]> git.karo-electronics.de Git - mv-sheeva.git/blob - security/keys/keyctl.c
Merge git://git.kernel.org/pub/scm/linux/kernel/git/sfrench/cifs-2.6
[mv-sheeva.git] / security / keys / keyctl.c
1 /* Userspace key control operations
2  *
3  * Copyright (C) 2004-5 Red Hat, Inc. All Rights Reserved.
4  * Written by David Howells (dhowells@redhat.com)
5  *
6  * This program is free software; you can redistribute it and/or
7  * modify it under the terms of the GNU General Public License
8  * as published by the Free Software Foundation; either version
9  * 2 of the License, or (at your option) any later version.
10  */
11
12 #include <linux/module.h>
13 #include <linux/init.h>
14 #include <linux/sched.h>
15 #include <linux/slab.h>
16 #include <linux/syscalls.h>
17 #include <linux/keyctl.h>
18 #include <linux/fs.h>
19 #include <linux/capability.h>
20 #include <linux/string.h>
21 #include <linux/err.h>
22 #include <linux/vmalloc.h>
23 #include <linux/security.h>
24 #include <asm/uaccess.h>
25 #include "internal.h"
26
27 static int key_get_type_from_user(char *type,
28                                   const char __user *_type,
29                                   unsigned len)
30 {
31         int ret;
32
33         ret = strncpy_from_user(type, _type, len);
34         if (ret < 0)
35                 return ret;
36         if (ret == 0 || ret >= len)
37                 return -EINVAL;
38         if (type[0] == '.')
39                 return -EPERM;
40         type[len - 1] = '\0';
41         return 0;
42 }
43
44 /*
45  * Extract the description of a new key from userspace and either add it as a
46  * new key to the specified keyring or update a matching key in that keyring.
47  *
48  * The keyring must be writable so that we can attach the key to it.
49  *
50  * If successful, the new key's serial number is returned, otherwise an error
51  * code is returned.
52  */
53 SYSCALL_DEFINE5(add_key, const char __user *, _type,
54                 const char __user *, _description,
55                 const void __user *, _payload,
56                 size_t, plen,
57                 key_serial_t, ringid)
58 {
59         key_ref_t keyring_ref, key_ref;
60         char type[32], *description;
61         void *payload;
62         long ret;
63         bool vm;
64
65         ret = -EINVAL;
66         if (plen > 1024 * 1024 - 1)
67                 goto error;
68
69         /* draw all the data into kernel space */
70         ret = key_get_type_from_user(type, _type, sizeof(type));
71         if (ret < 0)
72                 goto error;
73
74         description = strndup_user(_description, PAGE_SIZE);
75         if (IS_ERR(description)) {
76                 ret = PTR_ERR(description);
77                 goto error;
78         }
79
80         /* pull the payload in if one was supplied */
81         payload = NULL;
82
83         vm = false;
84         if (_payload) {
85                 ret = -ENOMEM;
86                 payload = kmalloc(plen, GFP_KERNEL);
87                 if (!payload) {
88                         if (plen <= PAGE_SIZE)
89                                 goto error2;
90                         vm = true;
91                         payload = vmalloc(plen);
92                         if (!payload)
93                                 goto error2;
94                 }
95
96                 ret = -EFAULT;
97                 if (copy_from_user(payload, _payload, plen) != 0)
98                         goto error3;
99         }
100
101         /* find the target keyring (which must be writable) */
102         keyring_ref = lookup_user_key(ringid, KEY_LOOKUP_CREATE, KEY_WRITE);
103         if (IS_ERR(keyring_ref)) {
104                 ret = PTR_ERR(keyring_ref);
105                 goto error3;
106         }
107
108         /* create or update the requested key and add it to the target
109          * keyring */
110         key_ref = key_create_or_update(keyring_ref, type, description,
111                                        payload, plen, KEY_PERM_UNDEF,
112                                        KEY_ALLOC_IN_QUOTA);
113         if (!IS_ERR(key_ref)) {
114                 ret = key_ref_to_ptr(key_ref)->serial;
115                 key_ref_put(key_ref);
116         }
117         else {
118                 ret = PTR_ERR(key_ref);
119         }
120
121         key_ref_put(keyring_ref);
122  error3:
123         if (!vm)
124                 kfree(payload);
125         else
126                 vfree(payload);
127  error2:
128         kfree(description);
129  error:
130         return ret;
131 }
132
133 /*
134  * Search the process keyrings and keyring trees linked from those for a
135  * matching key.  Keyrings must have appropriate Search permission to be
136  * searched.
137  *
138  * If a key is found, it will be attached to the destination keyring if there's
139  * one specified and the serial number of the key will be returned.
140  *
141  * If no key is found, /sbin/request-key will be invoked if _callout_info is
142  * non-NULL in an attempt to create a key.  The _callout_info string will be
143  * passed to /sbin/request-key to aid with completing the request.  If the
144  * _callout_info string is "" then it will be changed to "-".
145  */
146 SYSCALL_DEFINE4(request_key, const char __user *, _type,
147                 const char __user *, _description,
148                 const char __user *, _callout_info,
149                 key_serial_t, destringid)
150 {
151         struct key_type *ktype;
152         struct key *key;
153         key_ref_t dest_ref;
154         size_t callout_len;
155         char type[32], *description, *callout_info;
156         long ret;
157
158         /* pull the type into kernel space */
159         ret = key_get_type_from_user(type, _type, sizeof(type));
160         if (ret < 0)
161                 goto error;
162
163         /* pull the description into kernel space */
164         description = strndup_user(_description, PAGE_SIZE);
165         if (IS_ERR(description)) {
166                 ret = PTR_ERR(description);
167                 goto error;
168         }
169
170         /* pull the callout info into kernel space */
171         callout_info = NULL;
172         callout_len = 0;
173         if (_callout_info) {
174                 callout_info = strndup_user(_callout_info, PAGE_SIZE);
175                 if (IS_ERR(callout_info)) {
176                         ret = PTR_ERR(callout_info);
177                         goto error2;
178                 }
179                 callout_len = strlen(callout_info);
180         }
181
182         /* get the destination keyring if specified */
183         dest_ref = NULL;
184         if (destringid) {
185                 dest_ref = lookup_user_key(destringid, KEY_LOOKUP_CREATE,
186                                            KEY_WRITE);
187                 if (IS_ERR(dest_ref)) {
188                         ret = PTR_ERR(dest_ref);
189                         goto error3;
190                 }
191         }
192
193         /* find the key type */
194         ktype = key_type_lookup(type);
195         if (IS_ERR(ktype)) {
196                 ret = PTR_ERR(ktype);
197                 goto error4;
198         }
199
200         /* do the search */
201         key = request_key_and_link(ktype, description, callout_info,
202                                    callout_len, NULL, key_ref_to_ptr(dest_ref),
203                                    KEY_ALLOC_IN_QUOTA);
204         if (IS_ERR(key)) {
205                 ret = PTR_ERR(key);
206                 goto error5;
207         }
208
209         ret = key->serial;
210
211         key_put(key);
212 error5:
213         key_type_put(ktype);
214 error4:
215         key_ref_put(dest_ref);
216 error3:
217         kfree(callout_info);
218 error2:
219         kfree(description);
220 error:
221         return ret;
222 }
223
224 /*
225  * Get the ID of the specified process keyring.
