Merge branch 'for-linus' of git://selinuxproject.org/~jmorris/linux-security
[linux-3.10.git] / security / commoncap.c
1 /* Common capabilities, needed by capability.o.
2  *
3  *      This program is free software; you can redistribute it and/or modify
4  *      it under the terms of the GNU General Public License as published by
5  *      the Free Software Foundation; either version 2 of the License, or
6  *      (at your option) any later version.
7  *
8  */
9
10 #include <linux/capability.h>
11 #include <linux/audit.h>
12 #include <linux/module.h>
13 #include <linux/init.h>
14 #include <linux/kernel.h>
15 #include <linux/security.h>
16 #include <linux/file.h>
17 #include <linux/mm.h>
18 #include <linux/mman.h>
19 #include <linux/pagemap.h>
20 #include <linux/swap.h>
21 #include <linux/skbuff.h>
22 #include <linux/netlink.h>
23 #include <linux/ptrace.h>
24 #include <linux/xattr.h>
25 #include <linux/hugetlb.h>
26 #include <linux/mount.h>
27 #include <linux/sched.h>
28 #include <linux/prctl.h>
29 #include <linux/securebits.h>
30 #include <linux/user_namespace.h>
31
32 /*
33  * If a non-root user executes a setuid-root binary in
34  * !secure(SECURE_NOROOT) mode, then we raise capabilities.
35  * However if fE is also set, then the intent is for only
36  * the file capabilities to be applied, and the setuid-root
37  * bit is left on either to change the uid (plausible) or
38  * to get full privilege on a kernel without file capabilities
39  * support.  So in that case we do not raise capabilities.
40  *
41  * Warn if that happens, once per boot.
42  */
43 static void warn_setuid_and_fcaps_mixed(const char *fname)
44 {
45         static int warned;
46         if (!warned) {
47                 printk(KERN_INFO "warning: `%s' has both setuid-root and"
48                         " effective capabilities. Therefore not raising all"
49                         " capabilities.\n", fname);
50                 warned = 1;
51         }
52 }
53
54 int cap_netlink_send(struct sock *sk, struct sk_buff *skb)
55 {
56         return 0;
57 }
58
59 /**
60  * cap_capable - Determine whether a task has a particular effective capability
61  * @cred: The credentials to use
62  * @ns:  The user namespace in which we need the capability
63  * @cap: The capability to check for
64  * @audit: Whether to write an audit message or not
65  *
66  * Determine whether the nominated task has the specified capability amongst
67  * its effective set, returning 0 if it does, -ve if it does not.
68  *
69  * NOTE WELL: cap_has_capability() cannot be used like the kernel's capable()
70  * and has_capability() functions.  That is, it has the reverse semantics:
71  * cap_has_capability() returns 0 when a task has a capability, but the
72  * kernel's capable() and has_capability() returns 1 for this case.
73  */
74 int cap_capable(const struct cred *cred, struct user_namespace *targ_ns,
75                 int cap, int audit)
76 {
77         for (;;) {
78                 /* The creator of the user namespace has all caps. */
79                 if (targ_ns != &init_user_ns && targ_ns->creator == cred->user)
80                         return 0;
81
82                 /* Do we have the necessary capabilities? */
83                 if (targ_ns == cred->user->user_ns)
84                         return cap_raised(cred->cap_effective, cap) ? 0 : -EPERM;
85
86                 /* Have we tried all of the parent namespaces? */
87                 if (targ_ns == &init_user_ns)
88                         return -EPERM;
89
90                 /*
91                  *If you have a capability in a parent user ns, then you have
92                  * it over all children user namespaces as well.
93                  */
94                 targ_ns = targ_ns->creator->user_ns;
95         }
96
97         /* We never get here */
98 }
99
100 /**
101  * cap_settime - Determine whether the current process may set the system clock
102  * @ts: The time to set
103  * @tz: The timezone to set
104  *
105  * Determine whether the current process may set the system clock and timezone
106  * information, returning 0 if permission granted, -ve if denied.
107  */
108 int cap_settime(const struct timespec *ts, const struct timezone *tz)
109 {
110         if (!capable(CAP_SYS_TIME))
111                 return -EPERM;
112         return 0;
113 }
114
115 /**
116  * cap_ptrace_access_check - Determine whether the current process may access
117  *                         another
118  * @child: The process to be accessed
119  * @mode: The mode of attachment.
120  *
121  * If we are in the same or an ancestor user_ns and have all the target
122  * task's capabilities, then ptrace access is allowed.
