selinux: add a map permission check for mmap
authorStephen Smalley <sds@tycho.nsa.gov>
Fri, 5 May 2017 13:14:48 +0000 (09:14 -0400)
committerPaul Moore <paul@paul-moore.com>
Tue, 23 May 2017 14:23:39 +0000 (10:23 -0400)
commit3ba4bf5f1e2c58bddd84ba27c5aeaf8ca1d36bff
treecd3dfc14e97e3dbb731d6a63d97bb49af5ee176b
parentdb59000ab760f8d77b07b7f2898ff61110f88607
selinux: add a map permission check for mmap

Add a map permission check on mmap so that we can distinguish memory mapped
access (since it has different implications for revocation). When a file
is opened and then read or written via syscalls like read(2)/write(2),
we revalidate access on each read/write operation via
selinux_file_permission() and therefore can revoke access if the
process context, the file context, or the policy changes in such a
manner that access is no longer allowed. When a file is opened and then
memory mapped via mmap(2) and then subsequently read or written directly
in memory, we presently have no way to revalidate or revoke access.
The purpose of a separate map permission check on mmap(2) is to permit
policy to prohibit memory mapping of specific files for which we need
to ensure that every access is revalidated, particularly useful for
scenarios where we expect the file to be relabeled at runtime in order
to reflect state changes (e.g. cross-domain solution, assured pipeline
without data copying).

Signed-off-by: Stephen Smalley <sds@tycho.nsa.gov>
Signed-off-by: Paul Moore <paul@paul-moore.com>
security/selinux/hooks.c
security/selinux/include/classmap.h