SELinux: remove avd from selinux_audit_data
[linux-2.6.git] / security / selinux / include / avc.h
1 /*
2  * Access vector cache interface for object managers.
3  *
4  * Author : Stephen Smalley, <sds@epoch.ncsc.mil>
5  */
6 #ifndef _SELINUX_AVC_H_
7 #define _SELINUX_AVC_H_
8
9 #include <linux/stddef.h>
10 #include <linux/errno.h>
11 #include <linux/kernel.h>
12 #include <linux/kdev_t.h>
13 #include <linux/spinlock.h>
14 #include <linux/init.h>
15 #include <linux/audit.h>
16 #include <linux/lsm_audit.h>
17 #include <linux/in6.h>
18 #include "flask.h"
19 #include "av_permissions.h"
20 #include "security.h"
21
22 #ifdef CONFIG_SECURITY_SELINUX_DEVELOP
23 extern int selinux_enforcing;
24 #else
25 #define selinux_enforcing 1
26 #endif
27
28 /*
29  * An entry in the AVC.
30  */
31 struct avc_entry;
32
33 struct task_struct;
34 struct inode;
35 struct sock;
36 struct sk_buff;
37
38 /*
39  * AVC statistics
40  */
41 struct avc_cache_stats {
42         unsigned int lookups;
43         unsigned int misses;
44         unsigned int allocations;
45         unsigned int reclaims;
46         unsigned int frees;
47 };
48
49 struct selinux_audit_data {
50         u32 ssid;
51         u32 tsid;
52         u16 tclass;
53         u32 requested;
54         u32 audited;
55         u32 denied;
56         /*
57          * auditdeny is a bit tricky and unintuitive.  See the
58          * comments in avc.c for it's meaning and usage.
59          */
60         u32 auditdeny;
61         int result;
62 };
63
64 /*
65  * AVC operations
66  */
67
68 void __init avc_init(void);
69
70 int avc_audit(u32 ssid, u32 tsid,
71                u16 tclass, u32 requested,
72                struct av_decision *avd,
73                int result,
74               struct common_audit_data *a, unsigned flags);
75
76 #define AVC_STRICT 1 /* Ignore permissive mode. */
77 int avc_has_perm_noaudit(u32 ssid, u32 tsid,
78                          u16 tclass, u32 requested,
79                          unsigned flags,
80                          struct av_decision *avd);
81
82 int avc_has_perm_flags(u32 ssid, u32 tsid,
83                        u16 tclass, u32 requested,
84                        struct common_audit_data *auditdata,
85                        unsigned);
86
87 static inline int avc_has_perm(u32 ssid, u32 tsid,
88                                u16 tclass, u32 requested,
89                                struct common_audit_data *auditdata)
90 {
91         return avc_has_perm_flags(ssid, tsid, tclass, requested, auditdata, 0);
92 }
93
94 u32 avc_policy_seqno(void);
95
96 #define AVC_CALLBACK_GRANT              1
97 #define AVC_CALLBACK_TRY_REVOKE         2
98 #define AVC_CALLBACK_REVOKE             4
99 #define AVC_CALLBACK_RESET              8
100 #define AVC_CALLBACK_AUDITALLOW_ENABLE  16
101 #define AVC_CALLBACK_AUDITALLOW_DISABLE 32
102 #define AVC_CALLBACK_AUDITDENY_ENABLE   64
103 #define AVC_CALLBACK_AUDITDENY_DISABLE  128
104
105 int avc_add_callback(int (*callback)(u32 event, u32 ssid, u32 tsid,
106                                      u16 tclass, u32 perms,
107                                      u32 *out_retained),
108                      u32 events, u32 ssid, u32 tsid,
109                      u16 tclass, u32 perms);
110
111 /* Exported to selinuxfs */
112 int avc_get_hash_stats(char *page);
113 extern unsigned int avc_cache_threshold;
114
115 /* Attempt to free avc node cache */
116 void avc_disable(void);
117
118 #ifdef CONFIG_SECURITY_SELINUX_AVC_STATS
119 DECLARE_PER_CPU(struct avc_cache_stats, avc_cache_stats);
120 #endif
121
122 #endif /* _SELINUX_AVC_H_ */
123