226  *
227  * The requested keyring must have search permission to be found.
228  *
229  * If successful, the ID of the requested keyring will be returned.
230  */
231 long keyctl_get_keyring_ID(key_serial_t id, int create)
232 {
233         key_ref_t key_ref;
234         unsigned long lflags;
235         long ret;
236
237         lflags = create ? KEY_LOOKUP_CREATE : 0;
238         key_ref = lookup_user_key(id, lflags, KEY_SEARCH);
239         if (IS_ERR(key_ref)) {
240                 ret = PTR_ERR(key_ref);
241                 goto error;
242         }
243
244         ret = key_ref_to_ptr(key_ref)->serial;
245         key_ref_put(key_ref);
246 error:
247         return ret;
248 }
249
250 /*
251  * Join a (named) session keyring.
252  *
253  * Create and join an anonymous session keyring or join a named session
254  * keyring, creating it if necessary.  A named session keyring must have Search
255  * permission for it to be joined.  Session keyrings without this permit will
256  * be skipped over.
257  *
258  * If successful, the ID of the joined session keyring will be returned.
259  */
260 long keyctl_join_session_keyring(const char __user *_name)
261 {
262         char *name;
263         long ret;
264
265         /* fetch the name from userspace */
266         name = NULL;
267         if (_name) {
268                 name = strndup_user(_name, PAGE_SIZE);
269                 if (IS_ERR(name)) {
270                         ret = PTR_ERR(name);
271                         goto error;
272                 }
273         }
274
275         /* join the session */
276         ret = join_session_keyring(name);
277         kfree(name);
278
279 error:
280         return ret;
281 }
282
283 /*
284  * Update a key's data payload from the given data.
285  *
286  * The key must grant the caller Write permission and the key type must support
287  * updating for this to work.  A negative key can be positively instantiated
288  * with this call.
289  *
290  * If successful, 0 will be returned.  If the key type does not support
291  * updating, then -EOPNOTSUPP will be returned.
292  */
293 long keyctl_update_key(key_serial_t id,
294                        const void __user *_payload,
295                        size_t plen)
296 {
297         key_ref_t key_ref;
298         void *payload;
299         long ret;
300
301         ret = -EINVAL;
302         if (plen > PAGE_SIZE)
303                 goto error;
304
305         /* pull the payload in if one was supplied */
306         payload = NULL;
307         if (_payload) {
308                 ret = -ENOMEM;
309                 payload = kmalloc(plen, GFP_KERNEL);
310                 if (!payload)
311                         goto error;
312
313                 ret = -EFAULT;
314                 if (copy_from_user(payload, _payload, plen) != 0)
315                         goto error2;
316         }
317
318         /* find the target key (which must be writable) */
319         key_ref = lookup_user_key(id, 0, KEY_WRITE);
320         if (IS_ERR(key_ref)) {
321                 ret = PTR_ERR(key_ref);
322                 goto error2;
323         }
324
325         /* update the key */
326         ret = key_update(key_ref, payload, plen);
327
328         key_ref_put(key_ref);
329 error2:
330         kfree(payload);
331 error:
332         return ret;
333 }
334
335 /*
336  * Revoke a key.
337  *
338  * The key must be grant the caller Write or Setattr permission for this to
339  * work.  The key type should give up its quota claim when revoked.  The key
340  * and any links to the key will be automatically garbage collected after a
341  * certain amount of time (/proc/sys/kernel/keys/gc_delay).
342  *
343  * If successful, 0 is returned.
344  */
345 long keyctl_revoke_key(key_serial_t id)
346 {
347         key_ref_t key_ref;
348         long ret;
349
350         key_ref = lookup_user_key(id, 0, KEY_WRITE);
351         if (IS_ERR(key_ref)) {
352                 ret = PTR_ERR(key_ref);
353                 if (ret != -EACCES)
354                         goto error;
355                 key_ref = lookup_user_key(id, 0, KEY_SETATTR);
356                 if (IS_ERR(key_ref)) {
357                         ret = PTR_ERR(key_ref);
358                         goto error;
359                 }
360         }
361
362         key_revoke(key_ref_to_ptr(key_ref));
363         ret = 0;
364
365         key_ref_put(key_ref);
366 error:
367         return ret;
368 }
369
370 /*
371  * Clear the specified keyring, creating an empty process keyring if one of the
372  * special keyring IDs is used.
373  *
374  * The keyring must grant the caller Write permission for this to work.  If
375  * successful, 0 will be returned.
376  */
377 long keyctl_keyring_clear(key_serial_t ringid)
378 {
379         key_ref_t keyring_ref;
380         long ret;
381
382         keyring_ref = lookup_user_key(ringid, KEY_LOOKUP_CREATE, KEY_WRITE);
383         if (IS_ERR(keyring_ref)) {
384                 ret = PTR_ERR(keyring_ref);
385                 goto error;
386         }
387
388         ret = keyring_clear(key_ref_to_ptr(keyring_ref));
389
390         key_ref_put(keyring_ref);
391 error:
392         return ret;
393 }
394
395 /*
396  * Create a link from a keyring to a key if there's no matching key in the
397  * keyring, otherwise replace the link to the matching key with a link to the
398  * new key.
