]> git.baikalelectronics.ru Git - kernel.git/commitdiff
Merge branch 'next-lockdown' of git://git.kernel.org/pub/scm/linux/kernel/git/jmorris...
authorLinus Torvalds <torvalds@linux-foundation.org>
Sat, 28 Sep 2019 15:14:15 +0000 (08:14 -0700)
committerLinus Torvalds <torvalds@linux-foundation.org>
Sat, 28 Sep 2019 15:14:15 +0000 (08:14 -0700)
Pull kernel lockdown mode from James Morris:
 "This is the latest iteration of the kernel lockdown patchset, from
  Matthew Garrett, David Howells and others.

  From the original description:

    This patchset introduces an optional kernel lockdown feature,
    intended to strengthen the boundary between UID 0 and the kernel.
    When enabled, various pieces of kernel functionality are restricted.
    Applications that rely on low-level access to either hardware or the
    kernel may cease working as a result - therefore this should not be
    enabled without appropriate evaluation beforehand.

    The majority of mainstream distributions have been carrying variants
    of this patchset for many years now, so there's value in providing a
    doesn't meet every distribution requirement, but gets us much closer
    to not requiring external patches.

  There are two major changes since this was last proposed for mainline:

   - Separating lockdown from EFI secure boot. Background discussion is
     covered here: https://lwn.net/Articles/751061/

   -  Implementation as an LSM, with a default stackable lockdown LSM
      module. This allows the lockdown feature to be policy-driven,
      rather than encoding an implicit policy within the mechanism.

  The new locked_down LSM hook is provided to allow LSMs to make a
  policy decision around whether kernel functionality that would allow
  tampering with or examining the runtime state of the kernel should be
  permitted.

  The included lockdown LSM provides an implementation with a simple
  policy intended for general purpose use. This policy provides a coarse
  level of granularity, controllable via the kernel command line:

    lockdown={integrity|confidentiality}

  Enable the kernel lockdown feature. If set to integrity, kernel features
  that allow userland to modify the running kernel are disabled. If set to
  confidentiality, kernel features that allow userland to extract
  confidential information from the kernel are also disabled.

  This may also be controlled via /sys/kernel/security/lockdown and
  overriden by kernel configuration.

  New or existing LSMs may implement finer-grained controls of the
  lockdown features. Refer to the lockdown_reason documentation in
  include/linux/security.h for details.

  The lockdown feature has had signficant design feedback and review
  across many subsystems. This code has been in linux-next for some
  weeks, with a few fixes applied along the way.

  Stephen Rothwell noted that commit cba9ff5837f1 ("bpf: Restrict bpf
  when kernel lockdown is in confidentiality mode") is missing a
  Signed-off-by from its author. Matthew responded that he is providing
  this under category (c) of the DCO"

* 'next-lockdown' of git://git.kernel.org/pub/scm/linux/kernel/git/jmorris/linux-security: (31 commits)
  kexec: Fix file verification on S390
  security: constify some arrays in lockdown LSM
  lockdown: Print current->comm in restriction messages
  efi: Restrict efivar_ssdt_load when the kernel is locked down
  tracefs: Restrict tracefs when the kernel is locked down
  debugfs: Restrict debugfs when the kernel is locked down
  kexec: Allow kexec_file() with appropriate IMA policy when locked down
  lockdown: Lock down perf when in confidentiality mode
  bpf: Restrict bpf when kernel lockdown is in confidentiality mode
  lockdown: Lock down tracing and perf kprobes when in confidentiality mode
  lockdown: Lock down /proc/kcore
  x86/mmiotrace: Lock down the testmmiotrace module
  lockdown: Lock down module params that specify hardware parameters (eg. ioport)
  lockdown: Lock down TIOCSSERIAL
  lockdown: Prohibit PCMCIA CIS storage when the kernel is locked down
  acpi: Disable ACPI table override if the kernel is locked down
  acpi: Ignore acpi_rsdp kernel param when the kernel has been locked down
  ACPI: Limit access to custom_method when the kernel is locked down
  x86/msr: Restrict MSR access when the kernel is locked down
  x86: Lock down IO port access when the kernel is locked down
  ...

