security/integrity/ima/ima_main.c

   1 /*
   2  * Copyright (C) 2005,2006,2007,2008 IBM Corporation
   3  *
   4  * Authors:
   5  * Reiner Sailer <sailer@watson.ibm.com>
   6  * Serge Hallyn <serue@us.ibm.com>
   7  * Kylene Hall <kylene@us.ibm.com>
   8  * Mimi Zohar <zohar@us.ibm.com>
   9  *
  10  * This program is free software; you can redistribute it and/or
  11  * modify it under the terms of the GNU General Public License as
  12  * published by the Free Software Foundation, version 2 of the
  13  * License.
  14  *
  15  * File: ima_main.c
  16  *      implements the IMA hooks: ima_bprm_check, ima_file_mmap,
  17  *      and ima_file_check.
  18  */
  19 #include <linux/module.h>
  20 #include <linux/file.h>
  21 #include <linux/binfmts.h>
  22 #include <linux/mount.h>
  23 #include <linux/mman.h>
  24 #include <linux/slab.h>
  25 #include <linux/xattr.h>
  26 #include <linux/ima.h>
  27
  28 #include "ima.h"
  29
  30 int ima_initialized;
  31
  32 #ifdef CONFIG_IMA_APPRAISE
  33 int ima_appraise = IMA_APPRAISE_ENFORCE;
  34 #else
  35 int ima_appraise;
  36 #endif
  37
  38 int ima_hash_algo = HASH_ALGO_SHA1;
  39 static int hash_setup_done;
  40
  41 static int __init hash_setup(char *str)
  42 {
  43         struct ima_template_desc *template_desc = ima_template_desc_current();
  44         int i;
  45
  46         if (hash_setup_done)
  47                 return 1;
  48
  49         if (strcmp(template_desc->name, IMA_TEMPLATE_IMA_NAME) == 0) {
  50                 if (strncmp(str, "sha1", 4) == 0)
  51                         ima_hash_algo = HASH_ALGO_SHA1;
  52                 else if (strncmp(str, "md5", 3) == 0)
  53                         ima_hash_algo = HASH_ALGO_MD5;
  54                 else
  55                         return 1;
  56                 goto out;
  57         }
  58
  59         for (i = 0; i < HASH_ALGO__LAST; i++) {
  60                 if (strcmp(str, hash_algo_name[i]) == 0) {
  61                         ima_hash_algo = i;
  62                         break;
  63                 }
  64         }
  65         if (i == HASH_ALGO__LAST)
  66                 return 1;
  67 out:
  68         hash_setup_done = 1;
  69         return 1;
  70 }
  71 __setup("ima_hash=", hash_setup);
  72
  73 /*
  74  * ima_rdwr_violation_check
  75  *
  76  * Only invalidate the PCR for measured files:
  77  *      - Opening a file for write when already open for read,
  78  *        results in a time of measure, time of use (ToMToU) error.
  79  *      - Opening a file for read when already open for write,
  80  *        could result in a file measurement error.
  81  *
  82  */
  83 static void ima_rdwr_violation_check(struct file *file,
  84                                      struct integrity_iint_cache *iint,
  85                                      int must_measure,
  86                                      char **pathbuf,
  87                                      const char **pathname)
  88 {
  89         struct inode *inode = file_inode(file);
  90         char filename[NAME_MAX];
  91         fmode_t mode = file->f_mode;
  92         bool send_tomtou = false, send_writers = false;
  93
  94         if (mode & FMODE_WRITE) {
  95                 if (atomic_read(&inode->i_readcount) && IS_IMA(inode)) {
  96                         if (!iint)
  97                                 iint = integrity_iint_find(inode);
  98                         /* IMA_MEASURE is set from reader side */
  99                         if (iint && (iint->flags & IMA_MEASURE))
 100                                 send_tomtou = true;
 101                 }
 102         } else {
 103                 if ((atomic_read(&inode->i_writecount) > 0) && must_measure)
 104                         send_writers = true;
 105         }
 106
 107         if (!send_tomtou && !send_writers)
 108                 return;
 109
 110         *pathname = ima_d_path(&file->f_path, pathbuf, filename);
 111
 112         if (send_tomtou)
 113                 ima_add_violation(file, *pathname, iint,
 114                                   "invalid_pcr", "ToMToU");
 115         if (send_writers)
 116                 ima_add_violation(file, *pathname, iint,
 117                                   "invalid_pcr", "open_writers");
 118 }
 119
 120 static void ima_check_last_writer(struct integrity_iint_cache *iint,