399  *
400  * The key must grant the caller Link permission and the the keyring must grant
401  * the caller Write permission.  Furthermore, if an additional link is created,
402  * the keyring's quota will be extended.
403  *
404  * If successful, 0 will be returned.
405  */
406 long keyctl_keyring_link(key_serial_t id, key_serial_t ringid)
407 {
408         key_ref_t keyring_ref, key_ref;
409         long ret;
410
411         keyring_ref = lookup_user_key(ringid, KEY_LOOKUP_CREATE, KEY_WRITE);
412         if (IS_ERR(keyring_ref)) {
413                 ret = PTR_ERR(keyring_ref);
414                 goto error;
415         }
416
417         key_ref = lookup_user_key(id, KEY_LOOKUP_CREATE, KEY_LINK);
418         if (IS_ERR(key_ref)) {
419                 ret = PTR_ERR(key_ref);
420                 goto error2;
421         }
422
423         ret = key_link(key_ref_to_ptr(keyring_ref), key_ref_to_ptr(key_ref));
424
425         key_ref_put(key_ref);
426 error2:
427         key_ref_put(keyring_ref);
428 error:
429         return ret;
430 }
431
432 /*
433  * Unlink a key from a keyring.
434  *
435  * The keyring must grant the caller Write permission for this to work; the key
436  * itself need not grant the caller anything.  If the last link to a key is
437  * removed then that key will be scheduled for destruction.
438  *
439  * If successful, 0 will be returned.
440  */
441 long keyctl_keyring_unlink(key_serial_t id, key_serial_t ringid)
442 {
443         key_ref_t keyring_ref, key_ref;
444         long ret;
445
446         keyring_ref = lookup_user_key(ringid, 0, KEY_WRITE);
447         if (IS_ERR(keyring_ref)) {
448                 ret = PTR_ERR(keyring_ref);
449                 goto error;
450         }
451
452         key_ref = lookup_user_key(id, KEY_LOOKUP_FOR_UNLINK, 0);
453         if (IS_ERR(key_ref)) {
454                 ret = PTR_ERR(key_ref);
455                 goto error2;
456         }
457
458         ret = key_unlink(key_ref_to_ptr(keyring_ref), key_ref_to_ptr(key_ref));
459
460         key_ref_put(key_ref);
461 error2:
462         key_ref_put(keyring_ref);
463 error:
464         return ret;
465 }
466
467 /*
468  * Return a description of a key to userspace.
469  *
470  * The key must grant the caller View permission for this to work.
471  *
472  * If there's a buffer, we place up to buflen bytes of data into it formatted
473  * in the following way:
474  *
475  *      type;uid;gid;perm;description<NUL>
476  *
477  * If successful, we return the amount of description available, irrespective
478  * of how much we may have copied into the buffer.
479  */
480 long keyctl_describe_key(key_serial_t keyid,
481                          char __user *buffer,
482                          size_t buflen)
483 {
484         struct key *key, *instkey;
485         key_ref_t key_ref;
486         char *tmpbuf;
487         long ret;
488
489         key_ref = lookup_user_key(keyid, KEY_LOOKUP_PARTIAL, KEY_VIEW);
490         if (IS_ERR(key_ref)) {
491                 /* viewing a key under construction is permitted if we have the
492                  * authorisation token handy */
493                 if (PTR_ERR(key_ref) == -EACCES) {
494                         instkey = key_get_instantiation_authkey(keyid);
495                         if (!IS_ERR(instkey)) {
496                                 key_put(instkey);
497                                 key_ref = lookup_user_key(keyid,
498                                                           KEY_LOOKUP_PARTIAL,
499                                                           0);
500                                 if (!IS_ERR(key_ref))
501                                         goto okay;
502                         }
503                 }
504
505                 ret = PTR_ERR(key_ref);
506                 goto error;
507         }
508
509 okay:
510         /* calculate how much description we're going to return */
511         ret = -ENOMEM;
512         tmpbuf = kmalloc(PAGE_SIZE, GFP_KERNEL);
513         if (!tmpbuf)
514                 goto error2;
515
516         key = key_ref_to_ptr(key_ref);
517
518         ret = snprintf(tmpbuf, PAGE_SIZE - 1,
519                        "%s;%d;%d;%08x;%s",
520                        key->type->name,
521                        key->uid,
522                        key->gid,
523                        key->perm,
524                        key->description ?: "");
525
526         /* include a NUL char at the end of the data */
527         if (ret > PAGE_SIZE - 1)
528                 ret = PAGE_SIZE - 1;
529         tmpbuf[ret] = 0;
530         ret++;
531
532         /* consider returning the data */
533         if (buffer && buflen > 0) {
534                 if (buflen > ret)
535                         buflen = ret;
536
537                 if (copy_to_user(buffer, tmpbuf, buflen) != 0)
538                         ret = -EFAULT;
539         }
540
541         kfree(tmpbuf);
542 error2:
543         key_ref_put(key_ref);
544 error:
545         return ret;
546 }
547
548 /*
549  * Search the specified keyring and any keyrings it links to for a matching
550  * key.  Only keyrings that grant the caller Search permission will be searched
551  * (this includes the starting keyring).  Only keys with Search permission can
552  * be found.
553  *
554  * If successful, the found key will be linked to the destination keyring if
555  * supplied and the key has Link permission, and the found key ID will be
556  * returned.