40 files changed:
1  2 
Documentation/admin-guide/kernel-parameters.txt
arch/arm64/Kconfig
arch/s390/Kconfig
arch/s390/kernel/machine_kexec_file.c
arch/x86/Kconfig
arch/x86/boot/compressed/acpi.c
arch/x86/include/asm/x86_init.h
arch/x86/kernel/ima_arch.c
arch/x86/kernel/kexec-bzimage64.c
arch/x86/kernel/x86_init.c
drivers/acpi/custom_method.c
drivers/acpi/osl.c
drivers/acpi/tables.c
drivers/char/mem.c
drivers/firmware/efi/efi.c
drivers/pci/pci-sysfs.c
drivers/pci/proc.c
drivers/tty/serial/serial_core.c
fs/debugfs/file.c
fs/debugfs/inode.c
fs/tracefs/inode.c
include/asm-generic/vmlinux.lds.h
include/linux/acpi.h
include/linux/ima.h
include/linux/kexec.h
include/linux/lsm_hooks.h
include/linux/security.h
init/Kconfig
init/main.c
kernel/events/core.c
kernel/kexec_file.c
kernel/module.c
kernel/trace/bpf_trace.c
kernel/trace/trace_kprobe.c
security/Kconfig
security/integrity/ima/Kconfig
security/integrity/ima/ima.h
security/integrity/ima/ima_main.c
security/integrity/ima/ima_policy.c
security/security.c

Simple merge
index 68f7c2b16ff71f7bb5cacff692111e04c2cb9581,c4a423f30d493ec3146df4f9716e86db6b0893b8..43a81d0ad5074dc8fd22adba001ce61d428b6f3e
@@@ -554,9 -555,9 +554,9 @@@ config ARCH_HAS_KEXEC_PURGATOR
        def_bool y
        depends on KEXEC_FILE
  
- config KEXEC_VERIFY_SIG
+ config KEXEC_SIG
        bool "Verify kernel signature during kexec_file_load() syscall"
 -      depends on KEXEC_FILE && SYSTEM_DATA_VERIFICATION
 +      depends on KEXEC_FILE && MODULE_SIG_FORMAT
        help
          This option makes kernel signature verification mandatory for
          the kexec_file_load() syscall.
index 1ac9fbc6e01ec2f2d313860764d54232a7d5f5e5,c0f33ba49a9ab9a8f3c48e19a14d7199d44ab891..8415ae7d2a23f5173e1628839ef3a68703b31890
@@@ -22,7 -22,29 +22,7 @@@ const struct kexec_file_ops * const kex
        NULL,
  };
  
- #ifdef CONFIG_KEXEC_VERIFY_SIG
+ #ifdef CONFIG_KEXEC_SIG
 -/*
 - * Module signature information block.
 - *
 - * The constituents of the signature section are, in order:
 - *
 - *    - Signer's name
 - *    - Key identifier
 - *    - Signature data
 - *    - Information block
 - */
 -struct module_signature {
 -      u8      algo;           /* Public-key crypto algorithm [0] */
 -      u8      hash;           /* Digest algorithm [0] */
 -      u8      id_type;        /* Key identifier type [PKEY_ID_PKCS7] */
 -      u8      signer_len;     /* Length of signer's name [0] */
 -      u8      key_id_len;     /* Length of key identifier [0] */
 -      u8      __pad[3];
 -      __be32  sig_len;        /* Length of signature data */
 -};
 -
 -#define PKEY_ID_PKCS7 2
 -
  int s390_verify_sig(const char *kernel, unsigned long kernel_len)
  {
        const unsigned long marker_len = sizeof(MODULE_SIG_STRING) - 1;
Simple merge
index 15255f388a85b8e19830d27ec329ffa924533525,e726e9b44bb1f21093d3b6cb118a416bda227709..149795c369f275d241ffaa7c28106bd184c99b1c
@@@ -278,19 -215,8 +278,16 @@@ acpi_physical_address get_rsdp_addr(voi
  {
        acpi_physical_address pa;
  
-       pa = get_acpi_rsdp();
-       if (!pa)
-               pa = boot_params->acpi_rsdp_addr;
+       pa = boot_params->acpi_rsdp_addr;
  
 +      /*
 +       * Try to get EFI data from setup_data. This can happen when we're a
 +       * kexec'ed kernel and kexec(1) has passed all the required EFI info to
 +       * us.
 +       */
 +      if (!pa)
 +              pa = kexec_get_rsdp_addr();
 +
        if (!pa)
                pa = efi_get_rsdp_addr();
  