123  * If we have the ptrace capability to the target user_ns, then ptrace
124  * access is allowed.
125  * Else denied.
126  *
127  * Determine whether a process may access another, returning 0 if permission
128  * granted, -ve if denied.
129  */
130 int cap_ptrace_access_check(struct task_struct *child, unsigned int mode)
131 {
132         int ret = 0;
133         const struct cred *cred, *child_cred;
134
135         rcu_read_lock();
136         cred = current_cred();
137         child_cred = __task_cred(child);
138         if (cred->user->user_ns == child_cred->user->user_ns &&
139             cap_issubset(child_cred->cap_permitted, cred->cap_permitted))
140                 goto out;
141         if (ns_capable(child_cred->user->user_ns, CAP_SYS_PTRACE))
142                 goto out;
143         ret = -EPERM;
144 out:
145         rcu_read_unlock();
146         return ret;
147 }
148
149 /**
150  * cap_ptrace_traceme - Determine whether another process may trace the current
151  * @parent: The task proposed to be the tracer
152  *
153  * If parent is in the same or an ancestor user_ns and has all current's
154  * capabilities, then ptrace access is allowed.
155  * If parent has the ptrace capability to current's user_ns, then ptrace
156  * access is allowed.
157  * Else denied.
158  *
159  * Determine whether the nominated task is permitted to trace the current
160  * process, returning 0 if permission is granted, -ve if denied.
161  */
162 int cap_ptrace_traceme(struct task_struct *parent)
163 {
164         int ret = 0;
165         const struct cred *cred, *child_cred;
166
167         rcu_read_lock();
168         cred = __task_cred(parent);
169         child_cred = current_cred();
170         if (cred->user->user_ns == child_cred->user->user_ns &&
171             cap_issubset(child_cred->cap_permitted, cred->cap_permitted))
172                 goto out;
173         if (has_ns_capability(parent, child_cred->user->user_ns, CAP_SYS_PTRACE))
174                 goto out;
175         ret = -EPERM;
176 out:
177         rcu_read_unlock();
178         return ret;
179 }
180
181 /**
182  * cap_capget - Retrieve a task's capability sets
183  * @target: The task from which to retrieve the capability sets
184  * @effective: The place to record the effective set
185  * @inheritable: The place to record the inheritable set
186  * @permitted: The place to record the permitted set
187  *
188  * This function retrieves the capabilities of the nominated task and returns
189  * them to the caller.
190  */
191 int cap_capget(struct task_struct *target, kernel_cap_t *effective,
192                kernel_cap_t *inheritable, kernel_cap_t *permitted)
193 {
194         const struct cred *cred;
195
196         /* Derived from kernel/capability.c:sys_capget. */
197         rcu_read_lock();
198         cred = __task_cred(target);
199         *effective   = cred->cap_effective;
200         *inheritable = cred->cap_inheritable;
201         *permitted   = cred->cap_permitted;
202         rcu_read_unlock();
203         return 0;
204 }
205
206 /*
207  * Determine whether the inheritable capabilities are limited to the old
208  * permitted set.  Returns 1 if they are limited, 0 if they are not.
209  */
210 static inline int cap_inh_is_capped(void)
211 {
212
213         /* they are so limited unless the current task has the CAP_SETPCAP
214          * capability
215          */
216         if (cap_capable(current_cred(), current_cred()->user->user_ns,
217                         CAP_SETPCAP, SECURITY_CAP_AUDIT) == 0)
218                 return 0;
219         return 1;
220 }
221
222 /**
223  * cap_capset - Validate and apply proposed changes to current's capabilities
224  * @new: The proposed new credentials; alterations should be made here
225  * @old: The current task's current credentials
226  * @effective: A pointer to the proposed new effective capabilities set
227  * @inheritable: A pointer to the proposed new inheritable capabilities set
228  * @permitted: A pointer to the proposed new permitted capabilities set
229  *
230  * This function validates and applies a proposed mass change to the current
231  * process's capability sets.  The changes are made to the proposed new
232  * credentials, and assuming no error, will be committed by the caller of LSM.