 121                                   struct inode *inode, struct file *file)
 122 {
 123         fmode_t mode = file->f_mode;
 124
 125         if (!(mode & FMODE_WRITE))
 126                 return;
 127
 128         inode_lock(inode);
 129         if (atomic_read(&inode->i_writecount) == 1) {
 130                 if (!IS_I_VERSION(inode) ||
 131                     (iint->version != inode->i_version) ||
 132                     (iint->flags & IMA_NEW_FILE)) {
 133                         iint->flags &= ~(IMA_DONE_MASK | IMA_NEW_FILE);
 134                         iint->measured_pcrs = 0;
 135                         if (iint->flags & IMA_APPRAISE)
 136                                 ima_update_xattr(iint, file);
 137                 }
 138         }
 139         inode_unlock(inode);
 140 }
 141
 142 /**
 143  * ima_file_free - called on __fput()
 144  * @file: pointer to file structure being freed
 145  *
 146  * Flag files that changed, based on i_version
 147  */
 148 void ima_file_free(struct file *file)
 149 {
 150         struct inode *inode = file_inode(file);
 151         struct integrity_iint_cache *iint;
 152
 153         if (!ima_policy_flag || !S_ISREG(inode->i_mode))
 154                 return;
 155
 156         iint = integrity_iint_find(inode);
 157         if (!iint)
 158                 return;
 159
 160         ima_check_last_writer(iint, inode, file);
 161 }
 162
 163 static int process_measurement(struct file *file, char *buf, loff_t size,
 164                                int mask, enum ima_hooks func, int opened)
 165 {
 166         struct inode *inode = file_inode(file);
 167         struct integrity_iint_cache *iint = NULL;
 168         struct ima_template_desc *template_desc;
 169         char *pathbuf = NULL;
 170         char filename[NAME_MAX];
 171         const char *pathname = NULL;
 172         int rc = -ENOMEM, action, must_appraise;
 173         int pcr = CONFIG_IMA_MEASURE_PCR_IDX;
 174         struct evm_ima_xattr_data *xattr_value = NULL;
 175         int xattr_len = 0;
 176         bool violation_check;
 177         enum hash_algo hash_algo;
 178
 179         if (!ima_policy_flag || !S_ISREG(inode->i_mode))
 180                 return 0;
 181
 182         /* Return an IMA_MEASURE, IMA_APPRAISE, IMA_AUDIT action
 183          * bitmask based on the appraise/audit/measurement policy.
 184          * Included is the appraise submask.
 185          */
 186         action = ima_get_action(inode, mask, func, &pcr);
 187         violation_check = ((func == FILE_CHECK || func == MMAP_CHECK) &&
 188                            (ima_policy_flag & IMA_MEASURE));
 189         if (!action && !violation_check)
 190                 return 0;
 191
 192         must_appraise = action & IMA_APPRAISE;
 193
 194         /*  Is the appraise rule hook specific?  */
 195         if (action & IMA_FILE_APPRAISE)
 196                 func = FILE_CHECK;
 197
 198         inode_lock(inode);
 199
 200         if (action) {
 201                 iint = integrity_inode_get(inode);
 202                 if (!iint)
 203                         goto out;
 204         }
 205
 206         if (violation_check) {
 207                 ima_rdwr_violation_check(file, iint, action & IMA_MEASURE,
 208                                          &pathbuf, &pathname);
 209                 if (!action) {
 210                         rc = 0;
 211                         goto out_free;
 212                 }
 213         }
 214
 215         /* Determine if already appraised/measured based on bitmask
 216          * (IMA_MEASURE, IMA_MEASURED, IMA_XXXX_APPRAISE, IMA_XXXX_APPRAISED,
 217          *  IMA_AUDIT, IMA_AUDITED)
 218          */
 219         iint->flags |= action;
 220         action &= IMA_DO_MASK;
 221         action &= ~((iint->flags & (IMA_DONE_MASK ^ IMA_MEASURED)) >> 1);
 222
 223         /* If target pcr is already measured, unset IMA_MEASURE action */
 224         if ((action & IMA_MEASURE) && (iint->measured_pcrs & (0x1 << pcr)))
 225                 action ^= IMA_MEASURE;
 226
 227         /* Nothing to do, just return existing appraised status */
 228         if (!action) {
 229                 if (must_appraise)
 230                         rc = ima_get_cache_status(iint, func);
 231                 goto out_digsig;
 232         }
 233
 234         template_desc = ima_template_desc_current();
