return generic_permission(inode, mask);
 }
 
-static int kernfs_xattr_get(const struct xattr_handler *handler,
-                           struct dentry *unused, struct inode *inode,
-                           const char *suffix, void *value, size_t size)
+static int kernfs_node_xattr_get(const struct xattr_handler *handler,
+                                struct kernfs_node *kn, const char *suffix,
+                                void *value, size_t size)
 {
        const char *name = xattr_full_name(handler, suffix);
-       struct kernfs_node *kn = inode->i_private;
        struct kernfs_iattrs *attrs;
 
        attrs = kernfs_iattrs_noalloc(kn);
        return simple_xattr_get(&attrs->xattrs, name, value, size);
 }
 
-static int kernfs_xattr_set(const struct xattr_handler *handler,
-                           struct dentry *unused, struct inode *inode,
-                           const char *suffix, const void *value,
-                           size_t size, int flags)
+static int kernfs_node_xattr_set(const struct xattr_handler *handler,
+                                struct kernfs_node *kn, const char *suffix,
+                                const void *value, size_t size, int flags)
 {
        const char *name = xattr_full_name(handler, suffix);
-       struct kernfs_node *kn = inode->i_private;
        struct kernfs_iattrs *attrs;
 
        attrs = kernfs_iattrs(kn);
        return simple_xattr_set(&attrs->xattrs, name, value, size, flags);
 }
 
+static int kernfs_xattr_get(const struct xattr_handler *handler,
+                           struct dentry *unused, struct inode *inode,
+                           const char *suffix, void *value, size_t size)
+{
+       struct kernfs_node *kn = inode->i_private;
+
+       return kernfs_node_xattr_get(handler, kn, suffix, value, size);
+}
+
+static int kernfs_xattr_set(const struct xattr_handler *handler,
+                           struct dentry *unused, struct inode *inode,
+                           const char *suffix, const void *value,
+                           size_t size, int flags)
+{
+       struct kernfs_node *kn = inode->i_private;
+
+       return kernfs_node_xattr_set(handler, kn, suffix, value, size, flags);
+}
+
 static const struct xattr_handler kernfs_trusted_xattr_handler = {
        .prefix = XATTR_TRUSTED_PREFIX,
        .get = kernfs_xattr_get,
        &kernfs_security_xattr_handler,
        NULL
 };
+
+int kernfs_security_xattr_get(struct kernfs_node *kn, const char *suffix,
+                             void *value, size_t size)
+{
+       return kernfs_node_xattr_get(&kernfs_security_xattr_handler,
+                                    kn, suffix, value, size);
+}
+
+int kernfs_security_xattr_set(struct kernfs_node *kn, const char *suffix,
+                             void *value, size_t size, int flags)
+{
+       return kernfs_node_xattr_set(&kernfs_security_xattr_handler,
+                                    kn, suffix, value, size, flags);
+}
 
                             struct poll_table_struct *pt);
 void kernfs_notify(struct kernfs_node *kn);
 
+int kernfs_security_xattr_get(struct kernfs_node *kn, const char *suffix,
+                             void *value, size_t size);
+int kernfs_security_xattr_set(struct kernfs_node *kn, const char *suffix,
+                             void *value, size_t size, int flags);
+
 const void *kernfs_super_ns(struct super_block *sb);
 int kernfs_get_tree(struct fs_context *fc);
 void kernfs_free_fs_context(struct fs_context *fc);
 
 static inline void kernfs_notify(struct kernfs_node *kn) { }
 
+static inline int kernfs_security_xattr_get(struct kernfs_node *kn,
+                                           const char *suffix, void *value,
+                                           size_t size)
+{ return -ENOSYS; }
+
+static inline int kernfs_security_xattr_set(struct kernfs_node *kn,
+                                           const char *suffix, void *value,
+                                           size_t size, int flags)
+{ return -ENOSYS; }
+
 static inline const void *kernfs_super_ns(struct super_block *sb)
 { return NULL; }
 
 
  *     to abort the copy up. Note that the caller is responsible for reading
  *     and writing the xattrs as this hook is merely a filter.
  *
+ * Security hooks for kernfs node operations
+ *
+ * @kernfs_init_security
+ *     Initialize the security context of a newly created kernfs node based
+ *     on its own and its parent's attributes.
+ *
+ *     @kn_dir the parent kernfs node
+ *     @kn the new child kernfs node
+ *
  * Security hooks for file operations
  *
  * @file_permission:
        int (*inode_copy_up)(struct dentry *src, struct cred **new);
        int (*inode_copy_up_xattr)(const char *name);
 
+       int (*kernfs_init_security)(struct kernfs_node *kn_dir,
+                                   struct kernfs_node *kn);
+
        int (*file_permission)(struct file *file, int mask);
        int (*file_alloc_security)(struct file *file);
        void (*file_free_security)(struct file *file);
        struct hlist_head inode_getsecid;
        struct hlist_head inode_copy_up;
        struct hlist_head inode_copy_up_xattr;
+       struct hlist_head kernfs_init_security;
        struct hlist_head file_permission;
        struct hlist_head file_alloc_security;
        struct hlist_head file_free_security;