目录

. TOMOYO Introduction

. TOMOYO Sourcecode Analysis

1. Introduction

TOMOYO是一款基于LSM Framework实现的LSMs(安全模块)

Relevant Link:

http://lxr.free-electrons.com/source/Documentation/security/tomoyo.txt

2. TOMOYO Sourcecode Analysis

以网络连接状态函数(sys_connect)的监控(tomoyo_socket_connect)的监控log作为例子

/source/security/tomoyo/tomoyo.c

/**

* tomoyo_socket_connect - Check permission for connect().

*

* @sock:     Pointer to "struct socket".

* @addr:     Pointer to "struct sockaddr".

* @addr_len: Size of @addr.

*

* Returns 0 on success, negative value otherwise.

*/

static int tomoyo_socket_connect(struct socket *sock, struct sockaddr *addr, int addr_len)

{

    return tomoyo_socket_connect_permission(sock, addr, addr_len);

}

/source/security/tomoyo/network.c

/**

* tomoyo_sock_family - Get socket's family.

*

* @sk: Pointer to "struct sock".

*

* Returns one of PF_INET, PF_INET6, PF_UNIX or 0.

*/

static u8 tomoyo_sock_family(struct sock *sk)

{

     u8 family;

    if (tomoyo_kernel_service())

        return 0;

    family = sk->sk_family;

    switch (family)

    {

        case PF_INET:

        case PF_INET6:

        case PF_UNIX:

            return family;

        default:

            return 0;

    }

}

/**

* tomoyo_socket_connect_permission - Check permission for setting the remote address of a socket.

*

* @sock:     Pointer to "struct socket".

* @addr:     Pointer to "struct sockaddr".

* @addr_len: Size of @addr.

*

* Returns 0 on success, negative value otherwise.

*/

int tomoyo_socket_connect_permission(struct socket *sock, struct sockaddr *addr, int addr_len)

{

    struct tomoyo_addr_info address;

    //Get socket's family.(family是链路层的概念)

    const u8 family = tomoyo_sock_family(sock->sk);

    //socket的类型(TCP、UDP...)(type是传输层的概念)

    const unsigned int type = sock->type;

    if (!family)

        return 0;

    address.protocol = type;

    switch (type)

    {

        case SOCK_DGRAM:

        case SOCK_RAW:

            address.operation = TOMOYO_NETWORK_SEND;

            break;

        case SOCK_STREAM:

        case SOCK_SEQPACKET:

            address.operation = TOMOYO_NETWORK_CONNECT;

            break;

        default:

            return 0;

    }

    if (family == PF_UNIX)

        return tomoyo_check_unix_address(addr, addr_len, &address);

    return tomoyo_check_inet_address(addr, addr_len, sock->sk->sk_protocol, &address);

}

/* Structure for holding socket address. */

struct tomoyo_addr_info

{

    u8 protocol;

    u8 operation;

    struct tomoyo_inet_addr_info inet;

    struct tomoyo_unix_addr_info unix0;

};

static int tomoyo_check_inet_address(const struct sockaddr *addr, const unsigned int addr_len, const u16 port, struct tomoyo_addr_info *address)

{

    struct tomoyo_inet_addr_info *i = &address->inet;

    switch (addr->sa_family)

    {

        case AF_INET6:

            if (addr_len < SIN6_LEN_RFC2133)

                goto skip;

            i->is_ipv6 = true;

            i->address = (__be32 *)((struct sockaddr_in6 *) addr)->sin6_addr.s6_addr;

            i->port = ((struct sockaddr_in6 *) addr)->sin6_port;

            break;

        case AF_INET:

            if (addr_len < sizeof(struct sockaddr_in))

                goto skip;

            i->is_ipv6 = false;

            i->address = (__be32 *) &((struct sockaddr_in *) addr)->sin_addr;

            i->port = ((struct sockaddr_in *) addr)->sin_port;

            break;

        default:

            goto skip;

    }

    if (address->protocol == SOCK_RAW)

        i->port = htons(port);

    return tomoyo_inet_entry(address);

    skip:

        return 0;

}

Relevant Link:

Copyright (c) 2014 LittleHann All rights reserved

TOMOYO Linux(undone)的更多相关文章

  1. Linux LSM(Linux Security Modules) Hook Technology

    目录 . 引言 . Linux Security Module Framework Introduction . LSM Sourcecode Analysis . LSMs Hook Engine: ...