 235         if ((action & IMA_APPRAISE_SUBMASK) ||
 236                     strcmp(template_desc->name, IMA_TEMPLATE_IMA_NAME) != 0)
 237                 /* read 'security.ima' */
 238                 xattr_len = ima_read_xattr(file_dentry(file), &xattr_value);
 239
 240         hash_algo = ima_get_hash_algo(xattr_value, xattr_len);
 241
 242         rc = ima_collect_measurement(iint, file, buf, size, hash_algo);
 243         if (rc != 0 && rc != -EBADF && rc != -EINVAL)
 244                 goto out_digsig;
 245
 246         if (!pathbuf)   /* ima_rdwr_violation possibly pre-fetched */
 247                 pathname = ima_d_path(&file->f_path, &pathbuf, filename);
 248
 249         if (action & IMA_MEASURE)
 250                 ima_store_measurement(iint, file, pathname,
 251                                       xattr_value, xattr_len, pcr);
 252         if (rc == 0 && (action & IMA_APPRAISE_SUBMASK))
 253                 rc = ima_appraise_measurement(func, iint, file, pathname,
 254                                               xattr_value, xattr_len, opened);
 255         if (action & IMA_AUDIT)
 256                 ima_audit_measurement(iint, pathname);
 257
 258         if ((file->f_flags & O_DIRECT) && (iint->flags & IMA_PERMIT_DIRECTIO))
 259                 rc = 0;
 260 out_digsig:
 261         if ((mask & MAY_WRITE) && (iint->flags & IMA_DIGSIG) &&
 262              !(iint->flags & IMA_NEW_FILE))
 263                 rc = -EACCES;
 264         kfree(xattr_value);
 265 out_free:
 266         if (pathbuf)
 267                 __putname(pathbuf);
 268 out:
 269         inode_unlock(inode);
 270         if ((rc && must_appraise) && (ima_appraise & IMA_APPRAISE_ENFORCE))
 271                 return -EACCES;
 272         return 0;
 273 }
 274
 275 /**
 276  * ima_file_mmap - based on policy, collect/store measurement.
 277  * @file: pointer to the file to be measured (May be NULL)
 278  * @prot: contains the protection that will be applied by the kernel.
 279  *
 280  * Measure files being mmapped executable based on the ima_must_measure()
 281  * policy decision.
 282  *
 283  * On success return 0.  On integrity appraisal error, assuming the file
 284  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 285  */
 286 int ima_file_mmap(struct file *file, unsigned long prot)
 287 {
 288         if (file && (prot & PROT_EXEC))
 289                 return process_measurement(file, NULL, 0, MAY_EXEC,
 290                                            MMAP_CHECK, 0);
 291         return 0;
 292 }
 293
 294 /**
 295  * ima_bprm_check - based on policy, collect/store measurement.
 296  * @bprm: contains the linux_binprm structure
 297  *
 298  * The OS protects against an executable file, already open for write,
 299  * from being executed in deny_write_access() and an executable file,
 300  * already open for execute, from being modified in get_write_access().
 301  * So we can be certain that what we verify and measure here is actually
 302  * what is being executed.
 303  *
 304  * On success return 0.  On integrity appraisal error, assuming the file
 305  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 306  */
 307 int ima_bprm_check(struct linux_binprm *bprm)
 308 {
 309         return process_measurement(bprm->file, NULL, 0, MAY_EXEC,
 310                                    BPRM_CHECK, 0);
 311 }
 312
 313 /**
 314  * ima_path_check - based on policy, collect/store measurement.
 315  * @file: pointer to the file to be measured
 316  * @mask: contains MAY_READ, MAY_WRITE, MAY_EXEC or MAY_APPEND
 317  *
 318  * Measure files based on the ima_must_measure() policy decision.
 319  *
 320  * On success return 0.  On integrity appraisal error, assuming the file
 321  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 322  */
 323 int ima_file_check(struct file *file, int mask, int opened)
 324 {
 325         return process_measurement(file, NULL, 0,
 326                                    mask & (MAY_READ | MAY_WRITE | MAY_EXEC |
 327                                            MAY_APPEND), FILE_CHECK, opened);
 328 }
 329 EXPORT_SYMBOL_GPL(ima_file_check);
 330
 331 /**
 332  * ima_post_path_mknod - mark as a new inode
 333  * @dentry: newly created dentry
 334  *
 335  * Mark files created via the mknodat syscall as new, so that the
 336  * file data can be written later.
