scripts/selinux/mdp/mdp.c

   1 // SPDX-License-Identifier: GPL-2.0-or-later
   2 /*
   3  *
   4  * mdp - make dummy policy
   5  *
   6  * When pointed at a kernel tree, builds a dummy policy for that kernel
   7  * with exactly one type with full rights to itself.
   8  *
   9  * Copyright (C) IBM Corporation, 2006
  10  *
  11  * Authors: Serge E. Hallyn <[email protected]>
  12  */
  13
  14
  15 /* NOTE: we really do want to use the kernel headers here */
  16 #define __EXPORTED_HEADERS__
  17
  18 #include <stdio.h>
  19 #include <stdlib.h>
  20 #include <unistd.h>
  21 #include <string.h>
  22 #include <linux/kconfig.h>
  23
  24 static void usage(char *name)
  25 {
  26         printf("usage: %s [-m] policy_file context_file\n", name);
  27         exit(1);
  28 }
  29
  30 /* Class/perm mapping support */
  31 struct security_class_mapping {
  32         const char *name;
  33         const char *perms[sizeof(unsigned) * 8 + 1];
  34 };
  35
  36 #include "classmap.h"
  37 #include "initial_sid_to_string.h"
  38
  39 int main(int argc, char *argv[])
  40 {
  41         int i, j, mls = 0;
  42         int initial_sid_to_string_len;
  43         char **arg, *polout, *ctxout;
  44
  45         FILE *fout;
  46
  47         if (argc < 3)
  48                 usage(argv[0]);
  49         arg = argv+1;
  50         if (argc==4 && strcmp(argv[1], "-m") == 0) {
  51                 mls = 1;
  52                 arg++;
  53         }
  54         polout = *arg++;
  55         ctxout = *arg;
  56
  57         fout = fopen(polout, "w");
  58         if (!fout) {
  59                 printf("Could not open %s for writing\n", polout);
  60                 usage(argv[0]);
  61         }
  62
  63         /* print out the classes */
  64         for (i = 0; secclass_map[i].name; i++)
  65                 fprintf(fout, "class %s\n", secclass_map[i].name);
  66         fprintf(fout, "\n");
  67
  68         initial_sid_to_string_len = sizeof(initial_sid_to_string) / sizeof (char *);
  69         /* print out the sids */
  70         for (i = 1; i < initial_sid_to_string_len; i++) {
  71                 const char *name = initial_sid_to_string[i];
  72
  73                 if (name)
  74                         fprintf(fout, "sid %s\n", name);
  75                 else
  76                         fprintf(fout, "sid unused%d\n", i);
  77         }
  78         fprintf(fout, "\n");
  79
  80         /* print out the class permissions */
  81         for (i = 0; secclass_map[i].name; i++) {
  82                 struct security_class_mapping *map = &secclass_map[i];
  83                 fprintf(fout, "class %s\n", map->name);
  84                 fprintf(fout, "{\n");
  85                 for (j = 0; map->perms[j]; j++)
  86                         fprintf(fout, "\t%s\n", map->perms[j]);
  87                 fprintf(fout, "}\n\n");
  88         }
  89         fprintf(fout, "\n");
  90
  91         /* print out mls declarations and constraints */
  92         if (mls) {
  93                 fprintf(fout, "sensitivity s0;\n");
  94                 fprintf(fout, "sensitivity s1;\n");
  95                 fprintf(fout, "dominance { s0 s1 }\n");
  96                 fprintf(fout, "category c0;\n");
  97                 fprintf(fout, "category c1;\n");
  98                 fprintf(fout, "level s0:c0.c1;\n");
  99                 fprintf(fout, "level s1:c0.c1;\n");
 100 #define SYSTEMLOW "s0"
 101 #define SYSTEMHIGH "s1:c0.c1"
 102                 for (i = 0; secclass_map[i].name; i++) {
 103                         struct security_class_mapping *map = &secclass_map[i];
 104
 105                         fprintf(fout, "mlsconstrain %s {\n", map->name);
 106                         for (j = 0; map->perms[j]; j++)
 107                                 fprintf(fout, "\t%s\n", map->perms[j]);
 108                         /*
 109                          * This requires all subjects and objects to be
 110                          * single-level (l2 eq h2), and that the subject
 111                          * level dominate the object level (h1 dom h2)
 112                          * in order to have any permissions to it.
 113                          */
 114                         fprintf(fout, "} (l2 eq h2 and h1 dom h2);\n\n");
 115                 }
 116         }
 117
 118         /* types, roles, and allows */
 119         fprintf(fout, "type base_t;\n");
 120         fprintf(fout, "role base_r;\n");
 121         fprintf(fout, "role base_r types { base_t };\n");
 122         for (i = 0; secclass_map[i].name; i++)
 123                 fprintf(fout, "allow base_t base_t:%s *;\n",
 124                         secclass_map[i].name);
 125         fprintf(fout, "user user_u roles { base_r }");
 126         if (mls)
 127                 fprintf(fout, " level %s range %s - %s", SYSTEMLOW,
 128                         SYSTEMLOW, SYSTEMHIGH);
 129         fprintf(fout, ";\n");
 130
 131 #define SUBJUSERROLETYPE "user_u:base_r:base_t"
 132 #define OBJUSERROLETYPE "user_u:object_r:base_t"
 133
 134         /* default sids */
 135         for (i = 1; i < initial_sid_to_string_len; i++) {
 136                 const char *name = initial_sid_to_string[i];
 137
 138                 if (name)
 139                         fprintf(fout, "sid %s ", name);
 140                 else
 141                         fprintf(fout, "sid unused%d\n", i);
 142                 fprintf(fout, SUBJUSERROLETYPE "%s\n",
 143                         mls ? ":" SYSTEMLOW : "");
 144         }
 145         fprintf(fout, "\n");
 146
 147 #define FS_USE(behavior, fstype)                            \
 148         fprintf(fout, "fs_use_%s %s " OBJUSERROLETYPE "%s;\n", \
 149                 behavior, fstype, mls ? ":" SYSTEMLOW : "")
 150
 151         /*
 152          * Filesystems whose inode labels can be fetched via getxattr.
