get_deny_masks(const access_mask_t all_existing_optional_access,const access_mask_t optional_access,const layer_mask_t (* const layer_masks)[],const size_t layer_masks_size)18320fd2954SMickaël Salaün landlock_get_deny_masks(const access_mask_t all_existing_optional_access,
18420fd2954SMickaël Salaün 			const access_mask_t optional_access,
18520fd2954SMickaël Salaün 			const layer_mask_t (*const layer_masks)[],
18620fd2954SMickaël Salaün 			const size_t layer_masks_size)
18720fd2954SMickaël Salaün {
18820fd2954SMickaël Salaün 	const unsigned long access_opt = optional_access;
18920fd2954SMickaël Salaün 	unsigned long access_bit;
19020fd2954SMickaël Salaün 	deny_masks_t deny_masks = 0;
19120fd2954SMickaël Salaün 
19220fd2954SMickaël Salaün 	/* This may require change with new object types. */
19320fd2954SMickaël Salaün 	WARN_ON_ONCE(access_opt !=
19420fd2954SMickaël Salaün 		     (optional_access & all_existing_optional_access));
19520fd2954SMickaël Salaün 
19620fd2954SMickaël Salaün 	if (WARN_ON_ONCE(!layer_masks))
19720fd2954SMickaël Salaün 		return 0;
19820fd2954SMickaël Salaün 
19920fd2954SMickaël Salaün 	if (WARN_ON_ONCE(!access_opt))
20020fd2954SMickaël Salaün 		return 0;
20120fd2954SMickaël Salaün 
20220fd2954SMickaël Salaün 	for_each_set_bit(access_bit, &access_opt, layer_masks_size) {
20320fd2954SMickaël Salaün 		const layer_mask_t mask = (*layer_masks)[access_bit];
20420fd2954SMickaël Salaün 
20520fd2954SMickaël Salaün 		if (!mask)
20620fd2954SMickaël Salaün 			continue;
20720fd2954SMickaël Salaün 
20820fd2954SMickaël Salaün 		/* __fls(1) == 0 */
20920fd2954SMickaël Salaün 		deny_masks |= get_layer_deny_mask(all_existing_optional_access,
21020fd2954SMickaël Salaün 						  access_bit, __fls(mask));
21120fd2954SMickaël Salaün 	}
21220fd2954SMickaël Salaün 	return deny_masks;
21320fd2954SMickaël Salaün }
21420fd2954SMickaël Salaün 
21520fd2954SMickaël Salaün #ifdef CONFIG_SECURITY_LANDLOCK_KUNIT_TEST
21620fd2954SMickaël Salaün 
test_landlock_get_deny_masks(struct kunit * const test)21720fd2954SMickaël Salaün static void test_landlock_get_deny_masks(struct kunit *const test)
21820fd2954SMickaël Salaün {
21920fd2954SMickaël Salaün 	const layer_mask_t layers1[BITS_PER_TYPE(access_mask_t)] = {
22020fd2954SMickaël Salaün 		[BIT_INDEX(LANDLOCK_ACCESS_FS_EXECUTE)] = BIT_ULL(0) |
22120fd2954SMickaël Salaün 							  BIT_ULL(9),
22220fd2954SMickaël Salaün 		[BIT_INDEX(LANDLOCK_ACCESS_FS_TRUNCATE)] = BIT_ULL(1),
22320fd2954SMickaël Salaün 		[BIT_INDEX(LANDLOCK_ACCESS_FS_IOCTL_DEV)] = BIT_ULL(2) |
22420fd2954SMickaël Salaün 							    BIT_ULL(0),
22520fd2954SMickaël Salaün 	};
22620fd2954SMickaël Salaün 
22720fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(test, 0x1,
22820fd2954SMickaël Salaün 			landlock_get_deny_masks(_LANDLOCK_ACCESS_FS_OPTIONAL,
22920fd2954SMickaël Salaün 						LANDLOCK_ACCESS_FS_TRUNCATE,
23020fd2954SMickaël Salaün 						&layers1, ARRAY_SIZE(layers1)));
23120fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(test, 0x20,
23220fd2954SMickaël Salaün 			landlock_get_deny_masks(_LANDLOCK_ACCESS_FS_OPTIONAL,
23320fd2954SMickaël Salaün 						LANDLOCK_ACCESS_FS_IOCTL_DEV,
23420fd2954SMickaël Salaün 						&layers1, ARRAY_SIZE(layers1)));
23520fd2954SMickaël Salaün 	KUNIT_EXPECT_EQ(
23620fd2954SMickaël Salaün 		test, 0x21,
23720fd2954SMickaël Salaün 		landlock_get_deny_masks(_LANDLOCK_ACCESS_FS_OPTIONAL,
23820fd2954SMickaël Salaün 					LANDLOCK_ACCESS_FS_TRUNCATE |
23920fd2954SMickaël Salaün 						LANDLOCK_ACCESS_FS_IOCTL_DEV,
24020fd2954SMickaël Salaün 					&layers1, ARRAY_SIZE(layers1)));
24120fd2954SMickaël Salaün }
24220fd2954SMickaël Salaün 
24320fd2954SMickaël Salaün #endif /* CONFIG_SECURITY_LANDLOCK_KUNIT_TEST */
24420fd2954SMickaël Salaün 
24520fd2954SMickaël Salaün #ifdef CONFIG_SECURITY_LANDLOCK_KUNIT_TEST
24620fd2954SMickaël Salaün 
24720fd2954SMickaël Salaün static struct kunit_case test_cases[] = {
24820fd2954SMickaël Salaün 	/* clang-format off */
24920fd2954SMickaël Salaün 	KUNIT_CASE(test_get_layer_deny_mask),
25020fd2954SMickaël Salaün 	KUNIT_CASE(test_landlock_get_deny_masks),
25120fd2954SMickaël Salaün 	{}
25220fd2954SMickaël Salaün 	/* clang-format on */
25320fd2954SMickaël Salaün };
25420fd2954SMickaël Salaün 
25520fd2954SMickaël Salaün static struct kunit_suite test_suite = {
25620fd2954SMickaël Salaün 	.name = "landlock_domain",
25720fd2954SMickaël Salaün 	.test_cases = test_cases,
25820fd2954SMickaël Salaün };
25920fd2954SMickaël Salaün 
26020fd2954SMickaël Salaün kunit_test_suite(test_suite);
26120fd2954SMickaël Salaün 
26220fd2954SMickaël Salaün #endif /* CONFIG_SECURITY_LANDLOCK_KUNIT_TEST */
26320fd2954SMickaël Salaün 
26433e65b0dSMickaël Salaün #endif /* CONFIG_AUDIT */
265