目录

. TOMOYO Introduction

. TOMOYO Sourcecode Analysis

1. Introduction

TOMOYO是一款基于LSM Framework实现的LSMs(安全模块)

Relevant Link:

http://lxr.free-electrons.com/source/Documentation/security/tomoyo.txt

2. TOMOYO Sourcecode Analysis

以网络连接状态函数(sys_connect)的监控(tomoyo_socket_connect)的监控log作为例子

/source/security/tomoyo/tomoyo.c

/**

* tomoyo_socket_connect - Check permission for connect().

*

* @sock:     Pointer to "struct socket".

* @addr:     Pointer to "struct sockaddr".

* @addr_len: Size of @addr.

*

* Returns 0 on success, negative value otherwise.

*/

static int tomoyo_socket_connect(struct socket *sock, struct sockaddr *addr, int addr_len)

{

    return tomoyo_socket_connect_permission(sock, addr, addr_len);

}

/source/security/tomoyo/network.c

/**

* tomoyo_sock_family - Get socket's family.

*

* @sk: Pointer to "struct sock".

*

* Returns one of PF_INET, PF_INET6, PF_UNIX or 0.

*/

static u8 tomoyo_sock_family(struct sock *sk)

{

     u8 family;

    if (tomoyo_kernel_service())

        return 0;

    family = sk->sk_family;

    switch (family)

    {

        case PF_INET:

        case PF_INET6:

        case PF_UNIX:

            return family;

        default:

            return 0;

    }

}

/**

* tomoyo_socket_connect_permission - Check permission for setting the remote address of a socket.

*

* @sock:     Pointer to "struct socket".

* @addr:     Pointer to "struct sockaddr".

* @addr_len: Size of @addr.

*

* Returns 0 on success, negative value otherwise.

*/

int tomoyo_socket_connect_permission(struct socket *sock, struct sockaddr *addr, int addr_len)

{

    struct tomoyo_addr_info address;

    //Get socket's family.(family是链路层的概念)

    const u8 family = tomoyo_sock_family(sock->sk);

    //socket的类型(TCP、UDP...)(type是传输层的概念)

    const unsigned int type = sock->type;

    if (!family)

        return 0;

    address.protocol = type;

    switch (type)

    {

        case SOCK_DGRAM:

        case SOCK_RAW:

            address.operation = TOMOYO_NETWORK_SEND;

            break;

        case SOCK_STREAM:

        case SOCK_SEQPACKET:

            address.operation = TOMOYO_NETWORK_CONNECT;

            break;

        default:

            return 0;

    }

    if (family == PF_UNIX)

        return tomoyo_check_unix_address(addr, addr_len, &address);

    return tomoyo_check_inet_address(addr, addr_len, sock->sk->sk_protocol, &address);

}

/* Structure for holding socket address. */

struct tomoyo_addr_info

{

    u8 protocol;

    u8 operation;

    struct tomoyo_inet_addr_info inet;

    struct tomoyo_unix_addr_info unix0;

};

static int tomoyo_check_inet_address(const struct sockaddr *addr, const unsigned int addr_len, const u16 port, struct tomoyo_addr_info *address)

{

    struct tomoyo_inet_addr_info *i = &address->inet;

    switch (addr->sa_family)

    {

        case AF_INET6:

            if (addr_len < SIN6_LEN_RFC2133)

                goto skip;

            i->is_ipv6 = true;

            i->address = (__be32 *)((struct sockaddr_in6 *) addr)->sin6_addr.s6_addr;

            i->port = ((struct sockaddr_in6 *) addr)->sin6_port;

            break;

        case AF_INET:

            if (addr_len < sizeof(struct sockaddr_in))

                goto skip;

            i->is_ipv6 = false;

            i->address = (__be32 *) &((struct sockaddr_in *) addr)->sin_addr;

            i->port = ((struct sockaddr_in *) addr)->sin_port;

            break;

        default:

            goto skip;

    }

    if (address->protocol == SOCK_RAW)

        i->port = htons(port);

    return tomoyo_inet_entry(address);

    skip:

        return 0;

}

Relevant Link:

Copyright (c) 2014 LittleHann All rights reserved

TOMOYO Linux(undone)的更多相关文章

  1. Linux LSM(Linux Security Modules) Hook Technology

    目录 . 引言 . Linux Security Module Framework Introduction . LSM Sourcecode Analysis . LSMs Hook Engine: ...