 153          */
 154 #ifdef CONFIG_EXT2_FS_SECURITY
 155         FS_USE("xattr", "ext2");
 156 #endif
 157 #ifdef CONFIG_EXT4_FS_SECURITY
 158 #ifdef CONFIG_EXT4_USE_FOR_EXT2
 159         FS_USE("xattr", "ext2");
 160 #endif
 161         FS_USE("xattr", "ext3");
 162         FS_USE("xattr", "ext4");
 163 #endif
 164 #ifdef CONFIG_JFS_SECURITY
 165         FS_USE("xattr", "jfs");
 166 #endif
 167 #ifdef CONFIG_REISERFS_FS_SECURITY
 168         FS_USE("xattr", "reiserfs");
 169 #endif
 170 #ifdef CONFIG_JFFS2_FS_SECURITY
 171         FS_USE("xattr", "jffs2");
 172 #endif
 173 #ifdef CONFIG_XFS_FS
 174         FS_USE("xattr", "xfs");
 175 #endif
 176 #ifdef CONFIG_GFS2_FS
 177         FS_USE("xattr", "gfs2");
 178 #endif
 179 #ifdef CONFIG_BTRFS_FS
 180         FS_USE("xattr", "btrfs");
 181 #endif
 182 #ifdef CONFIG_F2FS_FS_SECURITY
 183         FS_USE("xattr", "f2fs");
 184 #endif
 185 #ifdef CONFIG_OCFS2_FS
 186         FS_USE("xattr", "ocsfs2");
 187 #endif
 188 #ifdef CONFIG_OVERLAY_FS
 189         FS_USE("xattr", "overlay");
 190 #endif
 191 #ifdef CONFIG_SQUASHFS_XATTR
 192         FS_USE("xattr", "squashfs");
 193 #endif
 194
 195         /*
 196          * Filesystems whose inodes are labeled from allocating task.
 197          */
 198         FS_USE("task", "pipefs");
 199         FS_USE("task", "sockfs");
 200
 201         /*
 202          * Filesystems whose inode labels are computed from both
 203          * the allocating task and the superblock label.
 204          */
 205 #ifdef CONFIG_UNIX98_PTYS
 206         FS_USE("trans", "devpts");
 207 #endif
 208 #ifdef CONFIG_HUGETLBFS
 209         FS_USE("trans", "hugetlbfs");
 210 #endif
 211 #ifdef CONFIG_TMPFS
 212         FS_USE("trans", "tmpfs");
 213 #endif
 214 #ifdef CONFIG_DEVTMPFS
 215         FS_USE("trans", "devtmpfs");
 216 #endif
 217 #ifdef CONFIG_POSIX_MQUEUE
 218         FS_USE("trans", "mqueue");
 219 #endif
 220
 221 #define GENFSCON(fstype, prefix)                             \
 222         fprintf(fout, "genfscon %s %s " OBJUSERROLETYPE "%s\n", \
 223                 fstype, prefix, mls ? ":" SYSTEMLOW : "")
 224
 225         /*
 226          * Filesystems whose inodes are labeled from path prefix match
 227          * relative to the filesystem root.  Depending on the filesystem,
 228          * only a single label for all inodes may be supported.  Here
 229          * we list the filesystem types for which per-file labeling is
 230          * supported using genfscon; any other filesystem type can also
 231          * be added by only with a single entry for all of its inodes.
 232          */
 233 #ifdef CONFIG_PROC_FS
 234         GENFSCON("proc", "/");
 235 #endif
 236 #ifdef CONFIG_SECURITY_SELINUX
 237         GENFSCON("selinuxfs", "/");
 238 #endif
 239 #ifdef CONFIG_SYSFS
 240         GENFSCON("sysfs", "/");
 241 #endif
 242 #ifdef CONFIG_DEBUG_FS
 243         GENFSCON("debugfs", "/");
 244 #endif
 245 #ifdef CONFIG_TRACING
 246         GENFSCON("tracefs", "/");
 247 #endif
 248 #ifdef CONFIG_PSTORE
 249         GENFSCON("pstore", "/");
 250 #endif
 251         GENFSCON("cgroup", "/");
 252         GENFSCON("cgroup2", "/");
 253
 254         fclose(fout);
 255
 256         fout = fopen(ctxout, "w");
 257         if (!fout) {
 258                 printf("Wrote policy, but cannot open %s for writing\n", ctxout);
 259                 usage(argv[0]);
 260         }
 261         fprintf(fout, "/ " OBJUSERROLETYPE "%s\n", mls ? ":" SYSTEMLOW : "");
 262         fprintf(fout, "/.* " OBJUSERROLETYPE "%s\n", mls ? ":" SYSTEMLOW : "");
 263         fclose(fout);
 264
 265         return 0;
 266 }