557  */
558 long keyctl_keyring_search(key_serial_t ringid,
559                            const char __user *_type,
560                            const char __user *_description,
561                            key_serial_t destringid)
562 {
563         struct key_type *ktype;
564         key_ref_t keyring_ref, key_ref, dest_ref;
565         char type[32], *description;
566         long ret;
567
568         /* pull the type and description into kernel space */
569         ret = key_get_type_from_user(type, _type, sizeof(type));
570         if (ret < 0)
571                 goto error;
572
573         description = strndup_user(_description, PAGE_SIZE);
574         if (IS_ERR(description)) {
575                 ret = PTR_ERR(description);
576                 goto error;
577         }
578
579         /* get the keyring at which to begin the search */
580         keyring_ref = lookup_user_key(ringid, 0, KEY_SEARCH);
581         if (IS_ERR(keyring_ref)) {
582                 ret = PTR_ERR(keyring_ref);
583                 goto error2;
584         }
585
586         /* get the destination keyring if specified */
587         dest_ref = NULL;
588         if (destringid) {
589                 dest_ref = lookup_user_key(destringid, KEY_LOOKUP_CREATE,
590                                            KEY_WRITE);
591                 if (IS_ERR(dest_ref)) {
592                         ret = PTR_ERR(dest_ref);
593                         goto error3;
594                 }
595         }
596
597         /* find the key type */
598         ktype = key_type_lookup(type);
599         if (IS_ERR(ktype)) {
600                 ret = PTR_ERR(ktype);
601                 goto error4;
602         }
603
604         /* do the search */
605         key_ref = keyring_search(keyring_ref, ktype, description);
606         if (IS_ERR(key_ref)) {
607                 ret = PTR_ERR(key_ref);
608
609                 /* treat lack or presence of a negative key the same */
610                 if (ret == -EAGAIN)
611                         ret = -ENOKEY;
612                 goto error5;
613         }
614
615         /* link the resulting key to the destination keyring if we can */
616         if (dest_ref) {
617                 ret = key_permission(key_ref, KEY_LINK);
618                 if (ret < 0)
619                         goto error6;
620
621                 ret = key_link(key_ref_to_ptr(dest_ref), key_ref_to_ptr(key_ref));
622                 if (ret < 0)
623                         goto error6;
624         }
625
626         ret = key_ref_to_ptr(key_ref)->serial;
627
628 error6:
629         key_ref_put(key_ref);
630 error5:
631         key_type_put(ktype);
632 error4:
633         key_ref_put(dest_ref);
634 error3:
635         key_ref_put(keyring_ref);
636 error2:
637         kfree(description);
638 error:
639         return ret;
640 }
641
642 /*
643  * Read a key's payload.
644  *
645  * The key must either grant the caller Read permission, or it must grant the
646  * caller Search permission when searched for from the process keyrings.
647  *
648  * If successful, we place up to buflen bytes of data into the buffer, if one
649  * is provided, and return the amount of data that is available in the key,
650  * irrespective of how much we copied into the buffer.
651  */
652 long keyctl_read_key(key_serial_t keyid, char __user *buffer, size_t buflen)
653 {
654         struct key *key;
655         key_ref_t key_ref;
656         long ret;
657
658         /* find the key first */
659         key_ref = lookup_user_key(keyid, 0, 0);
660         if (IS_ERR(key_ref)) {
661                 ret = -ENOKEY;
662                 goto error;
663         }
664
665         key = key_ref_to_ptr(key_ref);
666
667         /* see if we can read it directly */
668         ret = key_permission(key_ref, KEY_READ);
669         if (ret == 0)
670                 goto can_read_key;
671         if (ret != -EACCES)
672                 goto error;
673
674         /* we can't; see if it's searchable from this process's keyrings
675          * - we automatically take account of the fact that it may be
676          *   dangling off an instantiation key
677          */
678         if (!is_key_possessed(key_ref)) {
679                 ret = -EACCES;
680                 goto error2;
681         }
682
683         /* the key is probably readable - now try to read it */
684 can_read_key:
685         ret = key_validate(key);
686         if (ret == 0) {
687                 ret = -EOPNOTSUPP;
688                 if (key->type->read) {
689                         /* read the data with the semaphore held (since we
690                          * might sleep) */
691                         down_read(&key->sem);
692                         ret = key->type->read(key, buffer, buflen);
693                         up_read(&key->sem);
694                 }
695         }
696
697 error2:
698         key_put(key);
699 error:
700         return ret;
701 }
702
703 /*
704  * Change the ownership of a key
705  *
706  * The key must grant the caller Setattr permission for this to work, though
707  * the key need not be fully instantiated yet.  For the UID to be changed, or
708  * for the GID to be changed to a group the caller is not a member of, the
709  * caller must have sysadmin capability.  If either uid or gid is -1 then that
710  * attribute is not changed.
711  *
712  * If the UID is to be changed, the new user must have sufficient quota to
713  * accept the key.  The quota deduction will be removed from the old user to
714  * the new user should the attribute be changed.
715  *
716  * If successful, 0 will be returned.
717  */
718 long keyctl_chown_key(key_serial_t id, uid_t uid, gid_t gid)
719 {
720         struct key_user *newowner, *zapowner = NULL;
721         struct key *key;
722         key_ref_t key_ref;
723         long ret;
724
725         ret = 0;
726         if (uid == (uid_t) -1 && gid == (gid_t) -1)
727                 goto error;
728
729         key_ref = lookup_user_key(id, KEY_LOOKUP_CREATE | KEY_LOOKUP_PARTIAL,
730                                   KEY_SETATTR);
731         if (IS_ERR(key_ref)) {
732                 ret = PTR_ERR(key_ref);
733                 goto error;
734         }
735
736         key = key_ref_to_ptr(key_ref);
737
738         /* make the changes with the locks held to prevent chown/chown races */
739         ret = -EACCES;
740         down_write(&key->sem);
741
742         if (!capable(CAP_SYS_ADMIN)) {
743                 /* only the sysadmin can chown a key to some other UID */
744                 if (uid != (uid_t) -1 && key->uid != uid)
745                         goto error_put;
746
747                 /* only the sysadmin can set the key's GID to a group other
748                  * than one of those that the current process subscribes to */
749                 if (gid != (gid_t) -1 && gid != key->gid && !in_group_p(gid))
750                         goto error_put;
751         }
752
753         /* change the UID */
754         if (uid != (uid_t) -1 && uid != key->uid) {
755                 ret = -ENOMEM;
756                 newowner = key_user_lookup(uid, current_user_ns());
757                 if (!newowner)
758                         goto error_put;
759
760                 /* transfer the quota burden to the new user */
761                 if (test_bit(KEY_FLAG_IN_QUOTA, &key->flags)) {
762                         unsigned maxkeys = (uid == 0) ?
763                                 key_quota_root_maxkeys : key_quota_maxkeys;
764                         unsigned maxbytes = (uid == 0) ?
