File: //lib/python3/dist-packages/apparmor/rule/__pycache__/file.cpython-310.pyc
o
����%`�b&[�����������������������@���s����d�d�l�m�Z���d�d�l�m�Z�m�Z���d�d�l�m�Z�m�Z�m�Z���d�d�l m
Z
m�Z�m�Z�m
Z
m�Z�m�Z���d�d�l�m�Z���e���Z�d�Z�d�Z�d�Z�d Z�G�d
d���d�e
��Z�G�d�d
��d
e���Z�d�d���Z�d�d���Z�d�S�)������)���AARE)���RE_PROFILE_FILE_ENTRY��strip_quotes)���AppArmorBug��AppArmorException��type_is_str)���BaseRule��BaseRuleset��check_and_split_list��logprof_value_or_all��parse_modifiers��quote_if_needed)���init_translation)���ix��ux��Ux��px��Px��cx��Cx)���pix��Pix��cix��Cix��pux��PUx��cux��CUx��x)���m��r��w��a��l��k��link��subsetc������������������������s����e�Z�d�Z�d�Z�G�d�d���d�e���Z�G�d�d���d�e���Z�e�Z�e�Z�d�Z � d)��f�d
d�� Z
e�d�d
����Z�e�d�d�����Z
d*d�d���Z�d�d���Z�d�d���Z�d�d���Z�d�d���Z�d�d���Z�d�d���Z�d�d ��Z�d!d"��Z�d#d$��Z�d%d&��Z�d'd(��Z�����Z�S�)+��FileRulez,Class to handle and store a single file rulec��������������������@��������e�Z�d�Z�d�S�)�z�FileRule.__FileAllN����__name__�
__module__��__qualname__��r-���r-����4/usr/lib/python3/dist-packages/apparmor/rule/file.py� __FileAll%������������r/���c��������������������@���r(���)�z�FileRule.__FileAnyExecNr)���r-���r-���r-���r.����
__FileAnyExec'���r0���r1�����fileF��Nc
�����������������������sH���t�t�|���j�|�| |
|�|�d�����|���|�d�d�|���\�|�_�|�_�|���|�d�d�|���\�|�_�|�_�|�j���|�_�|�j���|�_ |�j���|�_
t�|���rFt�|�| ��\�}�}
|
rEt
d�����n�|�d�k�rMt���}�|�d�h�k�rVt
d ����|�d
h�d
d�h�f�v�rf|�|�_�d�|�_�n+t�|�t�t�j�d�d�d�d
��\�|�_�|�_�}�|�r�t
d�t�|���������|�j�r�d�|�j�v�r�d�|�j�v�r�t�d�����d�|�_�|�d�u�r�d�|�_�nId
|�j�v�r�t
d�����|�|�j�k�r�|�|�_�n7t�|���r�| r�|�d�k�r�t�t�d�|���������n�|�d�k�r�t�t�d�������|�t�v�r�|�t�v�r�t
d�|�������|�|�_�n�t
d�t�|���������t�|���t�u�r�t
d�����|�|�_�|�|�_�t�|���t�u�r�t
d�����|�|�_ t�|���t�u���r
t
d�����|�|�_!|�j���r |�j���s�|�j���r"t
d�����d�S�d�S�)�an���Initialize FileRule
Parameters:
- path: string, AARE or FileRule.ALL
- perms: string, set of chars or FileRule.ALL (must not contain exec mode)
- exec_perms: None or string
- target: string, AARE or FileRule.ALL
- owner: bool
- file_keyword: bool
- leading_perms: bool
)���audit��deny�
allow_keyword��comment� log_event��pathT��targetFz!perms must not contain exec permsNr&���z%subset without link permissions givenr%���r'�����permissions)���allow_empty_listz$Passed unknown perms to FileRule: %sr"���r!���z*Conflicting permissions found: 'a' and 'w'z)link rules can't have execute permissionsr����zAfile deny rules only allow to use 'x' as execute mode, but not %szLExecute flag ('x') in file rule must specify the exec mode (ix, Px, Cx etc.)z/Unknown execute mode specified in file rule: %sz+Passed unknown perms object to FileRule: %sz&non-boolean value passed to owner flagz-non-boolean value passed to file keyword flagz4non-boolean value passed to leading permissions flagz1exec perms or target specified for bare file rule)"��superr'�����__init__��_aare_or_allr9���� all_pathsr:�����all_targets��can_glob��can_glob_ext��can_editr������split_permsr������set��perms� all_permsr
�����file_permissions��ALL��strr������original_perms�
exec_perms��ANY_EXEC��_��allow_exec_transitions��allow_exec_fallback_transitions��type��bool��owner� can_owner��file_keyword�
leading_perms)���selfr9���rG���rM���r:���rT���rV���rW���r4���r5���r6���r7���r8�����tmp_exec_perms�
