src/core/selinux-access.c

   1 /*-*- Mode: C; c-basic-offset: 8; indent-tabs-mode: nil -*-*/
   2
   3 /***
   4   This file is part of systemd.
   5
   6   Copyright 2012 Dan Walsh
   7
   8   systemd is free software; you can redistribute it and/or modify it
   9   under the terms of the GNU Lesser General Public License as published by
  10   the Free Software Foundation; either version 2.1 of the License, or
  11   (at your option) any later version.
  12
  13   systemd is distributed in the hope that it will be useful, but
  14   WITHOUT ANY WARRANTY; without even the implied warranty of
  15   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
  16   Lesser General Public License for more details.
  17
  18   You should have received a copy of the GNU Lesser General Public License
  19   along with systemd; If not, see <http://www.gnu.org/licenses/>.
  20 ***/
  21
  22 #include "selinux-access.h"
  23
  24 #ifdef HAVE_SELINUX
  25
  26 #include <stdio.h>
  27 #include <string.h>
  28 #include <errno.h>
  29 #include <limits.h>
  30 #include <selinux/selinux.h>
  31 #include <selinux/avc.h>
  32 #include <sys/socket.h>
  33 #ifdef HAVE_AUDIT
  34 #include <libaudit.h>
  35 #endif
  36
  37 #include "sd-bus.h"
  38 #include "bus-util.h"
  39 #include "util.h"
  40 #include "log.h"
  41 #include "audit.h"
  42 #include "selinux-util.h"
  43 #include "audit-fd.h"
  44 #include "strv.h"
  45
  46 static bool initialized = false;
  47
  48 struct audit_info {
  49         sd_bus_creds *creds;
  50         const char *path;
  51         const char *cmdline;
  52 };
  53
  54 /*
  55    Any time an access gets denied this callback will be called
  56    with the audit data.  We then need to just copy the audit data into the msgbuf.
  57 */
  58 static int audit_callback(
  59                 void *auditdata,
  60                 security_class_t cls,
  61                 char *msgbuf,
  62                 size_t msgbufsize) {
  63
  64         const struct audit_info *audit = auditdata;
  65         uid_t uid = 0, login_uid = 0;
  66         gid_t gid = 0;
  67         char login_uid_buf[DECIMAL_STR_MAX(uid_t)] = "n/a";
  68         char uid_buf[DECIMAL_STR_MAX(uid_t)] = "n/a";
  69         char gid_buf[DECIMAL_STR_MAX(gid_t)] = "n/a";
  70
  71         if (sd_bus_creds_get_audit_login_uid(audit->creds, &login_uid) >= 0)
  72                 snprintf(login_uid_buf, sizeof(login_uid_buf), UID_FMT, login_uid);
  73         if (sd_bus_creds_get_uid(audit->creds, &uid) >= 0)
  74                 snprintf(uid_buf, sizeof(uid_buf), UID_FMT, uid);
  75         if (sd_bus_creds_get_gid(audit->creds, &gid) >= 0)
  76                 snprintf(gid_buf, sizeof(gid_buf), GID_FMT, gid);
  77
  78         snprintf(msgbuf, msgbufsize,
  79                  "auid=%s uid=%s gid=%s%s%s%s%s%s%s",
  80                  login_uid_buf, uid_buf, gid_buf,
  81                  audit->path ? " path=\"" : "", strempty(audit->path), audit->path ? "\"" : "",
  82                  audit->cmdline ? " cmdline=\"" : "", strempty(audit->cmdline), audit->cmdline ? "\"" : "");
  83
  84         msgbuf[msgbufsize-1] = 0;
  85
  86         return 0;
  87 }
  88
  89 /*
  90    Any time an access gets denied this callback will be called
  91    code copied from dbus. If audit is turned on the messages will go as
  92    user_avc's into the /var/log/audit/audit.log, otherwise they will be
  93    sent to syslog.
  94 */
  95 _printf_(2, 3) static int log_callback(int type, const char *fmt, ...) {
  96         va_list ap;
  97
  98 #ifdef HAVE_AUDIT
  99         if (get_audit_fd() >= 0) {
 100                 _cleanup_free_ char *buf = NULL;
 101                 int r;
 102
 103                 va_start(ap, fmt);
 104                 r = vasprintf(&buf, fmt, ap);
 105                 va_end(ap);
 106
 107                 if (r >= 0) {
 108                         audit_log_user_avc_message(get_audit_fd(), AUDIT_USER_AVC, buf, NULL, NULL, NULL, 0);
 109                         return 0;
 110                 }
 111         }
 112 #endif
 113
 114         va_start(ap, fmt);
 115         log_metav(LOG_USER | LOG_INFO, __FILE__, __LINE__, __FUNCTION__, fmt, ap);
 116         va_end(ap);
 117
 118         return 0;