765                                 key_quota_root_maxbytes : key_quota_maxbytes;
766
767                         spin_lock(&newowner->lock);
768                         if (newowner->qnkeys + 1 >= maxkeys ||
769                             newowner->qnbytes + key->quotalen >= maxbytes ||
770                             newowner->qnbytes + key->quotalen <
771                             newowner->qnbytes)
772                                 goto quota_overrun;
773
774                         newowner->qnkeys++;
775                         newowner->qnbytes += key->quotalen;
776                         spin_unlock(&newowner->lock);
777
778                         spin_lock(&key->user->lock);
779                         key->user->qnkeys--;
780                         key->user->qnbytes -= key->quotalen;
781                         spin_unlock(&key->user->lock);
782                 }
783
784                 atomic_dec(&key->user->nkeys);
785                 atomic_inc(&newowner->nkeys);
786
787                 if (test_bit(KEY_FLAG_INSTANTIATED, &key->flags)) {
788                         atomic_dec(&key->user->nikeys);
789                         atomic_inc(&newowner->nikeys);
790                 }
791
792                 zapowner = key->user;
793                 key->user = newowner;
794                 key->uid = uid;
795         }
796
797         /* change the GID */
798         if (gid != (gid_t) -1)
799                 key->gid = gid;
800
801         ret = 0;
802
803 error_put:
804         up_write(&key->sem);
805         key_put(key);
806         if (zapowner)
807                 key_user_put(zapowner);
808 error:
809         return ret;
810
811 quota_overrun:
812         spin_unlock(&newowner->lock);
813         zapowner = newowner;
814         ret = -EDQUOT;
815         goto error_put;
816 }
817
818 /*
819  * Change the permission mask on a key.
820  *
821  * The key must grant the caller Setattr permission for this to work, though
822  * the key need not be fully instantiated yet.  If the caller does not have
823  * sysadmin capability, it may only change the permission on keys that it owns.
824  */
825 long keyctl_setperm_key(key_serial_t id, key_perm_t perm)
826 {
827         struct key *key;
828         key_ref_t key_ref;
829         long ret;
830
831         ret = -EINVAL;
832         if (perm & ~(KEY_POS_ALL | KEY_USR_ALL | KEY_GRP_ALL | KEY_OTH_ALL))
833                 goto error;
834
835         key_ref = lookup_user_key(id, KEY_LOOKUP_CREATE | KEY_LOOKUP_PARTIAL,
836                                   KEY_SETATTR);
837         if (IS_ERR(key_ref)) {
838                 ret = PTR_ERR(key_ref);
839                 goto error;
840         }
841
842         key = key_ref_to_ptr(key_ref);
843
844         /* make the changes with the locks held to prevent chown/chmod races */
845         ret = -EACCES;
846         down_write(&key->sem);
847
848         /* if we're not the sysadmin, we can only change a key that we own */
849         if (capable(CAP_SYS_ADMIN) || key->uid == current_fsuid()) {
850                 key->perm = perm;
851                 ret = 0;
852         }
853
854         up_write(&key->sem);
855         key_put(key);
856 error:
857         return ret;
858 }
859
860 /*
861  * Get the destination keyring for instantiation and check that the caller has
862  * Write permission on it.
863  */
864 static long get_instantiation_keyring(key_serial_t ringid,
865                                       struct request_key_auth *rka,
866                                       struct key **_dest_keyring)
867 {
868         key_ref_t dkref;
869
870         *_dest_keyring = NULL;
871
872         /* just return a NULL pointer if we weren't asked to make a link */
873         if (ringid == 0)
874                 return 0;
875
876         /* if a specific keyring is nominated by ID, then use that */
877         if (ringid > 0) {
878                 dkref = lookup_user_key(ringid, KEY_LOOKUP_CREATE, KEY_WRITE);
879                 if (IS_ERR(dkref))
880                         return PTR_ERR(dkref);
881                 *_dest_keyring = key_ref_to_ptr(dkref);
882                 return 0;
883         }
884
885         if (ringid == KEY_SPEC_REQKEY_AUTH_KEY)
886                 return -EINVAL;
887
888         /* otherwise specify the destination keyring recorded in the
889          * authorisation key (any KEY_SPEC_*_KEYRING) */
890         if (ringid >= KEY_SPEC_REQUESTOR_KEYRING) {
891                 *_dest_keyring = key_get(rka->dest_keyring);
892                 return 0;
893         }
894
895         return -ENOKEY;
896 }
897
898 /*
899  * Change the request_key authorisation key on the current process.
900  */
901 static int keyctl_change_reqkey_auth(struct key *key)
902 {
903         struct cred *new;
904
905         new = prepare_creds();
906         if (!new)
907                 return -ENOMEM;
908
909         key_put(new->request_key_auth);
910         new->request_key_auth = key_get(key);
911
912         return commit_creds(new);
913 }
914
915 /*
916  * Instantiate a key with the specified payload and link the key into the
917  * destination keyring if one is given.
918  *
919  * The caller must have the appropriate instantiation permit set for this to
920  * work (see keyctl_assume_authority).  No other permissions are required.
921  *
922  * If successful, 0 will be returned.
923  */
924 long keyctl_instantiate_key(key_serial_t id,
925                             const void __user *_payload,
926                             size_t plen,
927                             key_serial_t ringid)
928 {
929         const struct cred *cred = current_cred();
930         struct request_key_auth *rka;
931         struct key *instkey, *dest_keyring;
932         void *payload;
933         long ret;
934         bool vm = false;
935
936         kenter("%d,,%zu,%d", id, plen, ringid);
937
938         ret = -EINVAL;
939         if (plen > 1024 * 1024 - 1)
940                 goto error;
941
942         /* the appropriate instantiation authorisation key must have been
943          * assumed before calling this */
944         ret = -EPERM;
945         instkey = cred->request_key_auth;
946         if (!instkey)
947                 goto error;
948
949         rka = instkey->payload.data;
950         if (rka->target_key->serial != id)
951                 goto error;
952
953         /* pull the payload in if one was supplied */
954         payload = NULL;
955
956         if (_payload) {
957                 ret = -ENOMEM;
958                 payload = kmalloc(plen, GFP_KERNEL);
959                 if (!payload) {
960                         if (plen <= PAGE_SIZE)
961                                 goto error;
962                         vm = true;
963                         payload = vmalloc(plen);
964                         if (!payload)
965                                 goto error;
966                 }
967
968                 ret = -EFAULT;
969                 if (copy_from_user(payload, _payload, plen) != 0)
970                         goto error2;
971         }
972
973         /* find the destination keyring amongst those belonging to the
974          * requesting task */
975         ret = get_instantiation_keyring(ringid, rka, &dest_keyring);
976         if (ret < 0)
977                 goto error2;
978
979         /* instantiate the key and link it into a keyring */
980         ret = key_instantiate_and_link(rka->target_key, payload, plen,
981                                        dest_keyring, instkey);
982
983         key_put(dest_keyring);
984
985         /* discard the assumed authority if it's just been disabled by
986          * instantiation of the key */
987         if (ret == 0)
988                 keyctl_change_reqkey_auth(NULL);
989
990 error2:
991         if (!vm)
992                 kfree(payload);
993         else
994                 vfree(payload);
995 error:
996         return ret;
997 }
998
999 /*
1000  * Negatively instantiate the key with the given timeout (in seconds) and link
1001  * the key into the destination keyring if one is given.