233  */
234 int cap_capset(struct cred *new,
235                const struct cred *old,
236                const kernel_cap_t *effective,
237                const kernel_cap_t *inheritable,
238                const kernel_cap_t *permitted)
239 {
240         if (cap_inh_is_capped() &&
241             !cap_issubset(*inheritable,
242                           cap_combine(old->cap_inheritable,
243                                       old->cap_permitted)))
244                 /* incapable of using this inheritable set */
245                 return -EPERM;
246
247         if (!cap_issubset(*inheritable,
248                           cap_combine(old->cap_inheritable,
249                                       old->cap_bset)))
250                 /* no new pI capabilities outside bounding set */
251                 return -EPERM;
252
253         /* verify restrictions on target's new Permitted set */
254         if (!cap_issubset(*permitted, old->cap_permitted))
255                 return -EPERM;
256
257         /* verify the _new_Effective_ is a subset of the _new_Permitted_ */
258         if (!cap_issubset(*effective, *permitted))
259                 return -EPERM;
260
261         new->cap_effective   = *effective;
262         new->cap_inheritable = *inheritable;
263         new->cap_permitted   = *permitted;
264         return 0;
265 }
266
267 /*
268  * Clear proposed capability sets for execve().
269  */
270 static inline void bprm_clear_caps(struct linux_binprm *bprm)
271 {
272         cap_clear(bprm->cred->cap_permitted);
273         bprm->cap_effective = false;
274 }
275
276 /**
277  * cap_inode_need_killpriv - Determine if inode change affects privileges
278  * @dentry: The inode/dentry in being changed with change marked ATTR_KILL_PRIV
279  *
280  * Determine if an inode having a change applied that's marked ATTR_KILL_PRIV
281  * affects the security markings on that inode, and if it is, should
282  * inode_killpriv() be invoked or the change rejected?
283  *
284  * Returns 0 if granted; +ve if granted, but inode_killpriv() is required; and
285  * -ve to deny the change.
286  */
287 int cap_inode_need_killpriv(struct dentry *dentry)
288 {
289         struct inode *inode = dentry->d_inode;
290         int error;
291
292         if (!inode->i_op->getxattr)
293                return 0;
294
295         error = inode->i_op->getxattr(dentry, XATTR_NAME_CAPS, NULL, 0);
296         if (error <= 0)
297                 return 0;
298         return 1;
299 }
300
301 /**
302  * cap_inode_killpriv - Erase the security markings on an inode
303  * @dentry: The inode/dentry to alter
304  *
305  * Erase the privilege-enhancing security markings on an inode.
306  *
307  * Returns 0 if successful, -ve on error.
308  */
309 int cap_inode_killpriv(struct dentry *dentry)
310 {
311         struct inode *inode = dentry->d_inode;
312
313         if (!inode->i_op->removexattr)
314                return 0;
315
316         return inode->i_op->removexattr(dentry, XATTR_NAME_CAPS);
317 }
318
319 /*
320  * Calculate the new process capability sets from the capability sets attached
321  * to a file.
322  */
323 static inline int bprm_caps_from_vfs_caps(struct cpu_vfs_cap_data *caps,
324                                           struct linux_binprm *bprm,
325                                           bool *effective,
326                                           bool *has_cap)
327 {
328         struct cred *new = bprm->cred;
329         unsigned i;
330         int ret = 0;
331
332         if (caps->magic_etc & VFS_CAP_FLAGS_EFFECTIVE)
333                 *effective = true;
334
335         if (caps->magic_etc & VFS_CAP_REVISION_MASK)
336                 *has_cap = true;
337
338         CAP_FOR_EACH_U32(i) {
339                 __u32 permitted = caps->permitted.cap[i];
340                 __u32 inheritable = caps->inheritable.cap[i];
341
342                 /*
343                  * pP' = (X & fP) | (pI & fI)
344                  */
345                 new->cap_permitted.cap[i] =
346                         (new->cap_bset.cap[i] & permitted) |
347                         (new->cap_inheritable.cap[i] & inheritable);
348
349                 if (permitted & ~new->cap_permitted.cap[i])
350                         /* insufficient to execute correctly */
351                         ret = -EPERM;
352         }
353
354         /*
355          * For legacy apps, with no internal support for recognizing they
356          * do not have enough capabilities, we return an error if they are
357          * missing some "forced" (aka file-permitted) capabilities.
358          */
359         return *effective ? ret : 0;
360 }
361
362 /*
363  * Extract the on-exec-apply capability sets for an executable file.