 337  */
 338 void ima_post_path_mknod(struct dentry *dentry)
 339 {
 340         struct integrity_iint_cache *iint;
 341         struct inode *inode = dentry->d_inode;
 342         int must_appraise;
 343
 344         must_appraise = ima_must_appraise(inode, MAY_ACCESS, FILE_CHECK);
 345         if (!must_appraise)
 346                 return;
 347
 348         iint = integrity_inode_get(inode);
 349         if (iint)
 350                 iint->flags |= IMA_NEW_FILE;
 351 }
 352
 353 /**
 354  * ima_read_file - pre-measure/appraise hook decision based on policy
 355  * @file: pointer to the file to be measured/appraised/audit
 356  * @read_id: caller identifier
 357  *
 358  * Permit reading a file based on policy. The policy rules are written
 359  * in terms of the policy identifier.  Appraising the integrity of
 360  * a file requires a file descriptor.
 361  *
 362  * For permission return 0, otherwise return -EACCES.
 363  */
 364 int ima_read_file(struct file *file, enum kernel_read_file_id read_id)
 365 {
 366         bool sig_enforce = is_module_sig_enforced();
 367
 368         if (!file && read_id == READING_MODULE) {
 369                 if (!sig_enforce && (ima_appraise & IMA_APPRAISE_MODULES) &&
 370                     (ima_appraise & IMA_APPRAISE_ENFORCE))
 371                         return -EACCES; /* INTEGRITY_UNKNOWN */
 372                 return 0;       /* We rely on module signature checking */
 373         }
 374         return 0;
 375 }
 376
 377 static int read_idmap[READING_MAX_ID] = {
 378         [READING_FIRMWARE] = FIRMWARE_CHECK,
 379         [READING_MODULE] = MODULE_CHECK,
 380         [READING_KEXEC_IMAGE] = KEXEC_KERNEL_CHECK,
 381         [READING_KEXEC_INITRAMFS] = KEXEC_INITRAMFS_CHECK,
 382         [READING_POLICY] = POLICY_CHECK
 383 };
 384
 385 /**
 386  * ima_post_read_file - in memory collect/appraise/audit measurement
 387  * @file: pointer to the file to be measured/appraised/audit
 388  * @buf: pointer to in memory file contents
 389  * @size: size of in memory file contents
 390  * @read_id: caller identifier
 391  *
 392  * Measure/appraise/audit in memory file based on policy.  Policy rules
 393  * are written in terms of a policy identifier.
 394  *
 395  * On success return 0.  On integrity appraisal error, assuming the file
 396  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 397  */
 398 int ima_post_read_file(struct file *file, void *buf, loff_t size,
 399                        enum kernel_read_file_id read_id)
 400 {
 401         enum ima_hooks func;
 402
 403         if (!file && read_id == READING_FIRMWARE) {
 404                 if ((ima_appraise & IMA_APPRAISE_FIRMWARE) &&
 405                     (ima_appraise & IMA_APPRAISE_ENFORCE))
 406                         return -EACCES; /* INTEGRITY_UNKNOWN */
 407                 return 0;
 408         }
 409
 410         if (!file && read_id == READING_MODULE) /* MODULE_SIG_FORCE enabled */
 411                 return 0;
 412
 413         /* permit signed certs */
 414         if (!file && read_id == READING_X509_CERTIFICATE)
 415                 return 0;
 416
 417         if (!file || !buf || size == 0) { /* should never happen */
 418                 if (ima_appraise & IMA_APPRAISE_ENFORCE)
 419                         return -EACCES;
 420                 return 0;
 421         }
 422
 423         func = read_idmap[read_id] ?: FILE_CHECK;
 424         return process_measurement(file, buf, size, MAY_READ, func, 0);
 425 }
 426
 427 static int __init init_ima(void)
 428 {
 429         int error;
 430
 431         ima_init_template_list();
 432         hash_setup(CONFIG_IMA_DEFAULT_HASH);
 433         error = ima_init();
 434         if (!error) {
 435                 ima_initialized = 1;
 436                 ima_update_policy_flag();
 437         }
 438         return error;
 439 }
 440
 441 late_initcall(init_ima);        /* Start IMA after the TPM is available */
 442
 443 MODULE_DESCRIPTION("Integrity Measurement Architecture");
 444 MODULE_LICENSE("GPL");