1002  *
1003  * The caller must have the appropriate instantiation permit set for this to
1004  * work (see keyctl_assume_authority).  No other permissions are required.
1005  *
1006  * The key and any links to the key will be automatically garbage collected
1007  * after the timeout expires.
1008  *
1009  * Negative keys are used to rate limit repeated request_key() calls by causing
1010  * them to return -ENOKEY until the negative key expires.
1011  *
1012  * If successful, 0 will be returned.
1013  */
1014 long keyctl_negate_key(key_serial_t id, unsigned timeout, key_serial_t ringid)
1015 {
1016         const struct cred *cred = current_cred();
1017         struct request_key_auth *rka;
1018         struct key *instkey, *dest_keyring;
1019         long ret;
1020
1021         kenter("%d,%u,%d", id, timeout, ringid);
1022
1023         /* the appropriate instantiation authorisation key must have been
1024          * assumed before calling this */
1025         ret = -EPERM;
1026         instkey = cred->request_key_auth;
1027         if (!instkey)
1028                 goto error;
1029
1030         rka = instkey->payload.data;
1031         if (rka->target_key->serial != id)
1032                 goto error;
1033
1034         /* find the destination keyring if present (which must also be
1035          * writable) */
1036         ret = get_instantiation_keyring(ringid, rka, &dest_keyring);
1037         if (ret < 0)
1038                 goto error;
1039
1040         /* instantiate the key and link it into a keyring */
1041         ret = key_negate_and_link(rka->target_key, timeout,
1042                                   dest_keyring, instkey);
1043
1044         key_put(dest_keyring);
1045
1046         /* discard the assumed authority if it's just been disabled by
1047          * instantiation of the key */
1048         if (ret == 0)
1049                 keyctl_change_reqkey_auth(NULL);
1050
1051 error:
1052         return ret;
1053 }
1054
1055 /*
1056  * Read or set the default keyring in which request_key() will cache keys and
1057  * return the old setting.
1058  *
1059  * If a process keyring is specified then this will be created if it doesn't
1060  * yet exist.  The old setting will be returned if successful.
1061  */
1062 long keyctl_set_reqkey_keyring(int reqkey_defl)
1063 {
1064         struct cred *new;
1065         int ret, old_setting;
1066
1067         old_setting = current_cred_xxx(jit_keyring);
1068
1069         if (reqkey_defl == KEY_REQKEY_DEFL_NO_CHANGE)
1070                 return old_setting;
1071
1072         new = prepare_creds();
1073         if (!new)
1074                 return -ENOMEM;
1075
1076         switch (reqkey_defl) {
1077         case KEY_REQKEY_DEFL_THREAD_KEYRING:
1078                 ret = install_thread_keyring_to_cred(new);
1079                 if (ret < 0)
1080                         goto error;
1081                 goto set;
1082
1083         case KEY_REQKEY_DEFL_PROCESS_KEYRING:
1084                 ret = install_process_keyring_to_cred(new);
1085                 if (ret < 0) {
1086                         if (ret != -EEXIST)
1087                                 goto error;
1088                         ret = 0;
1089                 }
1090                 goto set;
1091
1092         case KEY_REQKEY_DEFL_DEFAULT:
1093         case KEY_REQKEY_DEFL_SESSION_KEYRING:
1094         case KEY_REQKEY_DEFL_USER_KEYRING:
1095         case KEY_REQKEY_DEFL_USER_SESSION_KEYRING:
1096         case KEY_REQKEY_DEFL_REQUESTOR_KEYRING:
1097                 goto set;
1098
1099         case KEY_REQKEY_DEFL_NO_CHANGE:
1100         case KEY_REQKEY_DEFL_GROUP_KEYRING:
1101         default:
1102                 ret = -EINVAL;
1103                 goto error;
1104         }
1105
1106 set:
1107         new->jit_keyring = reqkey_defl;
1108         commit_creds(new);
1109         return old_setting;
1110 error:
1111         abort_creds(new);
1112         return ret;
1113 }
1114
1115 /*
1116  * Set or clear the timeout on a key.
1117  *
1118  * Either the key must grant the caller Setattr permission or else the caller
1119  * must hold an instantiation authorisation token for the key.
1120  *
1121  * The timeout is either 0 to clear the timeout, or a number of seconds from
1122  * the current time.  The key and any links to the key will be automatically
1123  * garbage collected after the timeout expires.
1124  *
1125  * If successful, 0 is returned.
1126  */
1127 long keyctl_set_timeout(key_serial_t id, unsigned timeout)
1128 {
1129         struct timespec now;
1130         struct key *key, *instkey;
1131         key_ref_t key_ref;
1132         time_t expiry;
1133         long ret;
1134
1135         key_ref = lookup_user_key(id, KEY_LOOKUP_CREATE | KEY_LOOKUP_PARTIAL,
1136                                   KEY_SETATTR);
1137         if (IS_ERR(key_ref)) {
1138                 /* setting the timeout on a key under construction is permitted
1139                  * if we have the authorisation token handy */
1140                 if (PTR_ERR(key_ref) == -EACCES) {
1141                         instkey = key_get_instantiation_authkey(id);
1142                         if (!IS_ERR(instkey)) {
1143                                 key_put(instkey);
1144                                 key_ref = lookup_user_key(id,
1145                                                           KEY_LOOKUP_PARTIAL,
1146                                                           0);
1147                                 if (!IS_ERR(key_ref))
1148                                         goto okay;
1149                         }
1150                 }
1151
1152                 ret = PTR_ERR(key_ref);
1153                 goto error;
1154         }
1155
1156 okay:
1157         key = key_ref_to_ptr(key_ref);
1158
1159         /* make the changes with the locks held to prevent races */
1160         down_write(&key->sem);
1161
1162         expiry = 0;
1163         if (timeout > 0) {
1164                 now = current_kernel_time();
1165                 expiry = now.tv_sec + timeout;
1166         }
1167
1168         key->expiry = expiry;
1169         key_schedule_gc(key->expiry + key_gc_delay);
1170
1171         up_write(&key->sem);
1172         key_put(key);
1173
1174         ret = 0;
1175 error:
1176         return ret;
1177 }
1178
1179 /*
1180  * Assume (or clear) the authority to instantiate the specified key.
