src/core/selinux-access.c

   1 /*-*- Mode: C; c-basic-offset: 8; indent-tabs-mode: nil -*-*/
   2
   3 /***
   4   This file is part of systemd.
   5
   6   Copyright 2012 Dan Walsh
   7
   8   systemd is free software; you can redistribute it and/or modify it
   9   under the terms of the GNU Lesser General Public License as published by
  10   the Free Software Foundation; either version 2.1 of the License, or
  11   (at your option) any later version.
  12
  13   systemd is distributed in the hope that it will be useful, but
  14   WITHOUT ANY WARRANTY; without even the implied warranty of
  15   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
  16   Lesser General Public License for more details.
  17
  18   You should have received a copy of the GNU Lesser General Public License
  19   along with systemd; If not, see <http://www.gnu.org/licenses/>.
  20 ***/
  21
  22 #include "selinux-access.h"
  23
  24 #ifdef HAVE_SELINUX
  25
  26 #include <stdio.h>
  27 #include <string.h>
  28 #include <errno.h>
  29 #include <limits.h>
  30 #include <selinux/selinux.h>
  31 #include <selinux/avc.h>
  32 #include <sys/socket.h>
  33 #ifdef HAVE_AUDIT
  34 #include <libaudit.h>
  35 #endif
  36
  37 #include "sd-bus.h"
  38 #include "bus-util.h"
  39 #include "util.h"
  40 #include "log.h"
  41 #include "audit.h"
  42 #include "selinux-util.h"
  43 #include "audit-fd.h"
  44 #include "strv.h"
  45
  46 static bool initialized = false;
  47
  48 struct audit_info {
  49         sd_bus_creds *creds;
  50         const char *path;
  51         const char *cmdline;
  52 };
  53
  54 /*
  55    Any time an access gets denied this callback will be called
  56    with the audit data.  We then need to just copy the audit data into the msgbuf.
  57 */
  58 static int audit_callback(
  59                 void *auditdata,
  60                 security_class_t cls,
  61                 char *msgbuf,
  62                 size_t msgbufsize) {
  63
  64         const struct audit_info *audit = auditdata;
  65         uid_t uid = 0, login_uid = 0;
  66         gid_t gid = 0;
  67         char login_uid_buf[DECIMAL_STR_MAX(uid_t)] = "n/a";
  68         char uid_buf[DECIMAL_STR_MAX(uid_t)] = "n/a";
  69         char gid_buf[DECIMAL_STR_MAX(gid_t)] = "n/a";
  70
  71         if (sd_bus_creds_get_audit_login_uid(audit->creds, &login_uid) >= 0)
  72                 snprintf(login_uid_buf, sizeof(login_uid_buf), UID_FMT, login_uid);
  73         if (sd_bus_creds_get_euid(audit->creds, &uid) >= 0)
  74                 snprintf(uid_buf, sizeof(uid_buf), UID_FMT, uid);
  75         if (sd_bus_creds_get_egid(audit->creds, &gid) >= 0)
  76                 snprintf(gid_buf, sizeof(gid_buf), GID_FMT, gid);
  77
  78         snprintf(msgbuf, msgbufsize,
  79                  "auid=%s uid=%s gid=%s%s%s%s%s%s%s",
  80                  login_uid_buf, uid_buf, gid_buf,
  81                  audit->path ? " path=\"" : "", strempty(audit->path), audit->path ? "\"" : "",
  82                  audit->cmdline ? " cmdline=\"" : "", strempty(audit->cmdline), audit->cmdline ? "\"" : "");
  83
  84         msgbuf[msgbufsize-1] = 0;
  85
  86         return 0;
  87 }
  88
  89 /*
  90    Any time an access gets denied this callback will be called
  91    code copied from dbus. If audit is turned on the messages will go as
  92    user_avc's into the /var/log/audit/audit.log, otherwise they will be
  93    sent to syslog.
  94 */
  95 _printf_(2, 3) static int log_callback(int type, const char *fmt, ...) {
  96         va_list ap;
  97
  98 #ifdef HAVE_AUDIT
  99         if (get_audit_fd() >= 0) {
 100                 _cleanup_free_ char *buf = NULL;
 101                 int r;
 102
 103                 va_start(ap, fmt);
 104                 r = vasprintf(&buf, fmt, ap);
 105                 va_end(ap);
 106
 107                 if (r >= 0) {
 108                         audit_log_user_avc_message(get_audit_fd(), AUDIT_USER_AVC, buf, NULL, NULL, NULL, 0);
 109                         return 0;
 110                 }
 111         }
 112 #endif
 113
 114         va_start(ap, fmt);
 115         log_internalv(LOG_AUTH | LOG_INFO, 0, __FILE__, __LINE__, __FUNCTION__, fmt, ap);
 116         va_end(ap);
 117
 118         return 0;