364  */
365 int get_vfs_caps_from_disk(const struct dentry *dentry, struct cpu_vfs_cap_data *cpu_caps)
366 {
367         struct inode *inode = dentry->d_inode;
368         __u32 magic_etc;
369         unsigned tocopy, i;
370         int size;
371         struct vfs_cap_data caps;
372
373         memset(cpu_caps, 0, sizeof(struct cpu_vfs_cap_data));
374
375         if (!inode || !inode->i_op->getxattr)
376                 return -ENODATA;
377
378         size = inode->i_op->getxattr((struct dentry *)dentry, XATTR_NAME_CAPS, &caps,
379                                    XATTR_CAPS_SZ);
380         if (size == -ENODATA || size == -EOPNOTSUPP)
381                 /* no data, that's ok */
382                 return -ENODATA;
383         if (size < 0)
384                 return size;
385
386         if (size < sizeof(magic_etc))
387                 return -EINVAL;
388
389         cpu_caps->magic_etc = magic_etc = le32_to_cpu(caps.magic_etc);
390
391         switch (magic_etc & VFS_CAP_REVISION_MASK) {
392         case VFS_CAP_REVISION_1:
393                 if (size != XATTR_CAPS_SZ_1)
394                         return -EINVAL;
395                 tocopy = VFS_CAP_U32_1;
396                 break;
397         case VFS_CAP_REVISION_2:
398                 if (size != XATTR_CAPS_SZ_2)
399                         return -EINVAL;
400                 tocopy = VFS_CAP_U32_2;
401                 break;
402         default:
403                 return -EINVAL;
404         }
405
406         CAP_FOR_EACH_U32(i) {
407                 if (i >= tocopy)
408                         break;
409                 cpu_caps->permitted.cap[i] = le32_to_cpu(caps.data[i].permitted);
410                 cpu_caps->inheritable.cap[i] = le32_to_cpu(caps.data[i].inheritable);
411         }
412
413         return 0;
414 }
415
416 /*
417  * Attempt to get the on-exec apply capability sets for an executable file from
418  * its xattrs and, if present, apply them to the proposed credentials being
419  * constructed by execve().
420  */
421 static int get_file_caps(struct linux_binprm *bprm, bool *effective, bool *has_cap)
422 {
423         struct dentry *dentry;
424         int rc = 0;
425         struct cpu_vfs_cap_data vcaps;
426
427         bprm_clear_caps(bprm);
428
429         if (!file_caps_enabled)
430                 return 0;
431
432         if (bprm->file->f_vfsmnt->mnt_flags & MNT_NOSUID)
433                 return 0;
434
435         dentry = dget(bprm->file->f_dentry);
436
437         rc = get_vfs_caps_from_disk(dentry, &vcaps);
438         if (rc < 0) {
439                 if (rc == -EINVAL)
440                         printk(KERN_NOTICE "%s: get_vfs_caps_from_disk returned %d for %s\n",
441                                 __func__, rc, bprm->filename);
442                 else if (rc == -ENODATA)
443                         rc = 0;
444                 goto out;
445         }
446
447         rc = bprm_caps_from_vfs_caps(&vcaps, bprm, effective, has_cap);
448         if (rc == -EINVAL)
449                 printk(KERN_NOTICE "%s: cap_from_disk returned %d for %s\n",
450                        __func__, rc, bprm->filename);
451
452 out:
453         dput(dentry);
454         if (rc)
455                 bprm_clear_caps(bprm);
456
457         return rc;
458 }
459
460 /**
461  * cap_bprm_set_creds - Set up the proposed credentials for execve().
462  * @bprm: The execution parameters, including the proposed creds
463  *
464  * Set up the proposed credentials for a new execution context being
465  * constructed by execve().  The proposed creds in @bprm->cred is altered,
466  * which won't take effect immediately.  Returns 0 if successful, -ve on error.
467  */
468 int cap_bprm_set_creds(struct linux_binprm *bprm)
469 {
470         const struct cred *old = current_cred();
471         struct cred *new = bprm->cred;
472         bool effective, has_cap = false;
473         int ret;
474
475         effective = false;
476         ret = get_file_caps(bprm, &effective, &has_cap);
477         if (ret < 0)
478                 return ret;
479
480         if (!issecure(SECURE_NOROOT)) {
481                 /*
482                  * If the legacy file capability is set, then don't set privs
483                  * for a setuid root binary run by a non-root user.  Do set it
484                  * for a root user just to cause least surprise to an admin.
485                  */
486                 if (has_cap && new->uid != 0 && new->euid == 0) {
487                         warn_setuid_and_fcaps_mixed(bprm->filename);
488                         goto skip;
489                 }
490                 /*
491                  * To support inheritance of root-permissions and suid-root
492                  * executables under compatibility mode, we override the
493                  * capability sets for the file.