1181  *
1182  * This sets the authoritative token currently in force for key instantiation.
1183  * This must be done for a key to be instantiated.  It has the effect of making
1184  * available all the keys from the caller of the request_key() that created a
1185  * key to request_key() calls made by the caller of this function.
1186  *
1187  * The caller must have the instantiation key in their process keyrings with a
1188  * Search permission grant available to the caller.
1189  *
1190  * If the ID given is 0, then the setting will be cleared and 0 returned.
1191  *
1192  * If the ID given has a matching an authorisation key, then that key will be
1193  * set and its ID will be returned.  The authorisation key can be read to get
1194  * the callout information passed to request_key().
1195  */
1196 long keyctl_assume_authority(key_serial_t id)
1197 {
1198         struct key *authkey;
1199         long ret;
1200
1201         /* special key IDs aren't permitted */
1202         ret = -EINVAL;
1203         if (id < 0)
1204                 goto error;
1205
1206         /* we divest ourselves of authority if given an ID of 0 */
1207         if (id == 0) {
1208                 ret = keyctl_change_reqkey_auth(NULL);
1209                 goto error;
1210         }
1211
1212         /* attempt to assume the authority temporarily granted to us whilst we
1213          * instantiate the specified key
1214          * - the authorisation key must be in the current task's keyrings
1215          *   somewhere
1216          */
1217         authkey = key_get_instantiation_authkey(id);
1218         if (IS_ERR(authkey)) {
1219                 ret = PTR_ERR(authkey);
1220                 goto error;
1221         }
1222
1223         ret = keyctl_change_reqkey_auth(authkey);
1224         if (ret < 0)
1225                 goto error;
1226         key_put(authkey);
1227
1228         ret = authkey->serial;
1229 error:
1230         return ret;
1231 }
1232
1233 /*
1234  * Get a key's the LSM security label.
1235  *
1236  * The key must grant the caller View permission for this to work.
1237  *
1238  * If there's a buffer, then up to buflen bytes of data will be placed into it.
1239  *
1240  * If successful, the amount of information available will be returned,
1241  * irrespective of how much was copied (including the terminal NUL).
1242  */
1243 long keyctl_get_security(key_serial_t keyid,
1244                          char __user *buffer,
1245                          size_t buflen)
1246 {
1247         struct key *key, *instkey;
1248         key_ref_t key_ref;
1249         char *context;
1250         long ret;
1251
1252         key_ref = lookup_user_key(keyid, KEY_LOOKUP_PARTIAL, KEY_VIEW);
1253         if (IS_ERR(key_ref)) {
1254                 if (PTR_ERR(key_ref) != -EACCES)
1255                         return PTR_ERR(key_ref);
1256
1257                 /* viewing a key under construction is also permitted if we
1258                  * have the authorisation token handy */
1259                 instkey = key_get_instantiation_authkey(keyid);
1260                 if (IS_ERR(instkey))
1261                         return PTR_ERR(instkey);
1262                 key_put(instkey);
1263
1264                 key_ref = lookup_user_key(keyid, KEY_LOOKUP_PARTIAL, 0);
1265                 if (IS_ERR(key_ref))
1266                         return PTR_ERR(key_ref);
1267         }
1268
1269         key = key_ref_to_ptr(key_ref);
1270         ret = security_key_getsecurity(key, &context);
1271         if (ret == 0) {
1272                 /* if no information was returned, give userspace an empty
1273                  * string */
1274                 ret = 1;
1275                 if (buffer && buflen > 0 &&
1276                     copy_to_user(buffer, "", 1) != 0)
1277                         ret = -EFAULT;
1278         } else if (ret > 0) {
1279                 /* return as much data as there's room for */
1280                 if (buffer && buflen > 0) {
1281                         if (buflen > ret)
1282                                 buflen = ret;
1283
1284                         if (copy_to_user(buffer, context, buflen) != 0)
1285                                 ret = -EFAULT;
1286                 }
1287
1288                 kfree(context);
1289         }
1290
1291         key_ref_put(key_ref);
1292         return ret;
1293 }
1294
1295 /*
1296  * Attempt to install the calling process's session keyring on the process's
1297  * parent process.
1298  *
1299  * The keyring must exist and must grant the caller LINK permission, and the
1300  * parent process must be single-threaded and must have the same effective
1301  * ownership as this process and mustn't be SUID/SGID.
1302  *
1303  * The keyring will be emplaced on the parent when it next resumes userspace.
1304  *
1305  * If successful, 0 will be returned.