  2. Linux Security模块

    一.Linux Security Modules Linux Security Modules (LSM) 是一种 Linux 内核子系统,旨在将内核以模块形式集成到各种安全模块中.在 2001 年的 ...

  3. Logical Volume Manager (Linux)

    http://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux) Logical Volume Manager (Linux) From Wiki ...

  4. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  5. Linaro/Yocto/Openwrt

    http://en.wikipedia.org/wiki/Linaro Linaro From Wikipedia, the free encyclopedia     This article ap ...

  6. Linux inode && Fast Directory Travel Method(undone)

    目录 . Linux inode简介 . Fast Directory Travel Method 1. Linux inode简介 0x1: 磁盘分割原理 字节 -> 扇区(sector)(每 ...

  7. Linux Kernel File IO Syscall Kernel-Source-Code Analysis(undone)

    目录 . 引言 . open() syscall . close() syscall 0. 引言 在linux的哲学中,所有的磁盘文件.目录.外设设备.驱动设备全部被抽象为了"文件" ...

  8. Linux Kernel中获取当前目录方法(undone)

    目录 . 引言 . 基于进程内存镜像信息struct mm_struct获取struct path调用d_path()获取当前进程的"绝对路径" . 基于文件描述符(fd).tas ...

  9. Linux Cache Mechanism Summary(undone)

    目录 . 缓存机制简介 . 内核缓存机制 . 内存缓存机制 . 文件缓存机制 . 数据库缓存机制 1. 缓存机制简介 0x1: 什么是缓存cache 在计算机整个领域中,缓存(cache)这个词是一个 ...

随机推荐

  1. Block 的基本用法

    iOS中Block的基础用法 转载自简书 本文简介 本章不会对Block做过多的实现研究.只是讲解基本的用法.纯粹基础知识.结合实际项目怎么去做举例.Block使用场景,可以在两个界面的传值,也可以对 ...

  2. VS的代码分析工具

    来自:[译]Visual Studio 2008 Code Metrics http://www.cnblogs.com/live41/archive/2010/02/08/1665627.html ...

  3. PowerDesigner16建表在SQL SERVER 2008报 对象名 'sysproperties' 无效。

    http://blog.itpub.net/30150152/viewspace-1454979/

  4. Asp.net MVC十问十答[译]

    1. Explain MVC (Model-View-Controller) in general? MVC (Model-View-Controller) is an architectural s ...

  5. Caffe学习系列(19): 绘制loss和accuracy曲线

    如同前几篇的可视化,这里采用的也是jupyter notebook来进行曲线绘制. // In [1]: #加载必要的库 import numpy as np import matplotlib.py ...

  6. window8配置IIS,搭建应用程序网站。

    这个里面的一定要勾选,不然会有莫名其妙的错误. 在应用程序池中,如果你是64位电脑,需勾选启用32位应用程序为 true

  7. Android Studio 2.2 来啦

    今年的 I/O 2016 Google 放出了 Android Studio 2.2 的预览版,改进了多项功能,只不过为了保证公司项目不受影响,我一般都不安装预览版的,因为预览版意味着不稳定,可能遇到 ...

  8. error C2065: “CMainFrame”: 未声明的标识符

    xxxView.cp的开头包含 框架的头文件即可 : #include "MainFrm.h"

  9. ModelProxy 前端接口配置建模框架

    ModelProxy    轻量级的接口配置建模框架(1) 先看一下这个博客说明为什么需要用ModelProxy的前端轻量级的框架吧:  http://developer.51cto.com/art/ ...

  10. 写在读ng之前的基础知识----笔记

    如果要看angular的代码, 先把这个给看了, 司徒的干货. /******************************************************************* ...