494                  *
495                  * If only the real uid is 0, we do not set the effective bit.
496                  */
497                 if (new->euid == 0 || new->uid == 0) {
498                         /* pP' = (cap_bset & ~0) | (pI & ~0) */
499                         new->cap_permitted = cap_combine(old->cap_bset,
500                                                          old->cap_inheritable);
501                 }
502                 if (new->euid == 0)
503                         effective = true;
504         }
505 skip:
506
507         /* Don't let someone trace a set[ug]id/setpcap binary with the revised
508          * credentials unless they have the appropriate permit
509          */
510         if ((new->euid != old->uid ||
511              new->egid != old->gid ||
512              !cap_issubset(new->cap_permitted, old->cap_permitted)) &&
513             bprm->unsafe & ~LSM_UNSAFE_PTRACE_CAP) {
514                 /* downgrade; they get no more than they had, and maybe less */
515                 if (!capable(CAP_SETUID)) {
516                         new->euid = new->uid;
517                         new->egid = new->gid;
518                 }
519                 new->cap_permitted = cap_intersect(new->cap_permitted,
520                                                    old->cap_permitted);
521         }
522
523         new->suid = new->fsuid = new->euid;
524         new->sgid = new->fsgid = new->egid;
525
526         if (effective)
527                 new->cap_effective = new->cap_permitted;
528         else
529                 cap_clear(new->cap_effective);
530         bprm->cap_effective = effective;
531
532         /*
533          * Audit candidate if current->cap_effective is set
534          *
535          * We do not bother to audit if 3 things are true:
536          *   1) cap_effective has all caps
537          *   2) we are root
538          *   3) root is supposed to have all caps (SECURE_NOROOT)
539          * Since this is just a normal root execing a process.
540          *
541          * Number 1 above might fail if you don't have a full bset, but I think
542          * that is interesting information to audit.
543          */
544         if (!cap_isclear(new->cap_effective)) {
545                 if (!cap_issubset(CAP_FULL_SET, new->cap_effective) ||
546                     new->euid != 0 || new->uid != 0 ||
547                     issecure(SECURE_NOROOT)) {
548                         ret = audit_log_bprm_fcaps(bprm, new, old);
549                         if (ret < 0)
550                                 return ret;
551                 }
552         }
553
554         new->securebits &= ~issecure_mask(SECURE_KEEP_CAPS);
555         return 0;
556 }
557
558 /**
559  * cap_bprm_secureexec - Determine whether a secure execution is required
560  * @bprm: The execution parameters
561  *
562  * Determine whether a secure execution is required, return 1 if it is, and 0
563  * if it is not.
564  *
565  * The credentials have been committed by this point, and so are no longer
566  * available through @bprm->cred.
567  */
568 int cap_bprm_secureexec(struct linux_binprm *bprm)
569 {
570         const struct cred *cred = current_cred();
571
572         if (cred->uid != 0) {
573                 if (bprm->cap_effective)
574                         return 1;
575                 if (!cap_isclear(cred->cap_permitted))
576                         return 1;
577         }
578
579         return (cred->euid != cred->uid ||
580                 cred->egid != cred->gid);
581 }
582
583 /**
584  * cap_inode_setxattr - Determine whether an xattr may be altered
585  * @dentry: The inode/dentry being altered
586  * @name: The name of the xattr to be changed
587  * @value: The value that the xattr will be changed to
588  * @size: The size of value
589  * @flags: The replacement flag
590  *
591  * Determine whether an xattr may be altered or set on an inode, returning 0 if
592  * permission is granted, -ve if denied.
593  *
594  * This is used to make sure security xattrs don't get updated or set by those
595  * who aren't privileged to do so.
596  */
597 int cap_inode_setxattr(struct dentry *dentry, const char *name,
598                        const void *value, size_t size, int flags)
599 {
600         if (!strcmp(name, XATTR_NAME_CAPS)) {
601                 if (!capable(CAP_SETFCAP))
602                         return -EPERM;
603                 return 0;
604         }
605
606         if (!strncmp(name, XATTR_SECURITY_PREFIX,
607                      sizeof(XATTR_SECURITY_PREFIX) - 1) &&
608             !capable(CAP_SYS_ADMIN))
609                 return -EPERM;
610         return 0;
611 }
612
613 /**
614  * cap_inode_removexattr - Determine whether an xattr may be removed
615  * @dentry: The inode/dentry being altered
616  * @name: The name of the xattr to be changed
617  *
618  * Determine whether an xattr may be removed from an inode, returning 0 if
619  * permission is granted, -ve if denied.