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
Simple merge
index 042b688ed124a98052cf61ade8c996b4e42eb118,c8613bcad2523c4fb5f5a38026d451898f932258..7b975dbb2bb49cc7e80272aae59cabd5cffec7df
@@@ -525,14 -539,11 +553,14 @@@ struct dentry *debugfs_create_dir(cons
                return dentry;
  
        inode = debugfs_get_inode(dentry->d_sb);
 -      if (unlikely(!inode))
 +      if (unlikely(!inode)) {
 +              pr_err("out of free dentries, can not create directory '%s'\n",
 +                     name);
                return failed_creating(dentry);
 +      }
  
        inode->i_mode = S_IFDIR | S_IRWXU | S_IRUGO | S_IXUGO;
-       inode->i_op = &simple_dir_inode_operations;
+       inode->i_op = &debugfs_dir_inode_operations;
        inode->i_fop = &simple_dir_operations;
  
        /* directory inodes start off with i_nlink == 2 (for "." entry) */
Simple merge
index cd28f63bfbc76f5180c62f92350dd0f4ea11ea35,c1807d14daa3593481cc68c1652eab75e7f25752..dae64600ccbffe9d006164de3243bbe284e638a5
        IRQCHIP_OF_MATCH_TABLE()                                        \
        ACPI_PROBE_TABLE(irqchip)                                       \
        ACPI_PROBE_TABLE(timer)                                         \
 +      THERMAL_TABLE(governor)                                         \
        EARLYCON_TABLE()                                                \
-       LSM_TABLE()
+       LSM_TABLE()                                                     \
+       EARLY_LSM_TABLE()
  
  #define INIT_TEXT                                                     \
        *(.init.text .init.text.*)                                      \
Simple merge
Simple merge
Simple merge
Simple merge
index ace6fdb604f90fea5d4a891f6605f7ffa12ab4a6,429f9f03372b3fc2256efd94bbf0b47e7c9551dc..a8d59d612d274bdb5df8cbd13245b35fc2e08908
@@@ -392,9 -441,10 +441,10 @@@ void security_inode_invalidate_secctx(s
  int security_inode_notifysecctx(struct inode *inode, void *ctx, u32 ctxlen);
  int security_inode_setsecctx(struct dentry *dentry, void *ctx, u32 ctxlen);
  int security_inode_getsecctx(struct inode *inode, void **ctx, u32 *ctxlen);
+ int security_locked_down(enum lockdown_reason what);
  #else /* CONFIG_SECURITY */
  
 -static inline int call_lsm_notifier(enum lsm_event event, void *data)
 +static inline int call_blocking_lsm_notifier(enum lsm_event event, void *data)
  {
        return 0;
  }
diff --cc init/Kconfig
Simple merge
diff --cc init/main.c
index 208b8fa1808e029db9cf74270ba06007f340e111,598effd29a0a1e37a257c718c9c1331b8fec2aa6..91f6ebb30ef041a8667c18b949ccf42e976174e1
@@@ -593,7 -569,9 +593,8 @@@ asmlinkage __visible void __init start_
        boot_cpu_init();
        page_address_init();
        pr_notice("%s", linux_banner);
+       early_security_init();
        setup_arch(&command_line);
 -      mm_init_cpumask(&init_mm);
        setup_command_line(command_line);
        setup_nr_cpu_ids();
        setup_per_cpu_areas();
Simple merge
Simple merge
diff --cc kernel/module.c
Simple merge
Simple merge
index 402dc3ce88d3ea2917954271f02dbcfde38b8f6f,fcb28b0702b272eef21bce127f7b88d577bb474a..324ffbea35567d5167511bac40aefbfa51b1268c
  #include <linux/uaccess.h>
  #include <linux/rculist.h>
  #include <linux/error-injection.h>
+ #include <linux/security.h>
  
 +#include <asm/setup.h>  /* for COMMAND_LINE_SIZE */
 +
  #include "trace_dynevent.h"
  #include "trace_kprobe_selftest.h"
  #include "trace_probe.h"
@@@ -460,7 -416,11 +461,11 @@@ static int __register_trace_kprobe(stru
  {
        int i, ret;
  