unknown_items��� __class__r-���r.���r>���/���sp�������������
�
�
���������������
��������� ���������������
���
���������������������������������������������������z�FileRule.__init__c��������������������C���s
���t���|���S�)�N)�r������search)���cls��raw_ruler-���r-���r.�����_match����s����
�z�FileRule._matchc����������������
���C���s����|���|���}�|�s�t�t�d���|�������t�|���\�}�}�}�}�t�|���d�����}�d�}�|���d���r-t�|���d�����} n!|���d���r<t�|���d�����} d�}�n�|���d���rKt�|���d�����} d�}�n�t�j�} |���d���r`|���d���}
t |
|���\�}
}�n0|���d ��rt|���d ��}
t |
|���\�}
}�d�}�n�|���d
��r�|���d���r�d�d
h�}
n�d�h�}
d�}�d�}�n�t�j�}
d�}�|���d���r�t�|���d�����}�n�|���d���r�t�|���d�����}�n�t�j�}�t�|���d�����}
t�| |
|�|�|�|
|�|�|�|�|�d���S�)�z"parse raw_rule and return FileRulez�Invalid file rule '%s'rT���Fr9�����path2T� link_pathrG�����perms2��link_keyword��subset_keywordr%���r&���Nr:�����link_targetrV���)�r4���r5���r6���r7���)
r`���r����rO���r����rS�����groupr����r'���rJ���rE���)�r^���r_�����matchesr4���r5���r6���r7���rT���rW���r9���rG���rM���r:���rV���r-���r-���r.�����_parse����sN���
�����������
���
�����
�������
�
���
�
�����
�
�
�����������
���
�������������z�FileRule._parser����c������������ �������C���s"���d�|���}�|�j�r
d�}�n�|�j�r�t�|�j�j���}�n�t�d�����|�j�r�d�}�n
|�����}�|�s(t�d�����|�j�r2d�|�|�f���}�n�d�|�|�f���}�|�j�r>d�}�n�|�j rJd�t�|�j j�����}�n�t�d�����|�j
rTd�}�n�d�}�|�j�r\d }�n�d�}�|�j�ru|�j�ru|�su|�su|�sud
|�|�����|�|�j
f���S�|�j�s�|�j�s�|�r�|�r�d�|�|�����|�|�|�|�|�j
f���S�t�d�����)
z)return rule (in clean/default formatting)z� r3���z�Empty path in file rulez�Empty permissions in file rulez�%s %sz� -> %sz�Empty exec target in file rulez�owner z�file z
%s%s%sfile,%sz�%s%s%s%s%s%s,%szcInvalid combination of path and perms in file rule - either specify path and perms, or none of them)�r@���r9���r
�����regexr����rH�����_joint_permsrW���rA���r:���rT���rV����
modifiers_strr7���) rX�����depth��spacer9���rG�����path_and_permsr:���rT���rV���r-���r-���r.���� get_clean����s<���������������������������������������������������������������z�FileRule.get_cleanc��������������������C���s����|���|�j�|�j���S�)�zGreturn the permissions as string (using self.perms and self.exec_perms))���_join_given_permsrG���rM�����rX���r-���r-���r.���rk�������s������z�FileRule._joint_permsc��������������������C���sL���d�}�t�D�]�}�|�|�v�r�|�d�k�r�d�}�|�|���}�q�|�|�j�k�r�t�d�����|�r$|�|���}�|�S�)�zTreturn the permissions as string (using the perms and exec_perms given as parameter)r3���r&���z� subsetz0FileRule.ANY_EXEC can't be used for actual rules)�rI���rN���r����)�rX���rG���rM�����perm_string��permr-���r-���r.���rq�������s������������������
���������z�FileRule._join_given_permsc��������������������C���sV���|���|�j�|�j�|�j�|�j�d���s�d�S�|�j�r!d�|�j�v�r!|�j�r!d�|�j�v�r!d�S�|�j�r2d�|�j�v�r2|�j�r2d�|�j�v�r2n�|�j�t�|�j���|�j�t�|�j���|�j�d�d�d���sGd�S�|�j�sT|�j�sT|�j�sTt�d�����|�j�s\|�j�r\d�S�|�j�|�j k�rf|�j�rfn�|�j�rq|�j�|�j�k�rqd�S�|�j�rz|�j�|�j k�s�|�j�r�d�|�j�v�s�|�j�r�d�|�j�v�r�|���|�j
|�j�|�j
|�j�d ��s�d�S�|�j�|�j�k�r�d�S�|�j�r�|�j�s�d�S�d
S�)�z2check if other_rule is covered by this rule objectr9���Fr&���r%���rG���)���sanity_checkz=No permission or exec permission specified in other file ruler#���r:���T)
��_is_covered_aarer9���r@���rG�����_is_covered_list��perms_with_arH���rM���r����rN���r:���rA���rT���)�rX����
other_ruler-���r-���r.�����is_covered_localvars����s<������� ��� ���&�������������������������
�����
���������������z�FileRule.is_covered_localvarsc��������������������C���s����t�|���t�k�s�t�d�t�|���������|�j�|�j�k�r�d�S�|���|�j�|�j�|�j�|�j�d���s%d�S�|�j�|�j�k�r-d�S�|�j |�j k�r5d�S�|�j
|�j
k�r=d�S�|���|�j�|�j�|�j�|�j�d���sLd�S�|�r^|�j
|�j
k�rVd�S�|�j�|�j�k�r^d�S�d�S�)�z,compare if rule-specific variables are equalz�Passed non-file rule: %sFr9���r:���T)�rR���r'���r����rK���rT�����_is_equal_aarer9���r@���rG���rH���rM���r:���rA���rV���rW���)�rX�����rule_obj��strictr-���r-���r.�����is_equal_localvars9���s(�������������������������������������������z�FileRule.is_equal_localvarsc��������������������C���sP���|�j�r
|���d�d���}�n�d�}�|���|�j�j�|�������}�t�|�t���r t�|�|���}�|�d�k�r&|�}�|�S�)�Nz�/**��mrwlkix���)�r@���� rank_pathr9���rj���rk����
isinstance��int��max)�rX�����sev_db��severity��sevr-���r-���r.���r����Z���s������������
�
�������z�FileRule.severityc��������������������C���s����g�}�t�|�j�|�j���}�|�t�d���|�g�7�}�d�}�|�j�rL|���|�j�d���d���d���}�|���|�j�d���d���|�j�d���d�����d���}�|�r>|�r>d�|�|�f���}�n�|�rC|�}�n |�rJd�|���}�n�d�}�|�rV|�t�d���|�g�7�}�t�|�j�|�j���}�|�j�sc|�j�rg|�� ��}�|�j
rnd�|���}�|�j�syd |�|�j�j
f���}�|�t�d
��|�g�7�}�|�S�)�N��Pathr3�����allow��allrT���z
%s + owner %sz�owner %sz�Old Modez�%s -> %sz�New Mode)�r����r9���r@���rO���rL���rq���rG���rH���rM���rk���rT���rA���r:���rj���)�rX�����headersr9�����old_mode��original_perms_all��original_perms_ownerrG���r-���r-���r.�����logprof_header_localvarsi���s2���������������$�����������
�������������������������z!FileRule.logprof_header_localvarsc��������������������C���� ���|�j�r�d�S�|�j�����|�_�d�|�_�d�S�)�z!Change path to next possible globN)�r@���r9���� glob_pathr_���rr���r-���r-���r.�����glob���������������
�z
FileRule.globc��������������������C���r����)�z0Change path to next possible glob with extensionN)�r@���r9�����glob_path_withextr_���rr���r-���r-���r.�����glob_ext����r����z�FileRule.glob_extc��������������������C���s����|�j�r�t�d�����t�d���|�j�j�f�S�)�N��Attemp to edit bare file rulez�Enter new path: )�r@���r����rO���r9���rj���rr���r-���r-���r.�����edit_header����s����������z�FileRule.edit_headerc��������������������C���s$���|�j�r�t�d�����t�|�d���}�|���|�j���S���Nr����T)�r@���r����r������matchr9�����rX�����newpathr-���r-���r.����
validate_edit����s��������
���z�FileRule.validate_editc��������������������C���s$���|�j�r�t�d�����t�|�d���|�_�d�|�_�d�S�r����)�r@���r����r����r9���r_���r����r-���r-���r.����
store_edit����s����������
�z�FileRule.store_edit)�FFFFFr3���N)�r����)�r*���r+���r,�����__doc__��object��_FileRule__FileAll��_FileRule__FileAnyExecrJ���rN���� rule_namer>�����classmethodr`���ri���rp���rk���rq���rz���r~���r����r����r����r����r����r����r�����
__classcell__r-���r-���r[���r.���r'��� ���s4������������������������W
���
�
6�0�����4�!���(��������r'���c��������������������@���s6���e�Z�d�Z�d�Z�d
d�d���Z�d
d�d���Z�d�d�d ��Z�d
d���Z�d�S�)���FileRulesetz4Class to handle and store a collection of file rulesFc��������������������C���sF���t���}�|�j�D�]�}�|�j�s�|�j���|���r |�r�|�j�r |�r�|�j�r |���|�����q�|�S�)�z�Get all rules matching the given path
path can be str or AARE
If audit is True, only return rules with the audit flag set.