620  *
621  * This is used to make sure security xattrs don't get removed by those who
622  * aren't privileged to remove them.
623  */
624 int cap_inode_removexattr(struct dentry *dentry, const char *name)
625 {
626         if (!strcmp(name, XATTR_NAME_CAPS)) {
627                 if (!capable(CAP_SETFCAP))
628                         return -EPERM;
629                 return 0;
630         }
631
632         if (!strncmp(name, XATTR_SECURITY_PREFIX,
633                      sizeof(XATTR_SECURITY_PREFIX) - 1) &&
634             !capable(CAP_SYS_ADMIN))
635                 return -EPERM;
636         return 0;
637 }
638
639 /*
640  * cap_emulate_setxuid() fixes the effective / permitted capabilities of
641  * a process after a call to setuid, setreuid, or setresuid.
642  *
643  *  1) When set*uiding _from_ one of {r,e,s}uid == 0 _to_ all of
644  *  {r,e,s}uid != 0, the permitted and effective capabilities are
645  *  cleared.
646  *
647  *  2) When set*uiding _from_ euid == 0 _to_ euid != 0, the effective
648  *  capabilities of the process are cleared.
649  *
650  *  3) When set*uiding _from_ euid != 0 _to_ euid == 0, the effective
651  *  capabilities are set to the permitted capabilities.
652  *
653  *  fsuid is handled elsewhere. fsuid == 0 and {r,e,s}uid!= 0 should
654  *  never happen.
655  *
656  *  -astor
657  *
658  * cevans - New behaviour, Oct '99
659  * A process may, via prctl(), elect to keep its capabilities when it
660  * calls setuid() and switches away from uid==0. Both permitted and
661  * effective sets will be retained.
662  * Without this change, it was impossible for a daemon to drop only some
663  * of its privilege. The call to setuid(!=0) would drop all privileges!
664  * Keeping uid 0 is not an option because uid 0 owns too many vital
665  * files..
666  * Thanks to Olaf Kirch and Peter Benie for spotting this.
667  */
668 static inline void cap_emulate_setxuid(struct cred *new, const struct cred *old)
669 {
670         if ((old->uid == 0 || old->euid == 0 || old->suid == 0) &&
671             (new->uid != 0 && new->euid != 0 && new->suid != 0) &&
672             !issecure(SECURE_KEEP_CAPS)) {
673                 cap_clear(new->cap_permitted);
674                 cap_clear(new->cap_effective);
675         }
676         if (old->euid == 0 && new->euid != 0)
677                 cap_clear(new->cap_effective);
678         if (old->euid != 0 && new->euid == 0)
679                 new->cap_effective = new->cap_permitted;
680 }
681
682 /**
683  * cap_task_fix_setuid - Fix up the results of setuid() call
684  * @new: The proposed credentials
685  * @old: The current task's current credentials
686  * @flags: Indications of what has changed
687  *
688  * Fix up the results of setuid() call before the credential changes are
689  * actually applied, returning 0 to grant the changes, -ve to deny them.
690  */
691 int cap_task_fix_setuid(struct cred *new, const struct cred *old, int flags)
692 {
693         switch (flags) {
694         case LSM_SETID_RE:
695         case LSM_SETID_ID:
696         case LSM_SETID_RES:
697                 /* juggle the capabilities to follow [RES]UID changes unless
698                  * otherwise suppressed */
699                 if (!issecure(SECURE_NO_SETUID_FIXUP))
700                         cap_emulate_setxuid(new, old);
701                 break;
702
703         case LSM_SETID_FS:
704                 /* juggle the capabilties to follow FSUID changes, unless
705                  * otherwise suppressed
706                  *
707                  * FIXME - is fsuser used for all CAP_FS_MASK capabilities?
708                  *          if not, we might be a bit too harsh here.
709                  */
710                 if (!issecure(SECURE_NO_SETUID_FIXUP)) {
711                         if (old->fsuid == 0 && new->fsuid != 0)
712                                 new->cap_effective =
713                                         cap_drop_fs_set(new->cap_effective);
714
715                         if (old->fsuid != 0 && new->fsuid == 0)
716                                 new->cap_effective =
717                                         cap_raise_fs_set(new->cap_effective,
718                                                          new->cap_permitted);
719                 }
720                 break;
721
722         default:
723                 return -EINVAL;
724         }
725
726         return 0;
727 }
728
729 /*
730  * Rationale: code calling task_setscheduler, task_setioprio, and
731  * task_setnice, assumes that
732  *   . if capable(cap_sys_nice), then those actions should be allowed
733  *   . if not capable(cap_sys_nice), but acting on your own processes,
734  *      then those actions should be allowed
735  * This is insufficient now since you can call code without suid, but
736  * yet with increased caps.