 -      if (trace_probe_is_registered(&tk->tp))
+       ret = security_locked_down(LOCKDOWN_KPROBES);
+       if (ret)
+               return ret;
 +      if (trace_kprobe_is_registered(tk))
                return -EINVAL;
  
        if (within_notrace_func(tk)) {
Simple merge
index 897bafc59a339e794b6aa8728997b6558288fd25,32cd25fa44a5271d9e5e36187d59d3c635714b15..838476d780e55c855c601a58d30752d9caf04ea3
@@@ -160,8 -160,7 +160,8 @@@ config IMA_APPRAIS
  
  config IMA_ARCH_POLICY
          bool "Enable loading an IMA architecture specific policy"
-         depends on (KEXEC_VERIFY_SIG && IMA) || IMA_APPRAISE \
 -        depends on KEXEC_SIG || IMA_APPRAISE && INTEGRITY_ASYMMETRIC_KEYS
++        depends on (KEXEC_SIG && IMA) || IMA_APPRAISE \
 +                 && INTEGRITY_ASYMMETRIC_KEYS
          default n
          help
            This option enables loading an IMA architecture specific policy
Simple merge
Simple merge
Simple merge
index 25ee5c75551f6e62428a9b035349afd4ebf840d4,7fc373486d7ad92335c5aab2fb53a49cb87e8aff..1bc000f834e2ddfce587b116604c9c4ad1435739
  
  /* How many LSMs were built into the kernel? */
  #define LSM_COUNT (__end_lsm_info - __start_lsm_info)
+ #define EARLY_LSM_COUNT (__end_early_lsm_info - __start_early_lsm_info)
  
  struct security_hook_heads security_hook_heads __lsm_ro_after_init;
 -static ATOMIC_NOTIFIER_HEAD(lsm_notifier_chain);
 +static BLOCKING_NOTIFIER_HEAD(blocking_lsm_notifier_chain);
  
  static struct kmem_cache *lsm_file_cache;
  static struct kmem_cache *lsm_inode_cache;
@@@ -422,30 -449,34 +449,37 @@@ void __init security_add_hooks(struct s
                hooks[i].lsm = lsm;
                hlist_add_tail_rcu(&hooks[i].list, hooks[i].head);
        }
-       if (lsm_append(lsm, &lsm_names) < 0)
-               panic("%s - Cannot get early memory.\n", __func__);
+       /*
+        * Don't try to append during early_security_init(), we'll come back
+        * and fix this up afterwards.
+        */
+       if (slab_is_available()) {
+               if (lsm_append(lsm, &lsm_names) < 0)
+                       panic("%s - Cannot get early memory.\n", __func__);
+       }
  }
  
 -int call_lsm_notifier(enum lsm_event event, void *data)
 +int call_blocking_lsm_notifier(enum lsm_event event, void *data)
  {
 -      return atomic_notifier_call_chain(&lsm_notifier_chain, event, data);
 +      return blocking_notifier_call_chain(&blocking_lsm_notifier_chain,
 +                                          event, data);
  }
 -EXPORT_SYMBOL(call_lsm_notifier);
 +EXPORT_SYMBOL(call_blocking_lsm_notifier);
  
 -int register_lsm_notifier(struct notifier_block *nb)
 +int register_blocking_lsm_notifier(struct notifier_block *nb)
  {
 -      return atomic_notifier_chain_register(&lsm_notifier_chain, nb);
 +      return blocking_notifier_chain_register(&blocking_lsm_notifier_chain,
 +                                              nb);
  }
 -EXPORT_SYMBOL(register_lsm_notifier);
 +EXPORT_SYMBOL(register_blocking_lsm_notifier);
  
 -int unregister_lsm_notifier(struct notifier_block *nb)
 +int unregister_blocking_lsm_notifier(struct notifier_block *nb)
  {
 -      return atomic_notifier_chain_unregister(&lsm_notifier_chain, nb);
 +      return blocking_notifier_chain_unregister(&blocking_lsm_notifier_chain,
 +                                                nb);
  }
 -EXPORT_SYMBOL(unregister_lsm_notifier);
 +EXPORT_SYMBOL(unregister_blocking_lsm_notifier);
  
  /**
   * lsm_cred_alloc - allocate a composite cred blob