Smack: Rationalize mount restrictions
authorCasey Schaufler <casey@schaufler-ca.com>
Mon, 30 Dec 2013 17:38:00 +0000 (09:38 -0800)
committerCasey Schaufler <casey@schaufler-ca.com>
Tue, 31 Dec 2013 21:35:16 +0000 (13:35 -0800)
commit24ea1b6efcd8fc3b465fb74964e1a0cbe9979730
treebb45d3814997cbfe99a72fa9c874b752fcd6b83a
parent4afde48be8929b6da63a9e977aaff0894ba82984
Smack: Rationalize mount restrictions

The mount restrictions imposed by Smack rely heavily on the
use of the filesystem "floor", which is the label that all
processes writing to the filesystem must have access to. It
turns out that while the "floor" notion is sound, it has yet
to be fully implemented and has never been used.

The sb_mount and sb_umount hooks only make sense if the
filesystem floor is used actively, and it isn't. They can
be reintroduced if a rational restriction comes up. Until
then, they get removed.

The sb_kern_mount hook is required for the option processing.
It is too permissive in the case of unprivileged mounts,
effectively bypassing the CAP_MAC_ADMIN restrictions if
any of the smack options are specified. Unprivileged mounts
are no longer allowed to set Smack filesystem options.
Additionally, the root and default values are set to the
label of the caller, in keeping with the policy that objects
get the label of their creator.

Targeted for git://git.gitorious.org/smack-next/kernel.git

Signed-off-by: Casey Schaufler <casey@schaufler-ca.com>
security/smack/smack_lsm.c