security/integrity/ima/ima_main.c

   1 /*
   2  * Copyright (C) 2005,2006,2007,2008 IBM Corporation
   3  *
   4  * Authors:
   5  * Reiner Sailer <sailer@watson.ibm.com>
   6  * Serge Hallyn <serue@us.ibm.com>
   7  * Kylene Hall <kylene@us.ibm.com>
   8  * Mimi Zohar <zohar@us.ibm.com>
   9  *
  10  * This program is free software; you can redistribute it and/or
  11  * modify it under the terms of the GNU General Public License as
  12  * published by the Free Software Foundation, version 2 of the
  13  * License.
  14  *
  15  * File: ima_main.c
  16  *      implements the IMA hooks: ima_bprm_check, ima_file_mmap,
  17  *      and ima_file_check.
  18  */
  19 #include <linux/module.h>
  20 #include <linux/file.h>
  21 #include <linux/binfmts.h>
  22 #include <linux/mount.h>
  23 #include <linux/mman.h>
  24 #include <linux/slab.h>
  25 #include <linux/xattr.h>
  26 #include <linux/ima.h>
  27
  28 #include "ima.h"
  29
  30 int ima_initialized;
  31
  32 #ifdef CONFIG_IMA_APPRAISE
  33 int ima_appraise = IMA_APPRAISE_ENFORCE;
  34 #else
  35 int ima_appraise;
  36 #endif
  37
  38 int ima_hash_algo = HASH_ALGO_SHA1;
  39 static int hash_setup_done;
  40
  41 static int __init hash_setup(char *str)
  42 {
  43         struct ima_template_desc *template_desc = ima_template_desc_current();
  44         int i;
  45
  46         if (hash_setup_done)
  47                 return 1;
  48
  49         if (strcmp(template_desc->name, IMA_TEMPLATE_IMA_NAME) == 0) {
  50                 if (strncmp(str, "sha1", 4) == 0)
  51                         ima_hash_algo = HASH_ALGO_SHA1;
  52                 else if (strncmp(str, "md5", 3) == 0)
  53                         ima_hash_algo = HASH_ALGO_MD5;
  54                 else
  55                         return 1;
  56                 goto out;
  57         }
  58
  59         for (i = 0; i < HASH_ALGO__LAST; i++) {
  60                 if (strcmp(str, hash_algo_name[i]) == 0) {
  61                         ima_hash_algo = i;
  62                         break;
  63                 }
  64         }
  65         if (i == HASH_ALGO__LAST)
  66                 return 1;
  67 out:
  68         hash_setup_done = 1;
  69         return 1;
  70 }
  71 __setup("ima_hash=", hash_setup);
  72
  73 /*
  74  * ima_rdwr_violation_check
  75  *
  76  * Only invalidate the PCR for measured files:
  77  *      - Opening a file for write when already open for read,
  78  *        results in a time of measure, time of use (ToMToU) error.
  79  *      - Opening a file for read when already open for write,
  80  *        could result in a file measurement error.
  81  *
  82  */
  83 static void ima_rdwr_violation_check(struct file *file,
  84                                      struct integrity_iint_cache *iint,
  85                                      int must_measure,
  86                                      char **pathbuf,
  87                                      const char **pathname)
  88 {
  89         struct inode *inode = file_inode(file);
  90         char filename[NAME_MAX];
  91         fmode_t mode = file->f_mode;
  92         bool send_tomtou = false, send_writers = false;
  93
  94         if (mode & FMODE_WRITE) {
  95                 if (atomic_read(&inode->i_readcount) && IS_IMA(inode)) {
  96                         if (!iint)
  97                                 iint = integrity_iint_find(inode);
  98                         /* IMA_MEASURE is set from reader side */
  99                         if (iint && (iint->flags & IMA_MEASURE))
 100                                 send_tomtou = true;
 101                 }
 102         } else {
 103                 if ((atomic_read(&inode->i_writecount) > 0) && must_measure)
 104                         send_writers = true;
 105         }
 106
 107         if (!send_tomtou && !send_writers)
 108                 return;
 109
 110         *pathname = ima_d_path(&file->f_path, pathbuf, filename);
 111
 112         if (send_tomtou)
 113                 ima_add_violation(file, *pathname, iint,
 114                                   "invalid_pcr", "ToMToU");
 115         if (send_writers)
 116                 ima_add_violation(file, *pathname, iint,
 117                                   "invalid_pcr", "open_writers");
 118 }
 119
 120 static void ima_check_last_writer(struct integrity_iint_cache *iint,