 119 }
 120
 121 /*
 122    Function must be called once to initialize the SELinux AVC environment.
 123    Sets up callbacks.
 124    If you want to cleanup memory you should need to call selinux_access_finish.
 125 */
 126 static int access_init(void) {
 127         int r = 0;
 128
 129         if (avc_open(NULL, 0))
 130                 return log_error_errno(errno, "avc_open() failed: %m");
 131
 132         selinux_set_callback(SELINUX_CB_AUDIT, (union selinux_callback) audit_callback);
 133         selinux_set_callback(SELINUX_CB_LOG, (union selinux_callback) log_callback);
 134
 135         if (security_getenforce() < 0){
 136                 r = -errno;
 137                 avc_destroy();
 138         }
 139
 140         return r;
 141 }
 142
 143 static int mac_selinux_access_init(sd_bus_error *error) {
 144         int r;
 145
 146         if (initialized)
 147                 return 0;
 148
 149         if (!mac_selinux_use())
 150                 return 0;
 151
 152         r = access_init();
 153         if (r < 0)
 154                 return sd_bus_error_set(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to initialize SELinux.");
 155
 156         initialized = true;
 157         return 0;
 158 }
 159 #endif
 160
 161 void mac_selinux_access_free(void) {
 162
 163 #ifdef HAVE_SELINUX
 164         if (!initialized)
 165                 return;
 166
 167         avc_destroy();
 168         initialized = false;
 169 #endif
 170 }
 171
 172 /*
 173    This function communicates with the kernel to check whether or not it should
 174    allow the access.
 175    If the machine is in permissive mode it will return ok.  Audit messages will
 176    still be generated if the access would be denied in enforcing mode.
 177 */
 178 int mac_selinux_generic_access_check(
 179                 sd_bus_message *message,
 180                 const char *path,
 181                 const char *permission,
 182                 sd_bus_error *error) {
 183
 184 #ifdef HAVE_SELINUX
 185         _cleanup_bus_creds_unref_ sd_bus_creds *creds = NULL;
 186         const char *tclass = NULL, *scon = NULL;
 187         struct audit_info audit_info = {};
 188         _cleanup_free_ char *cl = NULL;
 189         security_context_t fcon = NULL;
 190         char **cmdline = NULL;
 191         int r = 0;
 192
 193         assert(message);
 194         assert(permission);
 195         assert(error);
 196
 197         if (!mac_selinux_use())
 198                 return 0;
 199
 200         r = mac_selinux_access_init(error);
 201         if (r < 0)
 202                 return r;
 203
 204         r = sd_bus_query_sender_creds(
 205                         message,
 206                         SD_BUS_CREDS_PID|SD_BUS_CREDS_EUID|SD_BUS_CREDS_EGID|
 207                         SD_BUS_CREDS_CMDLINE|SD_BUS_CREDS_AUDIT_LOGIN_UID|
 208                         SD_BUS_CREDS_SELINUX_CONTEXT|
 209                         SD_BUS_CREDS_AUGMENT /* get more bits from /proc */,
 210                         &creds);
 211         if (r < 0)
 212                 goto finish;
 213
 214         r = sd_bus_creds_get_selinux_context(creds, &scon);
 215         if (r < 0)
 216                 goto finish;
 217
 218         if (path) {
 219                 /* Get the file context of the unit file */
 220
 221                 r = getfilecon(path, &fcon);
 222                 if (r < 0) {
 223                         r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to get file context on %s.", path);
 224                         goto finish;
 225                 }
 226
 227                 tclass = "service";
 228         } else {
 229                 r = getcon(&fcon);
 230                 if (r < 0) {
 231                         r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to get current context.");
 232                         goto finish;
 233                 }
 234
 235                 tclass = "system";
 236         }
 237
 238         sd_bus_creds_get_cmdline(creds, &cmdline);
 239         cl = strv_join(cmdline, " ");
 240
 241         audit_info.creds = creds;
 242         audit_info.path = path;
 243         audit_info.cmdline = cl;
 244
 245         r = selinux_check_access((security_context_t) scon, fcon, tclass, permission, &audit_info);
 246         if (r < 0)
 247                 r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "SELinux policy denies access.");
 248
 249         log_debug("SELinux access check scon=%s tcon=%s tclass=%s perm=%s path=%s cmdline=%s: %i", scon, fcon, tclass, permission, path, cl, r);
 250
 251 finish:
 252         freecon(fcon);
 253
 254         if (r < 0 && security_getenforce() != 1) {
 255                 sd_bus_error_free(error);
 256                 r = 0;
 257         }
 258
 259         return r;
 260 #else
 261         return 0;
 262 #endif
 263 }
 264
 265 int mac_selinux_unit_access_check_strv(char **units,
 266                                 sd_bus_message *message,
 267                                 Manager *m,
 268                                 const char *permission,
 269                                 sd_bus_error *error) {
 270 #ifdef HAVE_SELINUX
 271         char **i;
 272         Unit *u;
 273         int r;
 274
 275         STRV_FOREACH(i, units) {
 276                 u = manager_get_unit(m, *i);
 277                 if (u) {
 278                         r = mac_selinux_unit_access_check(u, message, permission, error);
 279                         if (r < 0)
 280                                 return r;
 281                 }
 282         }
 283 #endif
 284         return 0;
 285 }