tests/generic/581

   1 #! /bin/bash
   2 # SPDX-License-Identifier: GPL-2.0
   3 # Copyright 2019 Google LLC
   4 #
   5 # FS QA Test No. generic/581
   6 #
   7 # Test non-root use of the fscrypt filesystem-level encryption keyring
   8 # and v2 encryption policies.
   9 #
  10
  11 seq=`basename $0`
  12 seqres=$RESULT_DIR/$seq
  13 echo "QA output created by $seq"
  14 echo
  15
  16 here=`pwd`
  17 tmp=/tmp/$$
  18 status=1        # failure is the default!
  19 trap "_cleanup; exit \$status" 0 1 2 3 15
  20 orig_maxkeys=
  21
  22 _cleanup()
  23 {
  24         cd /
  25         rm -f $tmp.*
  26         if [ -n "$orig_maxkeys" ]; then
  27                 echo "$orig_maxkeys" > /proc/sys/kernel/keys/maxkeys
  28         fi
  29 }
  30
  31 # get standard environment, filters and checks
  32 . ./common/rc
  33 . ./common/filter
  34 . ./common/encrypt
  35
  36 # remove previous $seqres.full before test
  37 rm -f $seqres.full
  38
  39 # real QA test starts here
  40 _supported_fs generic
  41 _require_user
  42 _require_scratch_encryption -v 2
  43
  44 _scratch_mkfs_encrypted &>> $seqres.full
  45 _scratch_mount
  46
  47 dir=$SCRATCH_MNT/dir
  48
  49 raw_key=""
  50 for i in `seq 64`; do
  51         raw_key+="\\x$(printf "%02x" $i)"
  52 done
  53 keydesc="0000111122223333"
  54 keyid="69b2f6edeee720cce0577937eb8a6751"
  55 chmod 777 $SCRATCH_MNT
  56
  57 _user_do "mkdir $dir"
  58
  59 echo "# Setting v1 policy as regular user (should succeed)"
  60 _user_do_set_encpolicy $dir $keydesc
  61
  62 echo "# Getting v1 policy as regular user (should succeed)"
  63 _user_do_get_encpolicy $dir | _filter_scratch
  64
  65 echo "# Adding v1 policy key as regular user (should fail with EACCES)"
  66 _user_do_add_enckey $SCRATCH_MNT "$raw_key" -d $keydesc
  67
  68 rm -rf $dir
  69 echo
  70 _user_do "mkdir $dir"
  71
  72 echo "# Setting v2 policy as regular user without key already added (should fail with ENOKEY)"
  73 _user_do_set_encpolicy $dir $keyid |& _filter_scratch
  74
  75 echo "# Adding v2 policy key as regular user (should succeed)"
  76 _user_do_add_enckey $SCRATCH_MNT "$raw_key"
  77
  78 echo "# Setting v2 policy as regular user with key added (should succeed)"
  79 _user_do_set_encpolicy $dir $keyid
  80
  81 echo "# Getting v2 policy as regular user (should succeed)"
  82 _user_do_get_encpolicy $dir | _filter_scratch
  83
  84 echo "# Creating encrypted file as regular user (should succeed)"
  85 _user_do "echo contents > $dir/file"
  86
  87 echo "# Removing v2 policy key as regular user (should succeed)"
  88 _user_do_rm_enckey $SCRATCH_MNT $keyid
  89
  90 _scratch_cycle_mount    # Clear all keys
  91
  92 # Wait for any invalidated keys to be garbage-collected.
  93 i=0
  94 while grep -E -q '^[0-9a-f]+ [^ ]*i[^ ]*' /proc/keys; do
  95         if ((++i >= 20)); then
  96                 echo "Timed out waiting for invalidated keys to be GC'ed" >> $seqres.full
  97                 break
  98         fi
  99         sleep 0.5
 100 done
 101
 102 # Set the user key quota to the fsgqa user's current number of keys plus 5.
 103 orig_keys=$(_user_do "awk '/^[[:space:]]*$(id -u fsgqa):/{print \$4}' /proc/key-users | cut -d/ -f1")
 104 : ${orig_keys:=0}
 105 echo "orig_keys=$orig_keys" >> $seqres.full
 106 orig_maxkeys=$(</proc/sys/kernel/keys/maxkeys)
 107 keys_to_add=5
 108 echo $((orig_keys + keys_to_add)) > /proc/sys/kernel/keys/maxkeys
 109
 110 echo
 111 echo "# Testing user key quota"
 112 for i in `seq $((keys_to_add + 1))`; do
 113         rand_raw_key=$(_generate_raw_encryption_key)
 114         _user_do_add_enckey $SCRATCH_MNT "$rand_raw_key" \
 115             | sed 's/ with identifier .*$//'
 116 done
 117
 118 # Restore the original key quota.
 119 echo "$orig_maxkeys" > /proc/sys/kernel/keys/maxkeys
 120
 121 rm -rf $dir
 122 echo
 123 _user_do "mkdir $dir"
 124 _scratch_cycle_mount    # Clear all keys
 125
 126 # Test multiple users adding the same key.
 127 echo "# Adding key as root"
 128 _add_enckey $SCRATCH_MNT "$raw_key"
 129 echo "# Getting key status as regular user"
 130 _user_do_enckey_status $SCRATCH_MNT $keyid
 131 echo "# Removing key only added by another user (should fail with ENOKEY)"
 132 _user_do_rm_enckey $SCRATCH_MNT $keyid
 133 echo "# Setting v2 encryption policy with key only added by another user (should fail with ENOKEY)"
 134 _user_do_set_encpolicy $dir $keyid |& _filter_scratch
 135 echo "# Adding second user of key"
 136 _user_do_add_enckey $SCRATCH_MNT "$raw_key"
 137 echo "# Getting key status as regular user"
 138 _user_do_enckey_status $SCRATCH_MNT $keyid
 139 echo "# Setting v2 encryption policy as regular user"
 140 _user_do_set_encpolicy $dir $keyid
 141 echo "# Removing this user's claim to the key"
 142 _user_do_rm_enckey $SCRATCH_MNT $keyid
 143 echo "# Getting key status as regular user"
 144 _user_do_enckey_status $SCRATCH_MNT $keyid
 145 echo "# Adding back second user of key"
 146 _user_do_add_enckey $SCRATCH_MNT "$raw_key"
 147 echo "# Remove key for \"all users\", as regular user (should fail with EACCES)"
 148 _user_do_rm_enckey $SCRATCH_MNT $keyid -a |& _filter_scratch
 149 _enckey_status $SCRATCH_MNT $keyid
 150 echo "# Remove key for \"all users\", as root"
 151 _rm_enckey $SCRATCH_MNT $keyid -a
 152 _enckey_status $SCRATCH_MNT $keyid
 153
 154 # success, all done
 155 status=0
 156 exit