 121                                   struct inode *inode, struct file *file)
 122 {
 123         fmode_t mode = file->f_mode;
 124
 125         if (!(mode & FMODE_WRITE))
 126                 return;
 127
 128         inode_lock(inode);
 129         if (atomic_read(&inode->i_writecount) == 1) {
 130                 if ((iint->version != inode->i_version) ||
 131                     (iint->flags & IMA_NEW_FILE)) {
 132                         iint->flags &= ~(IMA_DONE_MASK | IMA_NEW_FILE);
 133                         iint->measured_pcrs = 0;
 134                         if (iint->flags & IMA_APPRAISE)
 135                                 ima_update_xattr(iint, file);
 136                 }
 137         }
 138         inode_unlock(inode);
 139 }
 140
 141 /**
 142  * ima_file_free - called on __fput()
 143  * @file: pointer to file structure being freed
 144  *
 145  * Flag files that changed, based on i_version
 146  */
 147 void ima_file_free(struct file *file)
 148 {
 149         struct inode *inode = file_inode(file);
 150         struct integrity_iint_cache *iint;
 151
 152         if (!ima_policy_flag || !S_ISREG(inode->i_mode))
 153                 return;
 154
 155         iint = integrity_iint_find(inode);
 156         if (!iint)
 157                 return;
 158
 159         ima_check_last_writer(iint, inode, file);
 160 }
 161
 162 static int process_measurement(struct file *file, char *buf, loff_t size,
 163                                int mask, enum ima_hooks func, int opened)
 164 {
 165         struct inode *inode = file_inode(file);
 166         struct integrity_iint_cache *iint = NULL;
 167         struct ima_template_desc *template_desc;
 168         char *pathbuf = NULL;
 169         char filename[NAME_MAX];
 170         const char *pathname = NULL;
 171         int rc = -ENOMEM, action, must_appraise;
 172         int pcr = CONFIG_IMA_MEASURE_PCR_IDX;
 173         struct evm_ima_xattr_data *xattr_value = NULL;
 174         int xattr_len = 0;
 175         bool violation_check;
 176         enum hash_algo hash_algo;
 177
 178         if (!ima_policy_flag || !S_ISREG(inode->i_mode))
 179                 return 0;
 180
 181         /* Return an IMA_MEASURE, IMA_APPRAISE, IMA_AUDIT action
 182          * bitmask based on the appraise/audit/measurement policy.
 183          * Included is the appraise submask.
 184          */
 185         action = ima_get_action(inode, mask, func, &pcr);
 186         violation_check = ((func == FILE_CHECK || func == MMAP_CHECK) &&
 187                            (ima_policy_flag & IMA_MEASURE));
 188         if (!action && !violation_check)
 189                 return 0;
 190
 191         must_appraise = action & IMA_APPRAISE;
 192
 193         /*  Is the appraise rule hook specific?  */
 194         if (action & IMA_FILE_APPRAISE)
 195                 func = FILE_CHECK;
 196
 197         inode_lock(inode);
 198
 199         if (action) {
 200                 iint = integrity_inode_get(inode);
 201                 if (!iint)
 202                         goto out;
 203         }
 204
 205         if (violation_check) {
 206                 ima_rdwr_violation_check(file, iint, action & IMA_MEASURE,
 207                                          &pathbuf, &pathname);
 208                 if (!action) {
 209                         rc = 0;
 210                         goto out_free;
 211                 }
 212         }
 213
 214         /* Determine if already appraised/measured based on bitmask
 215          * (IMA_MEASURE, IMA_MEASURED, IMA_XXXX_APPRAISE, IMA_XXXX_APPRAISED,
 216          *  IMA_AUDIT, IMA_AUDITED)
 217          */
 218         iint->flags |= action;
 219         action &= IMA_DO_MASK;
 220         action &= ~((iint->flags & (IMA_DONE_MASK ^ IMA_MEASURED)) >> 1);
 221
 222         /* If target pcr is already measured, unset IMA_MEASURE action */
 223         if ((action & IMA_MEASURE) && (iint->measured_pcrs & (0x1 << pcr)))
 224                 action ^= IMA_MEASURE;
 225
 226         /* Nothing to do, just return existing appraised status */
 227         if (!action) {
 228                 if (must_appraise)
 229                         rc = ima_get_cache_status(iint, func);
 230                 goto out_digsig;
 231         }
 232
 233         template_desc = ima_template_desc_current();