1306  */
1307 long keyctl_session_to_parent(void)
1308 {
1309 #ifdef TIF_NOTIFY_RESUME
1310         struct task_struct *me, *parent;
1311         const struct cred *mycred, *pcred;
1312         struct cred *cred, *oldcred;
1313         key_ref_t keyring_r;
1314         int ret;
1315
1316         keyring_r = lookup_user_key(KEY_SPEC_SESSION_KEYRING, 0, KEY_LINK);
1317         if (IS_ERR(keyring_r))
1318                 return PTR_ERR(keyring_r);
1319
1320         /* our parent is going to need a new cred struct, a new tgcred struct
1321          * and new security data, so we allocate them here to prevent ENOMEM in
1322          * our parent */
1323         ret = -ENOMEM;
1324         cred = cred_alloc_blank();
1325         if (!cred)
1326                 goto error_keyring;
1327
1328         cred->tgcred->session_keyring = key_ref_to_ptr(keyring_r);
1329         keyring_r = NULL;
1330
1331         me = current;
1332         rcu_read_lock();
1333         write_lock_irq(&tasklist_lock);
1334
1335         parent = me->real_parent;
1336         ret = -EPERM;
1337
1338         /* the parent mustn't be init and mustn't be a kernel thread */
1339         if (parent->pid <= 1 || !parent->mm)
1340                 goto not_permitted;
1341
1342         /* the parent must be single threaded */
1343         if (!thread_group_empty(parent))
1344                 goto not_permitted;
1345
1346         /* the parent and the child must have different session keyrings or
1347          * there's no point */
1348         mycred = current_cred();
1349         pcred = __task_cred(parent);
1350         if (mycred == pcred ||
1351             mycred->tgcred->session_keyring == pcred->tgcred->session_keyring)
1352                 goto already_same;
1353
1354         /* the parent must have the same effective ownership and mustn't be
1355          * SUID/SGID */
1356         if (pcred->uid  != mycred->euid ||
1357             pcred->euid != mycred->euid ||
1358             pcred->suid != mycred->euid ||
1359             pcred->gid  != mycred->egid ||
1360             pcred->egid != mycred->egid ||
1361             pcred->sgid != mycred->egid)
1362                 goto not_permitted;
1363
1364         /* the keyrings must have the same UID */
1365         if ((pcred->tgcred->session_keyring &&
1366              pcred->tgcred->session_keyring->uid != mycred->euid) ||
1367             mycred->tgcred->session_keyring->uid != mycred->euid)
1368                 goto not_permitted;
1369
1370         /* if there's an already pending keyring replacement, then we replace
1371          * that */
1372         oldcred = parent->replacement_session_keyring;
1373
1374         /* the replacement session keyring is applied just prior to userspace
1375          * restarting */
1376         parent->replacement_session_keyring = cred;
1377         cred = NULL;
1378         set_ti_thread_flag(task_thread_info(parent), TIF_NOTIFY_RESUME);
1379
1380         write_unlock_irq(&tasklist_lock);
1381         rcu_read_unlock();
1382         if (oldcred)
1383                 put_cred(oldcred);
1384         return 0;
1385
1386 already_same:
1387         ret = 0;
1388 not_permitted:
1389         write_unlock_irq(&tasklist_lock);
1390         rcu_read_unlock();
1391         put_cred(cred);
1392         return ret;
1393
1394 error_keyring:
1395         key_ref_put(keyring_r);
1396         return ret;
1397
1398 #else /* !TIF_NOTIFY_RESUME */
1399         /*
1400          * To be removed when TIF_NOTIFY_RESUME has been implemented on
1401          * m68k/xtensa
1402          */
1403 #warning TIF_NOTIFY_RESUME not implemented
1404         return -EOPNOTSUPP;
1405 #endif /* !TIF_NOTIFY_RESUME */
1406 }
1407
1408 /*
1409  * The key control system call
1410  */
1411 SYSCALL_DEFINE5(keyctl, int, option, unsigned long, arg2, unsigned long, arg3,
1412                 unsigned long, arg4, unsigned long, arg5)
1413 {
1414         switch (option) {
1415         case KEYCTL_GET_KEYRING_ID:
1416                 return keyctl_get_keyring_ID((key_serial_t) arg2,
1417                                              (int) arg3);
1418
1419         case KEYCTL_JOIN_SESSION_KEYRING:
1420                 return keyctl_join_session_keyring((const char __user *) arg2);
1421
1422         case KEYCTL_UPDATE:
1423                 return keyctl_update_key((key_serial_t) arg2,
1424                                          (const void __user *) arg3,
1425                                          (size_t) arg4);
1426
1427         case KEYCTL_REVOKE:
1428                 return keyctl_revoke_key((key_serial_t) arg2);
1429
1430         case KEYCTL_DESCRIBE:
1431                 return keyctl_describe_key((key_serial_t) arg2,
1432                                            (char __user *) arg3,
1433                                            (unsigned) arg4);
1434
1435         case KEYCTL_CLEAR:
1436                 return keyctl_keyring_clear((key_serial_t) arg2);
1437
1438         case KEYCTL_LINK:
1439                 return keyctl_keyring_link((key_serial_t) arg2,
1440                                            (key_serial_t) arg3);
1441
1442         case KEYCTL_UNLINK:
1443                 return keyctl_keyring_unlink((key_serial_t) arg2,
1444                                              (key_serial_t) arg3);
1445
1446         case KEYCTL_SEARCH:
1447                 return keyctl_keyring_search((key_serial_t) arg2,
1448                                              (const char __user *) arg3,
1449                                              (const char __user *) arg4,
1450                                              (key_serial_t) arg5);
1451
1452         case KEYCTL_READ:
1453                 return keyctl_read_key((key_serial_t) arg2,
1454                                        (char __user *) arg3,
1455                                        (size_t) arg4);
1456
1457         case KEYCTL_CHOWN:
1458                 return keyctl_chown_key((key_serial_t) arg2,
1459                                         (uid_t) arg3,
1460                                         (gid_t) arg4);
1461
1462         case KEYCTL_SETPERM:
1463                 return keyctl_setperm_key((key_serial_t) arg2,
1464                                           (key_perm_t) arg3);
1465
1466         case KEYCTL_INSTANTIATE:
1467                 return keyctl_instantiate_key((key_serial_t) arg2,
1468                                               (const void __user *) arg3,
1469                                               (size_t) arg4,
1470                                               (key_serial_t) arg5);
1471
1472         case KEYCTL_NEGATE:
1473                 return keyctl_negate_key((key_serial_t) arg2,
1474                                          (unsigned) arg3,
1475                                          (key_serial_t) arg4);
1476
1477         case KEYCTL_SET_REQKEY_KEYRING:
1478                 return keyctl_set_reqkey_keyring(arg2);
1479
1480         case KEYCTL_SET_TIMEOUT:
1481                 return keyctl_set_timeout((key_serial_t) arg2,
1482                                           (unsigned) arg3);
1483
1484         case KEYCTL_ASSUME_AUTHORITY:
1485                 return keyctl_assume_authority((key_serial_t) arg2);
1486
1487         case KEYCTL_GET_SECURITY:
1488                 return keyctl_get_security((key_serial_t) arg2,
1489                                            (char __user *) arg3,
1490                                            (size_t) arg4);
1491
1492         case KEYCTL_SESSION_TO_PARENT:
1493                 return keyctl_session_to_parent();
1494
1495         default:
1496                 return -EOPNOTSUPP;
1497         }
1498 }