secmodel_securelevel.c revision 1.4.2.2
1 1.4.2.2 joerg /* $NetBSD: secmodel_securelevel.c,v 1.4.2.2 2007/11/27 19:39:10 joerg Exp $ */ 2 1.4.2.2 joerg /*- 3 1.4.2.2 joerg * Copyright (c) 2006 Elad Efrat <elad (at) NetBSD.org> 4 1.4.2.2 joerg * All rights reserved. 5 1.4.2.2 joerg * 6 1.4.2.2 joerg * Redistribution and use in source and binary forms, with or without 7 1.4.2.2 joerg * modification, are permitted provided that the following conditions 8 1.4.2.2 joerg * are met: 9 1.4.2.2 joerg * 1. Redistributions of source code must retain the above copyright 10 1.4.2.2 joerg * notice, this list of conditions and the following disclaimer. 11 1.4.2.2 joerg * 2. Redistributions in binary form must reproduce the above copyright 12 1.4.2.2 joerg * notice, this list of conditions and the following disclaimer in the 13 1.4.2.2 joerg * documentation and/or other materials provided with the distribution. 14 1.4.2.2 joerg * 3. The name of the author may not be used to endorse or promote products 15 1.4.2.2 joerg * derived from this software without specific prior written permission. 16 1.4.2.2 joerg * 17 1.4.2.2 joerg * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR 18 1.4.2.2 joerg * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES 19 1.4.2.2 joerg * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. 20 1.4.2.2 joerg * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, 21 1.4.2.2 joerg * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT 22 1.4.2.2 joerg * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, 23 1.4.2.2 joerg * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY 24 1.4.2.2 joerg * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT 25 1.4.2.2 joerg * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF 26 1.4.2.2 joerg * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 27 1.4.2.2 joerg */ 28 1.4.2.2 joerg 29 1.4.2.2 joerg /* 30 1.4.2.2 joerg * This file contains kauth(9) listeners needed to implement the traditional 31 1.4.2.2 joerg * NetBSD securelevel. 32 1.4.2.2 joerg * 33 1.4.2.2 joerg * The securelevel is a system-global indication on what operations are 34 1.4.2.2 joerg * allowed or not. It affects all users, including root. 35 1.4.2.2 joerg */ 36 1.4.2.2 joerg 37 1.4.2.2 joerg #include <sys/cdefs.h> 38 1.4.2.2 joerg __KERNEL_RCSID(0, "$NetBSD: secmodel_securelevel.c,v 1.4.2.2 2007/11/27 19:39:10 joerg Exp $"); 39 1.4.2.2 joerg 40 1.4.2.2 joerg #ifdef _KERNEL_OPT 41 1.4.2.2 joerg #include "opt_insecure.h" 42 1.4.2.2 joerg #endif /* _KERNEL_OPT */ 43 1.4.2.2 joerg 44 1.4.2.2 joerg #include <sys/types.h> 45 1.4.2.2 joerg #include <sys/param.h> 46 1.4.2.2 joerg #include <sys/kauth.h> 47 1.4.2.2 joerg 48 1.4.2.2 joerg #include <sys/conf.h> 49 1.4.2.2 joerg #include <sys/mount.h> 50 1.4.2.2 joerg #include <sys/sysctl.h> 51 1.4.2.2 joerg #include <sys/vnode.h> 52 1.4.2.2 joerg 53 1.4.2.2 joerg #include <miscfs/specfs/specdev.h> 54 1.4.2.2 joerg 55 1.4.2.2 joerg #include <secmodel/securelevel/securelevel.h> 56 1.4.2.2 joerg 57 1.4.2.2 joerg static int securelevel; 58 1.4.2.2 joerg 59 1.4.2.2 joerg static kauth_listener_t l_system, l_process, l_network, l_machdep, l_device; 60 1.4.2.2 joerg 61 1.4.2.2 joerg /* 62 1.4.2.2 joerg * sysctl helper routine for securelevel. ensures that the value 63 1.4.2.2 joerg * only rises unless the caller has pid 1 (assumed to be init). 64 1.4.2.2 joerg */ 65 1.4.2.2 joerg int 66 1.4.2.2 joerg secmodel_securelevel_sysctl(SYSCTLFN_ARGS) 67 1.4.2.2 joerg { 68 1.4.2.2 joerg int newsecurelevel, error; 69 1.4.2.2 joerg struct sysctlnode node; 70 1.4.2.2 joerg 71 1.4.2.2 joerg newsecurelevel = securelevel; 72 1.4.2.2 joerg node = *rnode; 73 1.4.2.2 joerg node.sysctl_data = &newsecurelevel; 74 1.4.2.2 joerg error = sysctl_lookup(SYSCTLFN_CALL(&node)); 75 1.4.2.2 joerg if (error || newp == NULL) 76 1.4.2.2 joerg return (error); 77 1.4.2.2 joerg 78 1.4.2.2 joerg if (newsecurelevel < securelevel && l && l->l_proc->p_pid != 1) 79 1.4.2.2 joerg return (EPERM); 80 1.4.2.2 joerg 81 1.4.2.2 joerg securelevel = newsecurelevel; 82 1.4.2.2 joerg 83 1.4.2.2 joerg return (error); 84 1.4.2.2 joerg } 85 1.4.2.2 joerg 86 1.4.2.2 joerg void 87 1.4.2.2 joerg secmodel_securelevel_init(void) 88 1.4.2.2 joerg { 89 1.4.2.2 joerg #ifdef INSECURE 90 1.4.2.2 joerg securelevel = -1; 91 1.4.2.2 joerg #else 92 1.4.2.2 joerg securelevel = 0; 93 1.4.2.2 joerg #endif /* INSECURE */ 94 1.4.2.2 joerg } 95 1.4.2.2 joerg 96 1.4.2.2 joerg SYSCTL_SETUP(sysctl_security_securelevel_setup, 97 1.4.2.2 joerg "sysctl security securelevel setup") 98 1.4.2.2 joerg { 99 1.4.2.2 joerg /* 100 1.4.2.2 joerg * For compatibility, we create a kern.securelevel variable. 101 1.4.2.2 joerg */ 102 1.4.2.2 joerg sysctl_createv(clog, 0, NULL, NULL, 103 1.4.2.2 joerg CTLFLAG_PERMANENT, 104 1.4.2.2 joerg CTLTYPE_NODE, "kern", NULL, 105 1.4.2.2 joerg NULL, 0, NULL, 0, 106 1.4.2.2 joerg CTL_KERN, CTL_EOL); 107 1.4.2.2 joerg 108 1.4.2.2 joerg sysctl_createv(clog, 0, NULL, NULL, 109 1.4.2.2 joerg CTLFLAG_PERMANENT|CTLFLAG_READWRITE, 110 1.4.2.2 joerg CTLTYPE_INT, "securelevel", 111 1.4.2.2 joerg SYSCTL_DESCR("System security level"), 112 1.4.2.2 joerg secmodel_securelevel_sysctl, 0, NULL, 0, 113 1.4.2.2 joerg CTL_KERN, KERN_SECURELVL, CTL_EOL); 114 1.4.2.2 joerg } 115 1.4.2.2 joerg 116 1.4.2.2 joerg void 117 1.4.2.2 joerg secmodel_securelevel_start(void) 118 1.4.2.2 joerg { 119 1.4.2.2 joerg l_system = kauth_listen_scope(KAUTH_SCOPE_SYSTEM, 120 1.4.2.2 joerg secmodel_securelevel_system_cb, NULL); 121 1.4.2.2 joerg l_process = kauth_listen_scope(KAUTH_SCOPE_PROCESS, 122 1.4.2.2 joerg secmodel_securelevel_process_cb, NULL); 123 1.4.2.2 joerg l_network = kauth_listen_scope(KAUTH_SCOPE_NETWORK, 124 1.4.2.2 joerg secmodel_securelevel_network_cb, NULL); 125 1.4.2.2 joerg l_machdep = kauth_listen_scope(KAUTH_SCOPE_MACHDEP, 126 1.4.2.2 joerg secmodel_securelevel_machdep_cb, NULL); 127 1.4.2.2 joerg l_device = kauth_listen_scope(KAUTH_SCOPE_DEVICE, 128 1.4.2.2 joerg secmodel_securelevel_device_cb, NULL); 129 1.4.2.2 joerg } 130 1.4.2.2 joerg 131 1.4.2.2 joerg #if defined(_LKM) 132 1.4.2.2 joerg void 133 1.4.2.2 joerg secmodel_securelevel_stop(void) 134 1.4.2.2 joerg { 135 1.4.2.2 joerg kauth_unlisten_scope(l_system); 136 1.4.2.2 joerg kauth_unlisten_scope(l_process); 137 1.4.2.2 joerg kauth_unlisten_scope(l_network); 138 1.4.2.2 joerg kauth_unlisten_scope(l_machdep); 139 1.4.2.2 joerg kauth_unlisten_scope(l_device); 140 1.4.2.2 joerg } 141 1.4.2.2 joerg #endif /* _LKM */ 142 1.4.2.2 joerg 143 1.4.2.2 joerg /* 144 1.4.2.2 joerg * kauth(9) listener 145 1.4.2.2 joerg * 146 1.4.2.2 joerg * Security model: Traditional NetBSD 147 1.4.2.2 joerg * Scope: System 148 1.4.2.2 joerg * Responsibility: Securelevel 149 1.4.2.2 joerg */ 150 1.4.2.2 joerg int 151 1.4.2.2 joerg secmodel_securelevel_system_cb(kauth_cred_t cred, 152 1.4.2.2 joerg kauth_action_t action, void *cookie, void *arg0, void *arg1, 153 1.4.2.2 joerg void *arg2, void *arg3) 154 1.4.2.2 joerg { 155 1.4.2.2 joerg int result; 156 1.4.2.2 joerg enum kauth_system_req req; 157 1.4.2.2 joerg 158 1.4.2.2 joerg result = KAUTH_RESULT_DEFER; 159 1.4.2.2 joerg req = (enum kauth_system_req)arg0; 160 1.4.2.2 joerg 161 1.4.2.2 joerg switch (action) { 162 1.4.2.2 joerg case KAUTH_SYSTEM_CHSYSFLAGS: 163 1.4.2.2 joerg if (securelevel > 0) 164 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 165 1.4.2.2 joerg break; 166 1.4.2.2 joerg 167 1.4.2.2 joerg case KAUTH_SYSTEM_TIME: 168 1.4.2.2 joerg switch (req) { 169 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_TIME_RTCOFFSET: 170 1.4.2.2 joerg if (securelevel > 0) 171 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 172 1.4.2.2 joerg break; 173 1.4.2.2 joerg 174 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_TIME_SYSTEM: { 175 1.4.2.2 joerg struct timespec *ts = arg1; 176 1.4.2.2 joerg struct timeval *delta = arg2; 177 1.4.2.2 joerg 178 1.4.2.2 joerg /* 179 1.4.2.2 joerg * Don't allow the time to be set forward so far it will wrap 180 1.4.2.2 joerg * and become negative, thus allowing an attacker to bypass 181 1.4.2.2 joerg * the next check below. The cutoff is 1 year before rollover 182 1.4.2.2 joerg * occurs, so even if the attacker uses adjtime(2) to move 183 1.4.2.2 joerg * the time past the cutoff, it will take a very long time 184 1.4.2.2 joerg * to get to the wrap point. 