737  * So we check for increased caps on the target process.
738  */
739 static int cap_safe_nice(struct task_struct *p)
740 {
741         int is_subset;
742
743         rcu_read_lock();
744         is_subset = cap_issubset(__task_cred(p)->cap_permitted,
745                                  current_cred()->cap_permitted);
746         rcu_read_unlock();
747
748         if (!is_subset && !capable(CAP_SYS_NICE))
749                 return -EPERM;
750         return 0;
751 }
752
753 /**
754  * cap_task_setscheduler - Detemine if scheduler policy change is permitted
755  * @p: The task to affect
756  *
757  * Detemine if the requested scheduler policy change is permitted for the
758  * specified task, returning 0 if permission is granted, -ve if denied.
759  */
760 int cap_task_setscheduler(struct task_struct *p)
761 {
762         return cap_safe_nice(p);
763 }
764
765 /**
766  * cap_task_ioprio - Detemine if I/O priority change is permitted
767  * @p: The task to affect
768  * @ioprio: The I/O priority to set
769  *
770  * Detemine if the requested I/O priority change is permitted for the specified
771  * task, returning 0 if permission is granted, -ve if denied.
772  */
773 int cap_task_setioprio(struct task_struct *p, int ioprio)
774 {
775         return cap_safe_nice(p);
776 }
777
778 /**
779  * cap_task_ioprio - Detemine if task priority change is permitted
780  * @p: The task to affect
781  * @nice: The nice value to set
782  *
783  * Detemine if the requested task priority change is permitted for the
784  * specified task, returning 0 if permission is granted, -ve if denied.
785  */
786 int cap_task_setnice(struct task_struct *p, int nice)
787 {
788         return cap_safe_nice(p);
789 }
790
791 /*
792  * Implement PR_CAPBSET_DROP.  Attempt to remove the specified capability from
793  * the current task's bounding set.  Returns 0 on success, -ve on error.
794  */
795 static long cap_prctl_drop(struct cred *new, unsigned long cap)
796 {
797         if (!capable(CAP_SETPCAP))
798                 return -EPERM;
799         if (!cap_valid(cap))
800                 return -EINVAL;
801
802         cap_lower(new->cap_bset, cap);
803         return 0;
804 }
805
806 /**
807  * cap_task_prctl - Implement process control functions for this security module
808  * @option: The process control function requested
809  * @arg2, @arg3, @arg4, @arg5: The argument data for this function
810  *
811  * Allow process control functions (sys_prctl()) to alter capabilities; may
812  * also deny access to other functions not otherwise implemented here.
813  *
814  * Returns 0 or +ve on success, -ENOSYS if this function is not implemented
815  * here, other -ve on error.  If -ENOSYS is returned, sys_prctl() and other LSM
816  * modules will consider performing the function.
817  */
818 int cap_task_prctl(int option, unsigned long arg2, unsigned long arg3,
819                    unsigned long arg4, unsigned long arg5)
820 {
821         struct cred *new;
822         long error = 0;
823
824         new = prepare_creds();
825         if (!new)
826                 return -ENOMEM;
827
828         switch (option) {
829         case PR_CAPBSET_READ:
830                 error = -EINVAL;
831                 if (!cap_valid(arg2))
832                         goto error;
833                 error = !!cap_raised(new->cap_bset, arg2);
834                 goto no_change;
835
836         case PR_CAPBSET_DROP:
837                 error = cap_prctl_drop(new, arg2);
838                 if (error < 0)
839                         goto error;
840                 goto changed;
841
842         /*
843          * The next four prctl's remain to assist with transitioning a
844          * system from legacy UID=0 based privilege (when filesystem
845          * capabilities are not in use) to a system using filesystem
846          * capabilities only - as the POSIX.1e draft intended.