 119 }
 120
 121 /*
 122    Function must be called once to initialize the SELinux AVC environment.
 123    Sets up callbacks.
 124    If you want to cleanup memory you should need to call selinux_access_finish.
 125 */
 126 static int access_init(void) {
 127         int r = 0;
 128
 129         if (avc_open(NULL, 0)) {
 130                 log_error("avc_open() failed: %m");
 131                 return -errno;
 132         }
 133
 134         selinux_set_callback(SELINUX_CB_AUDIT, (union selinux_callback) audit_callback);
 135         selinux_set_callback(SELINUX_CB_LOG, (union selinux_callback) log_callback);
 136
 137         if (security_getenforce() < 0){
 138                 r = -errno;
 139                 avc_destroy();
 140         }
 141
 142         return r;
 143 }
 144
 145 static int mac_selinux_access_init(sd_bus_error *error) {
 146         int r;
 147
 148         if (initialized)
 149                 return 0;
 150
 151         if (!mac_selinux_use())
 152                 return 0;
 153
 154         r = access_init();
 155         if (r < 0)
 156                 return sd_bus_error_set(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to initialize SELinux.");
 157
 158         initialized = true;
 159         return 0;
 160 }
 161 #endif
 162
 163 void mac_selinux_access_free(void) {
 164
 165 #ifdef HAVE_SELINUX
 166         if (!initialized)
 167                 return;
 168
 169         avc_destroy();
 170         initialized = false;
 171 #endif
 172 }
 173
 174 /*
 175    This function communicates with the kernel to check whether or not it should
 176    allow the access.
 177    If the machine is in permissive mode it will return ok.  Audit messages will
 178    still be generated if the access would be denied in enforcing mode.
 179 */
 180 int mac_selinux_generic_access_check(
 181                 sd_bus_message *message,
 182                 const char *path,
 183                 const char *permission,
 184                 sd_bus_error *error) {
 185
 186 #ifdef HAVE_SELINUX
 187         _cleanup_bus_creds_unref_ sd_bus_creds *creds = NULL;
 188         const char *tclass = NULL, *scon = NULL;
 189         struct audit_info audit_info = {};
 190         _cleanup_free_ char *cl = NULL;
 191         security_context_t fcon = NULL;
 192         char **cmdline = NULL;
 193         int r = 0;
 194
 195         assert(message);
 196         assert(permission);
 197         assert(error);
 198
 199         if (!mac_selinux_use())
 200                 return 0;
 201
 202         r = mac_selinux_access_init(error);
 203         if (r < 0)
 204                 return r;
 205
 206         r = sd_bus_query_sender_creds(
 207                         message,
 208                         SD_BUS_CREDS_PID|SD_BUS_CREDS_UID|SD_BUS_CREDS_GID|
 209                         SD_BUS_CREDS_CMDLINE|SD_BUS_CREDS_AUDIT_LOGIN_UID|
 210                         SD_BUS_CREDS_SELINUX_CONTEXT,
 211                         &creds);
 212         if (r < 0)
 213                 goto finish;
 214
 215         r = sd_bus_creds_get_selinux_context(creds, &scon);
 216         if (r < 0)
 217                 goto finish;
 218
 219         if (path) {
 220                 /* Get the file context of the unit file */
 221
 222                 r = getfilecon(path, &fcon);
 223                 if (r < 0) {
 224                         r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to get file context on %s.", path);
 225                         goto finish;
 226                 }
 227
 228                 tclass = "service";
 229         } else {
 230                 r = getcon(&fcon);
 231                 if (r < 0) {
 232                         r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to get current context.");
 233                         goto finish;
 234                 }
 235
 236                 tclass = "system";
 237         }
 238
 239         sd_bus_creds_get_cmdline(creds, &cmdline);
 240         cl = strv_join(cmdline, " ");
 241
 242         audit_info.creds = creds;
 243         audit_info.path = path;
 244         audit_info.cmdline = cl;
 245
 246         r = selinux_check_access((security_context_t) scon, fcon, tclass, permission, &audit_info);
 247         if (r < 0)
 248                 r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "SELinux policy denies access.");
 249
 250         log_debug("SELinux access check scon=%s tcon=%s tclass=%s perm=%s path=%s cmdline=%s: %i", scon, fcon, tclass, permission, path, cl, r);
 251
 252 finish:
 253         freecon(fcon);
 254
 255         if (r < 0 && security_getenforce() != 1) {
 256                 sd_bus_error_free(error);
 257                 r = 0;
 258         }
 259
 260         return r;
 261 #else
 262         return 0;
 263 #endif
 264 }
 265
 266 int mac_selinux_unit_access_check_strv(char **units,
 267                                 sd_bus_message *message,
 268                                 Manager *m,
 269                                 const char *permission,
 270                                 sd_bus_error *error) {
 271 #ifdef HAVE_SELINUX
 272         char **i;
 273         Unit *u;
 274         int r;
 275
 276         STRV_FOREACH(i, units) {
 277                 u = manager_get_unit(m, *i);
 278                 if (u) {
 279                         r = mac_selinux_unit_access_check(u, message, permission, error);
 280                         if (r < 0)
 281                                 return r;
 282                 }
 283         }
 284 #endif
 285         return 0;
 286 }