185 1.4.2.2 joerg * 186 1.4.2.2 joerg * XXX: we check against INT_MAX since on 64-bit 187 1.4.2.2 joerg * platforms, sizeof(int) != sizeof(long) and 188 1.4.2.2 joerg * time_t is 32 bits even when atv.tv_sec is 64 bits. 189 1.4.2.2 joerg */ 190 1.4.2.2 joerg if (securelevel > 1 && 191 1.4.2.2 joerg ((ts->tv_sec > INT_MAX - 365*24*60*60) || 192 1.4.2.2 joerg (delta->tv_sec < 0 || delta->tv_usec < 0))) 193 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 194 1.4.2.2 joerg 195 1.4.2.2 joerg break; 196 1.4.2.2 joerg } 197 1.4.2.2 joerg 198 1.4.2.2 joerg default: 199 1.4.2.2 joerg break; 200 1.4.2.2 joerg } 201 1.4.2.2 joerg break; 202 1.4.2.2 joerg 203 1.4.2.2 joerg case KAUTH_SYSTEM_LKM: 204 1.4.2.2 joerg if (securelevel > 0) 205 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 206 1.4.2.2 joerg break; 207 1.4.2.2 joerg 208 1.4.2.2 joerg case KAUTH_SYSTEM_MOUNT: 209 1.4.2.2 joerg switch (req) { 210 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_MOUNT_NEW: 211 1.4.2.2 joerg if (securelevel > 1) 212 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 213 1.4.2.2 joerg 214 1.4.2.2 joerg break; 215 1.4.2.2 joerg 216 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_MOUNT_UPDATE: 217 1.4.2.2 joerg if (securelevel > 1) { 218 1.4.2.2 joerg struct mount *mp = arg1; 219 1.4.2.2 joerg u_long flags = (u_long)arg2; 220 1.4.2.2 joerg 221 1.4.2.2 joerg /* Can only degrade from read/write to read-only. */ 222 1.4.2.2 joerg if (flags != (mp->mnt_flag | MNT_RDONLY | MNT_RELOAD | 223 1.4.2.2 joerg MNT_FORCE | MNT_UPDATE)) 224 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 225 1.4.2.2 joerg } 226 1.4.2.2 joerg 227 1.4.2.2 joerg break; 228 1.4.2.2 joerg 229 1.4.2.2 joerg default: 230 1.4.2.2 joerg break; 231 1.4.2.2 joerg } 232 1.4.2.2 joerg 233 1.4.2.2 joerg break; 234 1.4.2.2 joerg 235 1.4.2.2 joerg case KAUTH_SYSTEM_SYSCTL: 236 1.4.2.2 joerg switch (req) { 237 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_SYSCTL_ADD: 238 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_SYSCTL_DELETE: 239 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_SYSCTL_DESC: 240 1.4.2.2 joerg if (securelevel > 0) 241 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 242 1.4.2.2 joerg break; 243 1.4.2.2 joerg 244 1.4.2.2 joerg default: 245 1.4.2.2 joerg break; 246 1.4.2.2 joerg } 247 1.4.2.2 joerg break; 248 1.4.2.2 joerg 249 1.4.2.2 joerg case KAUTH_SYSTEM_SETIDCORE: 250 1.4.2.2 joerg if (securelevel > 0) 251 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 252 1.4.2.2 joerg break; 253 1.4.2.2 joerg 254 1.4.2.2 joerg case KAUTH_SYSTEM_DEBUG: 255 1.4.2.2 joerg switch (req) { 256 1.4.2.2 joerg case KAUTH_REQ_SYSTEM_DEBUG_IPKDB: 257 1.4.2.2 joerg if (securelevel > 0) 258 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 259 1.4.2.2 joerg break; 260 1.4.2.2 joerg 261 1.4.2.2 joerg default: 262 1.4.2.2 joerg break; 263 1.4.2.2 joerg } 264 1.4.2.2 joerg break; 265 1.4.2.2 joerg } 266 1.4.2.2 joerg 267 1.4.2.2 joerg return (result); 268 1.4.2.2 joerg } 269 1.4.2.2 joerg 270 1.4.2.2 joerg /* 271 1.4.2.2 joerg * kauth(9) listener 272 1.4.2.2 joerg * 273 1.4.2.2 joerg * Security model: Traditional NetBSD 274 1.4.2.2 joerg * Scope: Process 275 1.4.2.2 joerg * Responsibility: Securelevel 276 1.4.2.2 joerg */ 277 1.4.2.2 joerg int 278 1.4.2.2 joerg secmodel_securelevel_process_cb(kauth_cred_t cred, 279 1.4.2.2 joerg kauth_action_t action, void *cookie, void *arg0, 280 1.4.2.2 joerg void *arg1, void *arg2, void *arg3) 281 1.4.2.2 joerg { 282 1.4.2.2 joerg struct proc *p; 283 1.4.2.2 joerg int result; 284 1.4.2.2 joerg 285 1.4.2.2 joerg result = KAUTH_RESULT_DEFER; 286 1.4.2.2 joerg p = arg0; 287 1.4.2.2 joerg 288 1.4.2.2 joerg switch (action) { 289 1.4.2.2 joerg case KAUTH_PROCESS_CANPROCFS: { 290 1.4.2.2 joerg enum kauth_process_req req; 291 1.4.2.2 joerg 292 1.4.2.2 joerg req = (enum kauth_process_req)arg2; 293 1.4.2.2 joerg switch (req) { 294 1.4.2.2 joerg case KAUTH_REQ_PROCESS_CANPROCFS_READ: 295 1.4.2.2 joerg break; 296 1.4.2.2 joerg 297 1.4.2.2 joerg case KAUTH_REQ_PROCESS_CANPROCFS_RW: 298 1.4.2.2 joerg case KAUTH_REQ_PROCESS_CANPROCFS_WRITE: 299 1.4.2.2 joerg if ((p == initproc) && (securelevel > -1)) 300 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 301 1.4.2.2 joerg 302 1.4.2.2 joerg break; 303 1.4.2.2 joerg 304 1.4.2.2 joerg default: 305 1.4.2.2 joerg break; 306 1.4.2.2 joerg } 307 1.4.2.2 joerg 308 1.4.2.2 joerg break; 309 1.4.2.2 joerg } 310 1.4.2.2 joerg 311 1.4.2.2 joerg case KAUTH_PROCESS_CANPTRACE: 312 1.4.2.2 joerg case KAUTH_PROCESS_CANSYSTRACE: 313 1.4.2.2 joerg if ((p == initproc) && (securelevel >= 0)) 314 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 315 1.4.2.2 joerg 316 1.4.2.2 joerg break; 317 1.4.2.2 joerg 318 1.4.2.2 joerg case KAUTH_PROCESS_CORENAME: 319 1.4.2.2 joerg if (securelevel > 1) 320 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 321 1.4.2.2 joerg break; 322 1.4.2.2 joerg } 323 1.4.2.2 joerg 324 1.4.2.2 joerg return (result); 325 1.4.2.2 joerg } 326 1.4.2.2 joerg 327 1.4.2.2 joerg /* 328 1.4.2.2 joerg * kauth(9) listener 329 1.4.2.2 joerg * 330 1.4.2.2 joerg * Security model: Traditional NetBSD 331 1.4.2.2 joerg * Scope: Network 332 1.4.2.2 joerg * Responsibility: Securelevel 333 1.4.2.2 joerg */ 334 1.4.2.2 joerg int 335 1.4.2.2 joerg secmodel_securelevel_network_cb(kauth_cred_t cred, 336 1.4.2.2 joerg kauth_action_t action, void *cookie, void *arg0, 337 1.4.2.2 joerg void *arg1, void *arg2, void *arg3) 338 1.4.2.2 joerg { 339 1.4.2.2 joerg int result; 340 1.4.2.2 joerg enum kauth_network_req req; 341 1.4.2.2 joerg 342 1.4.2.2 joerg result = KAUTH_RESULT_DEFER; 343 1.4.2.2 joerg req = (enum kauth_network_req)arg0; 344 1.4.2.2 joerg 345 1.4.2.2 joerg switch (action) { 346 1.4.2.2 joerg case KAUTH_NETWORK_FIREWALL: 347 1.4.2.2 joerg switch (req) { 348 1.4.2.2 joerg case KAUTH_REQ_NETWORK_FIREWALL_FW: 349 1.4.2.2 joerg case KAUTH_REQ_NETWORK_FIREWALL_NAT: 350 1.4.2.2 joerg if (securelevel > 1) 351 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 352 1.4.2.2 joerg break; 353 1.4.2.2 joerg 354 1.4.2.2 joerg default: 355 1.4.2.2 joerg break; 356 1.4.2.2 joerg } 357 1.4.2.2 joerg break; 358 