  2. Linux Security模块

    一.Linux Security Modules Linux Security Modules (LSM) 是一种 Linux 内核子系统,旨在将内核以模块形式集成到各种安全模块中.在 2001 年的 ...

  3. Logical Volume Manager (Linux)

    http://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux) Logical Volume Manager (Linux) From Wiki ...

  4. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  5. Linaro/Yocto/Openwrt

    http://en.wikipedia.org/wiki/Linaro Linaro From Wikipedia, the free encyclopedia     This article ap ...

  6. Linux inode && Fast Directory Travel Method(undone)

    目录 . Linux inode简介 . Fast Directory Travel Method 1. Linux inode简介 0x1: 磁盘分割原理 字节 -> 扇区(sector)(每 ...

  7. Linux Kernel File IO Syscall Kernel-Source-Code Analysis(undone)

    目录 . 引言 . open() syscall . close() syscall 0. 引言 在linux的哲学中,所有的磁盘文件.目录.外设设备.驱动设备全部被抽象为了"文件" ...

  8. Linux Kernel中获取当前目录方法(undone)

    目录 . 引言 . 基于进程内存镜像信息struct mm_struct获取struct path调用d_path()获取当前进程的"绝对路径" . 基于文件描述符(fd).tas ...

  9. Linux Cache Mechanism Summary(undone)

    目录 . 缓存机制简介 . 内核缓存机制 . 内存缓存机制 . 文件缓存机制 . 数据库缓存机制 1. 缓存机制简介 0x1: 什么是缓存cache 在计算机整个领域中,缓存(cache)这个词是一个 ...

随机推荐

  1. java 15 -3 集合的遍历的练习

    练习:用集合存储5个动物对象,并把动物对象进行遍历. 分析: A:创建动物类 a:无参构造方法 b:有参构造方法 c:get.set方法 B:创建集合对象 a:Collection animal = ...

  2. fireworks将图片变为透明色

    如果是新建的图片,只要把画布背景设置成透明,图片完成后保存为GIF格式即可: 如果是已经存在的图片,用Fireworks将图片打开,然后按Ctrl+Shift+X,在弹出界面中格式选择为GIF.在右边 ...

  3. Nginx反向代理+负载均衡简单实现(https方式)

    背景:A服务器(192.168.1.8)作为nginx代理服务器B服务器(192.168.1.150)作为后端真实服务器 现在需要访问https://testwww.huanqiu.com请求时从A服 ...

  4. cocoaPod相关问题

    cocoap简介: 1. 简介 CocoaPods是一个负责管理iOS项目中第三方开源代码的工具,其源码在Github上开源.使用CocoaPods可以节省设置和更新第三方开源库的时间并提高工作效率. ...

  5. Linux Linux共享库

    so文件在linux中为共享库,与windows下的dll类似. so文件中的函数可供多个进程调用,最大可能的提供二进制代码复用. 共享库可以使代码的维护工作大大简化,当修正了一些错误或者添加了新特性 ...

  6. Python快速教程 尾声(转)

    原文地址: http://www.cnblogs.com/vamei/p/3603046.html 作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留 ...

  7. JS 之原型,实例,构造函数之间的关系

    JS是面向对象的语言,函数也是对象.下面大致介绍下实例,原型与构造函数之间的关系. 构造函数模式 function Person(name,age){ this.name = name; this.a ...

  8. Caffe学习系列(11):图像数据转换成db(leveldb/lmdb)文件

    在深度学习的实际应用中,我们经常用到的原始数据是图片文件,如jpg,jpeg,png,tif等格式的,而且有可能图片的大小还不一致.而在caffe中经常使用的数据类型是lmdb或leveldb,因此就 ...

  9. Java NIO框架Mina、Netty、Grizzly介绍与对比(zz)

    Mina:Mina(Multipurpose Infrastructure for Network Applications) 是 Apache 组织一个较新的项目,它为开发高性能和高可用性的网络应用 ...

  10. 信息安全系统设计基础实验一:Linux开发环境的配置和使用(20135234,20135229)

    http://www.cnblogs.com/mqy123/p/4968386.html