 234         if ((action & IMA_APPRAISE_SUBMASK) ||
 235                     strcmp(template_desc->name, IMA_TEMPLATE_IMA_NAME) != 0)
 236                 /* read 'security.ima' */
 237                 xattr_len = ima_read_xattr(file_dentry(file), &xattr_value);
 238
 239         hash_algo = ima_get_hash_algo(xattr_value, xattr_len);
 240
 241         rc = ima_collect_measurement(iint, file, buf, size, hash_algo);
 242         if (rc != 0 && rc != -EBADF && rc != -EINVAL)
 243                 goto out_digsig;
 244
 245         if (!pathbuf)   /* ima_rdwr_violation possibly pre-fetched */
 246                 pathname = ima_d_path(&file->f_path, &pathbuf, filename);
 247
 248         if (action & IMA_MEASURE)
 249                 ima_store_measurement(iint, file, pathname,
 250                                       xattr_value, xattr_len, pcr);
 251         if (rc == 0 && (action & IMA_APPRAISE_SUBMASK))
 252                 rc = ima_appraise_measurement(func, iint, file, pathname,
 253                                               xattr_value, xattr_len, opened);
 254         if (action & IMA_AUDIT)
 255                 ima_audit_measurement(iint, pathname);
 256
 257         if ((file->f_flags & O_DIRECT) && (iint->flags & IMA_PERMIT_DIRECTIO))
 258                 rc = 0;
 259 out_digsig:
 260         if ((mask & MAY_WRITE) && (iint->flags & IMA_DIGSIG) &&
 261              !(iint->flags & IMA_NEW_FILE))
 262                 rc = -EACCES;
 263         kfree(xattr_value);
 264 out_free:
 265         if (pathbuf)
 266                 __putname(pathbuf);
 267 out:
 268         inode_unlock(inode);
 269         if ((rc && must_appraise) && (ima_appraise & IMA_APPRAISE_ENFORCE))
 270                 return -EACCES;
 271         return 0;
 272 }
 273
 274 /**
 275  * ima_file_mmap - based on policy, collect/store measurement.
 276  * @file: pointer to the file to be measured (May be NULL)
 277  * @prot: contains the protection that will be applied by the kernel.
 278  *
 279  * Measure files being mmapped executable based on the ima_must_measure()
 280  * policy decision.
 281  *
 282  * On success return 0.  On integrity appraisal error, assuming the file
 283  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 284  */
 285 int ima_file_mmap(struct file *file, unsigned long prot)
 286 {
 287         if (file && (prot & PROT_EXEC))
 288                 return process_measurement(file, NULL, 0, MAY_EXEC,
 289                                            MMAP_CHECK, 0);
 290         return 0;
 291 }
 292
 293 /**
 294  * ima_bprm_check - based on policy, collect/store measurement.
 295  * @bprm: contains the linux_binprm structure
 296  *
 297  * The OS protects against an executable file, already open for write,
 298  * from being executed in deny_write_access() and an executable file,
 299  * already open for execute, from being modified in get_write_access().
 300  * So we can be certain that what we verify and measure here is actually
 301  * what is being executed.
 302  *
 303  * On success return 0.  On integrity appraisal error, assuming the file
 304  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 305  */
 306 int ima_bprm_check(struct linux_binprm *bprm)
 307 {
 308         return process_measurement(bprm->file, NULL, 0, MAY_EXEC,
 309                                    BPRM_CHECK, 0);
 310 }
 311
 312 /**
 313  * ima_path_check - based on policy, collect/store measurement.
 314  * @file: pointer to the file to be measured
 315  * @mask: contains MAY_READ, MAY_WRITE, MAY_EXEC or MAY_APPEND
 316  *
 317  * Measure files based on the ima_must_measure() policy decision.
 318  *
 319  * On success return 0.  On integrity appraisal error, assuming the file
 320  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 321  */
 322 int ima_file_check(struct file *file, int mask, int opened)
 323 {
 324         return process_measurement(file, NULL, 0,
 325                                    mask & (MAY_READ | MAY_WRITE | MAY_EXEC |
 326                                            MAY_APPEND), FILE_CHECK, opened);
 327 }
 328 EXPORT_SYMBOL_GPL(ima_file_check);
 329
 330 /**
 331  * ima_post_path_mknod - mark as a new inode
 332  * @dentry: newly created dentry
 333  *
 334  * Mark files created via the mknodat syscall as new, so that the
 335  * file data can be written later.