1.4.2.2 joerg 359 1.4.2.2 joerg case KAUTH_NETWORK_FORWSRCRT: 360 1.4.2.2 joerg if (securelevel > 0) 361 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 362 1.4.2.2 joerg break; 363 1.4.2.2 joerg } 364 1.4.2.2 joerg 365 1.4.2.2 joerg return (result); 366 1.4.2.2 joerg } 367 1.4.2.2 joerg 368 1.4.2.2 joerg /* 369 1.4.2.2 joerg * kauth(9) listener 370 1.4.2.2 joerg * 371 1.4.2.2 joerg * Security model: Traditional NetBSD 372 1.4.2.2 joerg * Scope: Machdep 373 1.4.2.2 joerg * Responsibility: Securelevel 374 1.4.2.2 joerg */ 375 1.4.2.2 joerg int 376 1.4.2.2 joerg secmodel_securelevel_machdep_cb(kauth_cred_t cred, 377 1.4.2.2 joerg kauth_action_t action, void *cookie, void *arg0, 378 1.4.2.2 joerg void *arg1, void *arg2, void *arg3) 379 1.4.2.2 joerg { 380 1.4.2.2 joerg int result; 381 1.4.2.2 joerg 382 1.4.2.2 joerg result = KAUTH_RESULT_DEFER; 383 1.4.2.2 joerg 384 1.4.2.2 joerg switch (action) { 385 1.4.2.2 joerg case KAUTH_MACHDEP_IOPERM_SET: 386 1.4.2.2 joerg case KAUTH_MACHDEP_IOPL: 387 1.4.2.2 joerg if (securelevel > 0) 388 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 389 1.4.2.2 joerg break; 390 1.4.2.2 joerg 391 1.4.2.2 joerg case KAUTH_MACHDEP_UNMANAGEDMEM: 392 1.4.2.2 joerg if (securelevel > 0) 393 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 394 1.4.2.2 joerg break; 395 1.4.2.2 joerg } 396 1.4.2.2 joerg 397 1.4.2.2 joerg return (result); 398 1.4.2.2 joerg } 399 1.4.2.2 joerg 400 1.4.2.2 joerg /* 401 1.4.2.2 joerg * kauth(9) listener 402 1.4.2.2 joerg * 403 1.4.2.2 joerg * Security model: Traditional NetBSD 404 1.4.2.2 joerg * Scope: Device 405 1.4.2.2 joerg * Responsibility: Securelevel 406 1.4.2.2 joerg */ 407 1.4.2.2 joerg int 408 1.4.2.2 joerg secmodel_securelevel_device_cb(kauth_cred_t cred, 409 1.4.2.2 joerg kauth_action_t action, void *cookie, void *arg0, 410 1.4.2.2 joerg void *arg1, void *arg2, void *arg3) 411 1.4.2.2 joerg { 412 1.4.2.2 joerg int result; 413 1.4.2.2 joerg 414 1.4.2.2 joerg result = KAUTH_RESULT_DEFER; 415 1.4.2.2 joerg 416 1.4.2.2 joerg switch (action) { 417 1.4.2.2 joerg case KAUTH_DEVICE_RAWIO_SPEC: { 418 1.4.2.2 joerg struct vnode *vp, *bvp; 419 1.4.2.2 joerg enum kauth_device_req req; 420 1.4.2.2 joerg dev_t dev; 421 1.4.2.2 joerg int d_type; 422 1.4.2.2 joerg 423 1.4.2.2 joerg req = (enum kauth_device_req)arg0; 424 1.4.2.2 joerg vp = arg1; 425 1.4.2.2 joerg 426 1.4.2.2 joerg KASSERT(vp != NULL); 427 1.4.2.2 joerg 428 1.4.2.2 joerg dev = vp->v_un.vu_specinfo->si_rdev; 429 1.4.2.2 joerg d_type = D_OTHER; 430 1.4.2.2 joerg bvp = NULL; 431 1.4.2.2 joerg 432 1.4.2.2 joerg /* Handle /dev/mem and /dev/kmem. */ 433 1.4.2.2 joerg if ((vp->v_type == VCHR) && iskmemdev(dev)) { 434 1.4.2.2 joerg switch (req) { 435 1.4.2.2 joerg case KAUTH_REQ_DEVICE_RAWIO_SPEC_READ: 436 1.4.2.2 joerg break; 437 1.4.2.2 joerg 438 1.4.2.2 joerg case KAUTH_REQ_DEVICE_RAWIO_SPEC_WRITE: 439 1.4.2.2 joerg case