If deny is True, only return matching deny rules)�r������rulesr@���r9���r����r5���r4�����add)�rX���r9���r4���r5�����matching_rules��ruler-���r-���r.�����get_rules_for_path����s������
�&�
�����z�FileRuleset.get_rules_for_pathc������������
�������C���s"���t���t���d���t���t���d���d���}�d�d�d���d�d�d���d���}�t���}�|���|�|�|���}�|�j�D�]2}�d�} |�j�r0d�} d�}
|�j�r7d�}
|�j�rAd�|�| ��|
<�q'|�j�rY|�| ��|
����|�j���|�| ��|
<�|���|�j j
����q'i�}�i�}�d D�]*}�|�d���|���rnt�j�|�|�<�n�|�d���|���|�|�<�|�d���|���r�t�j�|�|�<�q`|�d���|���|�|�<�q`|�|�|�d
��S�)�a0���Get the summarized permissions of all rules matching the given path, and the list of paths involved in the calculation
path can be str or AARE
If audit is True, only analyze rules with the audit flag set.
If deny is True, only analyze matching deny rules
Returns {'allow': {'owner': set_of_perms, 'all': set_of_perms},
'deny': {'owner': set_of_perms, 'all': set_of_perms},
'path': involved_paths}
Note: exec rules and exec/link target are not honored!
)�rT���r����)�r����r5���Fr����r5���r����rT���T)�r����rT���)�r����r5�����paths)
rF���r����r����r5���rT���rH���rG�����unionr����r9���rj���r'���rJ���)
rX���r9���r4���r5���rG���rH���r����r����r�����
allow_or_deny��owner_or_allr������whor-���r-���r.�����get_perms_for_path����s>����
��������������
���������������������������������������������z�FileRuleset.get_perms_for_pathTc��������������������C���sH���t���}�|���|���j�D�]�}�|�j�r!|�j���|���r�|���|�����q |�s!|���|�����q |�S�)�zfGet all rules matching the given path that contain exec permissions
path can be str or AARE)�r����r����r����rM���r9�����is_equalr����)�rX���r9�����only_exact_matchesrh���r����r-���r-���r.�����get_exec_rules_for_path����s����������������
�����z#FileRuleset.get_exec_rules_for_pathc��������������������C���sJ���t���}�|�j�r#|���|�j���}�|�j�D�]�}�|�j�|�j�k�s�|�j�|�j�k�r"|���|�����q�|�S�)�z[check if one of the exec rules conflict with oldrule. If yes, return the conflicting rules.)�r����rM���r����r9���r����r:���r����)�rX�����oldrule��conflictingrules� execrules� mergeruler-���r-���r.�����get_exec_conflict_rules����s����������
���
�����z#FileRuleset.get_exec_conflict_rulesN)�FF)�T)�r*���r+���r,���r����r����r����r����r����r-���r-���r-���r.���r��������s��������
�
6��r����c��������������������C���s(���t���}�d�}�|�r�|�d���t�v�r�|���|�d�������|�d�d�����}�ns|�d���d�k�r2|�s)t�t�d�������d�}�|�d�d�����}�n\|���t���r\|�rO|�|�d�d�����k�rOt�t�d�|�|�d�d�����f���������|�d�d�����}�|�d�d�����}�n2|���t���r�|�ry|�|�d�d�����k�ryt�t�d�|�|�d�d�����f���������|�d�d�����}�|�d�d�����}�n�t�t�d |���������|�s�|�|�f�S�)
z{parse permission string
- perm_string: the permission string to parse
- deny: True if this is a deny rule
Nr���������r����z8'x' must be preceded by an exec qualifier (i, P, C or U)�����z0conflicting execute permissions found: %s and %s�����z+permission contains unknown character(s) %s)�rF���rI���r����r����rO����
startswithrP���rQ���)�rs���r5���rG���� exec_moder-���r-���r.���rE�������s0�������������������������
���������
���������������rE���c��������������������C���s(���t���}�|�r�t�|���}�d�|�v�r�|���d�����|�S�)�zRif perms includes 'w', add 'a' perms
- perms: the original permissions
r!���r"���)�rF���r����)�rG���rx���r-���r-���r.���rx���;���s������������
���rx���N)��
apparmor.aarer������apparmor.regexr����r������apparmor.commonr����r����r�����
apparmor.ruler����r ���r
���r����r����r
�����apparmor.translationsr����rO���rP���rQ�����deny_exec_transitionsrI���r'���r����rE���rx���r-���r-���r-���r.�����<module>����s"��������� ���������������������e