847          *
848          * Note:
849          *
850          *  PR_SET_SECUREBITS =
851          *      issecure_mask(SECURE_KEEP_CAPS_LOCKED)
852          *    | issecure_mask(SECURE_NOROOT)
853          *    | issecure_mask(SECURE_NOROOT_LOCKED)
854          *    | issecure_mask(SECURE_NO_SETUID_FIXUP)
855          *    | issecure_mask(SECURE_NO_SETUID_FIXUP_LOCKED)
856          *
857          * will ensure that the current process and all of its
858          * children will be locked into a pure
859          * capability-based-privilege environment.
860          */
861         case PR_SET_SECUREBITS:
862                 error = -EPERM;
863                 if ((((new->securebits & SECURE_ALL_LOCKS) >> 1)
864                      & (new->securebits ^ arg2))                        /*[1]*/
865                     || ((new->securebits & SECURE_ALL_LOCKS & ~arg2))   /*[2]*/
866                     || (arg2 & ~(SECURE_ALL_LOCKS | SECURE_ALL_BITS))   /*[3]*/
867                     || (cap_capable(current_cred(),
868                                     current_cred()->user->user_ns, CAP_SETPCAP,
869                                     SECURITY_CAP_AUDIT) != 0)           /*[4]*/
870                         /*
871                          * [1] no changing of bits that are locked
872                          * [2] no unlocking of locks
873                          * [3] no setting of unsupported bits
874                          * [4] doing anything requires privilege (go read about
875                          *     the "sendmail capabilities bug")
876                          */
877                     )
878                         /* cannot change a locked bit */
879                         goto error;
880                 new->securebits = arg2;
881                 goto changed;
882
883         case PR_GET_SECUREBITS:
884                 error = new->securebits;
885                 goto no_change;
886
887         case PR_GET_KEEPCAPS:
888                 if (issecure(SECURE_KEEP_CAPS))
889                         error = 1;
890                 goto no_change;
891
892         case PR_SET_KEEPCAPS:
893                 error = -EINVAL;
894                 if (arg2 > 1) /* Note, we rely on arg2 being unsigned here */
895                         goto error;
896                 error = -EPERM;
897                 if (issecure(SECURE_KEEP_CAPS_LOCKED))
898                         goto error;
899                 if (arg2)
900                         new->securebits |= issecure_mask(SECURE_KEEP_CAPS);
901                 else
902                         new->securebits &= ~issecure_mask(SECURE_KEEP_CAPS);
903                 goto changed;
904
905         default:
906                 /* No functionality available - continue with default */
907                 error = -ENOSYS;
908                 goto error;
909         }
910
911         /* Functionality provided */
912 changed:
913         return commit_creds(new);
914
915 no_change:
916 error:
917         abort_creds(new);
918         return error;
919 }
920
921 /**
922  * cap_vm_enough_memory - Determine whether a new virtual mapping is permitted
923  * @mm: The VM space in which the new mapping is to be made
924  * @pages: The size of the mapping
925  *
926  * Determine whether the allocation of a new virtual mapping by the current
927  * task is permitted, returning 0 if permission is granted, -ve if not.
928  */
929 int cap_vm_enough_memory(struct mm_struct *mm, long pages)
930 {
931         int cap_sys_admin = 0;
932
933         if (cap_capable(current_cred(), &init_user_ns, CAP_SYS_ADMIN,
934                         SECURITY_CAP_NOAUDIT) == 0)
935                 cap_sys_admin = 1;
936         return __vm_enough_memory(mm, pages, cap_sys_admin);
937 }
938
939 /*
940  * cap_file_mmap - check if able to map given addr
941  * @file: unused
942  * @reqprot: unused
943  * @prot: unused
944  * @flags: unused
945  * @addr: address attempting to be mapped
946  * @addr_only: unused
947  *
948  * If the process is attempting to map memory below dac_mmap_min_addr they need
949  * CAP_SYS_RAWIO.  The other parameters to this function are unused by the
950  * capability security module.  Returns 0 if this mapping should be allowed
951  * -EPERM if not.
952  */
953 int cap_file_mmap(struct file *file, unsigned long reqprot,
954                   unsigned long prot, unsigned long flags,
955                   unsigned long addr, unsigned long addr_only)
956 {
957         int ret = 0;
958
959         if (addr < dac_mmap_min_addr) {
960                 ret = cap_capable(current_cred(), &init_user_ns, CAP_SYS_RAWIO,
961                                   SECURITY_CAP_AUDIT);
962                 /* set PF_SUPERPRIV if it turns out we allow the low mmap */
963                 if (ret == 0)
964                         current->flags |= PF_SUPERPRIV;
965         }
966         return ret;
967 }