 336  */
 337 void ima_post_path_mknod(struct dentry *dentry)
 338 {
 339         struct integrity_iint_cache *iint;
 340         struct inode *inode = dentry->d_inode;
 341         int must_appraise;
 342
 343         must_appraise = ima_must_appraise(inode, MAY_ACCESS, FILE_CHECK);
 344         if (!must_appraise)
 345                 return;
 346
 347         iint = integrity_inode_get(inode);
 348         if (iint)
 349                 iint->flags |= IMA_NEW_FILE;
 350 }
 351
 352 /**
 353  * ima_read_file - pre-measure/appraise hook decision based on policy
 354  * @file: pointer to the file to be measured/appraised/audit
 355  * @read_id: caller identifier
 356  *
 357  * Permit reading a file based on policy. The policy rules are written
 358  * in terms of the policy identifier.  Appraising the integrity of
 359  * a file requires a file descriptor.
 360  *
 361  * For permission return 0, otherwise return -EACCES.
 362  */
 363 int ima_read_file(struct file *file, enum kernel_read_file_id read_id)
 364 {
 365         bool sig_enforce = is_module_sig_enforced();
 366
 367         if (!file && read_id == READING_MODULE) {
 368                 if (!sig_enforce && (ima_appraise & IMA_APPRAISE_MODULES) &&
 369                     (ima_appraise & IMA_APPRAISE_ENFORCE))
 370                         return -EACCES; /* INTEGRITY_UNKNOWN */
 371                 return 0;       /* We rely on module signature checking */
 372         }
 373         return 0;
 374 }
 375
 376 static int read_idmap[READING_MAX_ID] = {
 377         [READING_FIRMWARE] = FIRMWARE_CHECK,
 378         [READING_MODULE] = MODULE_CHECK,
 379         [READING_KEXEC_IMAGE] = KEXEC_KERNEL_CHECK,
 380         [READING_KEXEC_INITRAMFS] = KEXEC_INITRAMFS_CHECK,
 381         [READING_POLICY] = POLICY_CHECK
 382 };
 383
 384 /**
 385  * ima_post_read_file - in memory collect/appraise/audit measurement
 386  * @file: pointer to the file to be measured/appraised/audit
 387  * @buf: pointer to in memory file contents
 388  * @size: size of in memory file contents
 389  * @read_id: caller identifier
 390  *
 391  * Measure/appraise/audit in memory file based on policy.  Policy rules
 392  * are written in terms of a policy identifier.
 393  *
 394  * On success return 0.  On integrity appraisal error, assuming the file
 395  * is in policy and IMA-appraisal is in enforcing mode, return -EACCES.
 396  */
 397 int ima_post_read_file(struct file *file, void *buf, loff_t size,
 398                        enum kernel_read_file_id read_id)
 399 {
 400         enum ima_hooks func;
 401
 402         if (!file && read_id == READING_FIRMWARE) {
 403                 if ((ima_appraise & IMA_APPRAISE_FIRMWARE) &&
 404                     (ima_appraise & IMA_APPRAISE_ENFORCE))
 405                         return -EACCES; /* INTEGRITY_UNKNOWN */
 406                 return 0;
 407         }
 408
 409         if (!file && read_id == READING_MODULE) /* MODULE_SIG_FORCE enabled */
 410                 return 0;
 411
 412         /* permit signed certs */
 413         if (!file && read_id == READING_X509_CERTIFICATE)
 414                 return 0;
 415
 416         if (!file || !buf || size == 0) { /* should never happen */
 417                 if (ima_appraise & IMA_APPRAISE_ENFORCE)
 418                         return -EACCES;
 419                 return 0;
 420         }
 421
 422         func = read_idmap[read_id] ?: FILE_CHECK;
 423         return process_measurement(file, buf, size, MAY_READ, func, 0);
 424 }
 425
 426 static int __init init_ima(void)
 427 {
 428         int error;
 429
 430         ima_init_template_list();
 431         hash_setup(CONFIG_IMA_DEFAULT_HASH);
 432         error = ima_init();
 433         if (!error) {
 434                 ima_initialized = 1;
 435                 ima_update_policy_flag();
 436         }
 437         return error;
 438 }
 439
 440 late_initcall(init_ima);        /* Start IMA after the TPM is available */
 441
 442 MODULE_DESCRIPTION("Integrity Measurement Architecture");
 443 MODULE_LICENSE("GPL");