KAUTH_REQ_DEVICE_RAWIO_SPEC_RW: 440 1.4.2.2 joerg if (securelevel > 0) 441 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 442 1.4.2.2 joerg break; 443 1.4.2.2 joerg } 444 1.4.2.2 joerg 445 1.4.2.2 joerg break; 446 1.4.2.2 joerg } 447 1.4.2.2 joerg 448 1.4.2.2 joerg switch (req) { 449 1.4.2.2 joerg case KAUTH_REQ_DEVICE_RAWIO_SPEC_READ: 450 1.4.2.2 joerg break; 451 1.4.2.2 joerg 452 1.4.2.2 joerg case KAUTH_REQ_DEVICE_RAWIO_SPEC_WRITE: 453 1.4.2.2 joerg case KAUTH_REQ_DEVICE_RAWIO_SPEC_RW: 454 1.4.2.2 joerg switch (vp->v_type) { 455 1.4.2.2 joerg case VCHR: { 456 1.4.2.2 joerg const struct cdevsw *cdev; 457 1.4.2.2 joerg 458 1.4.2.2 joerg cdev = cdevsw_lookup(dev); 459 1.4.2.2 joerg if (cdev != NULL) { 460 1.4.2.2 joerg dev_t blkdev; 461 1.4.2.2 joerg 462 1.4.2.2 joerg blkdev = devsw_chr2blk(dev); 463 1.4.2.2 joerg if (blkdev != NODEV) { 464 1.4.2.2 joerg vfinddev(blkdev, VBLK, &bvp); 465 1.4.2.2 joerg if (bvp != NULL) 466 1.4.2.2 joerg d_type = (cdev->d_flag 467 1.4.2.2 joerg & D_TYPEMASK); 468 1.4.2.2 joerg } 469 1.4.2.2 joerg } 470 1.4.2.2 joerg 471 1.4.2.2 joerg break; 472 1.4.2.2 joerg } 473 1.4.2.2 joerg case VBLK: { 474 1.4.2.2 joerg const struct bdevsw *bdev; 475 1.4.2.2 joerg 476 1.4.2.2 joerg bdev = bdevsw_lookup(dev); 477 1.4.2.2 joerg if (bdev != NULL) 478 1.4.2.2 joerg d_type = (bdev->d_flag & D_TYPEMASK); 479 1.4.2.2 joerg 480 1.4.2.2 joerg bvp = vp; 481 1.4.2.2 joerg 482 1.4.2.2 joerg break; 483 1.4.2.2 joerg } 484 1.4.2.2 joerg 485 1.4.2.2 joerg default: 486 1.4.2.2 joerg break; 487 1.4.2.2 joerg } 488 1.4.2.2 joerg 489 1.4.2.2 joerg if (d_type != D_DISK) 490 1.4.2.2 joerg break; 491 1.4.2.2 joerg 492 1.4.2.2 joerg /* 493 1.4.2.2 joerg * XXX: This is bogus. We should be failing the request 494 1.4.2.2 joerg * XXX: not only if this specific slice is mounted, but 495 1.4.2.2 joerg * XXX: if it's on a disk with any other mounted slice. 496 1.4.2.2 joerg */ 497 1.4.2.2 joerg if (vfs_mountedon(bvp) && (securelevel > 0)) 498 1.4.2.2 joerg break; 499 1.4.2.2 joerg 500 1.4.2.2 joerg if (securelevel > 1) 501 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 502 1.4.2.2 joerg 503 1.4.2.2 joerg break; 504 1.4.2.2 joerg } 505 1.4.2.2 joerg 506 1.4.2.2 joerg break; 507 1.4.2.2 joerg } 508 1.4.2.2 joerg 509 1.4.2.2 joerg case KAUTH_DEVICE_RAWIO_PASSTHRU: 510 1.4.2.2 joerg if (securelevel > 0) { 511 1.4.2.2 joerg u_long bits; 512 1.4.2.2 joerg 513 1.4.2.2 joerg bits = (u_long)arg0; 514 1.4.2.2 joerg 515 1.4.2.2 joerg KASSERT(bits != 0); 516 1.4.2.2 joerg KASSERT((bits & ~KAUTH_REQ_DEVICE_RAWIO_PASSTHRU_ALL) == 0); 517 1.4.2.2 joerg 518 1.4.2.2 joerg if (bits & ~KAUTH_REQ_DEVICE_RAWIO_PASSTHRU_READCONF) 519 1.4.2.2 joerg result = KAUTH_RESULT_DENY; 520 1.4.2.2 joerg } 521 1.4.2.2 joerg 522 1.4.2.2 joerg break; 523 1.4.2.2 joerg } 524 1.4.2.2 joerg 525 1.4.2.2 joerg return (result); 526 1.4.2.2 joerg } 527
Indexes created Fri Sep 26 20:09:58 GMT 2025