/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2008-08-29 05:53:59 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080829055359-wkdasnyxtylmnxus
* mandos.xml (EXAMPLE): Replaced all occurences of command name with
                        "&COMMANDNAME;".

* plugins.d/password-prompt.c (main): Improved some documentation
                                      strings.  Do perror() of
                                      tcgetattr() fails.  Add debug
                                      output if interrupted by signal.
                                      Loop over write() instead of
                                      using fwrite() when outputting
                                      password.  Add debug output if
                                      getline() returns 0, unless it
                                      was caused by a signal.  Add
                                      exit status code to debug
                                      output.

* plugins.d/password-prompt.xml: Changed all single quotes to double
                                 quotes for consistency.  Removed
                                 <?xml-stylesheet>.
  (ENTITY TIMESTAMP): New.  Automatically updated by Emacs time-stamp
                      by using Emacs local variables.
  (/refentry/refentryinfo/title): Changed to "Mandos Manual".
  (/refentry/refentryinfo/productname): Changed to "Mandos".
  (/refentry/refentryinfo/date): New; set to "&TIMESTAMP;".
  (/refentry/refentryinfo/copyright): Split copyright holders.
  (/refentry/refnamediv/refpurpose): Improved wording.
  (SYNOPSIS): Fix to use correct markup.  Add short options.
  (DESCRIPTION, OPTIONS): Improved wording.
  (OPTIONS): Improved wording.  Use more correct markup.  Document
             short options.
  (EXIT STATUS): Add text.
  (ENVIRONMENT): Document use of "cryptsource" and "crypttarget".
  (FILES): REMOVED.
  (BUGS): Add text.
  (EXAMPLE): Added some examples.
  (SECURITY): Added text.
  (SEE ALSO): Remove reference to mandos(8).  Add reference to
              crypttab(5).

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
# This script will be run by 'mkinitramfs' when it creates the image.
4
4
# Its job is to decide which files to install, then install them into
5
5
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when an
 
6
# happens when a new 'linux-image' package is installed, or when the
7
7
# administrator runs 'update-initramfs' by hand to update an initramfs
8
8
# image.
9
9
 
29
29
 
30
30
. /usr/share/initramfs-tools/hook-functions
31
31
 
32
 
for d in /usr/lib \
33
 
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
34
 
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
35
 
    if [ -d "$d"/mandos ]; then
36
 
        libdir="$d"
37
 
        break
38
 
    fi
39
 
done
40
 
if [ -z "$libdir" ]; then
 
32
if [ -d /usr/lib/mandos ]; then
 
33
    prefix=/usr
 
34
elif [ -d /usr/local/lib/mandos ]; then
 
35
    prefix=/usr/local
 
36
else
41
37
    # Mandos not found
42
38
    exit 1
43
39
fi
44
40
 
45
 
for d in /etc/keys/mandos /etc/mandos/keys; do
46
 
    if [ -d "$d" ]; then
47
 
        keydir="$d"
48
 
        break
49
 
    fi
50
 
done
51
 
if [ -z "$keydir" ]; then
52
 
    # Mandos key directory not found
53
 
    exit 1
54
 
fi
55
 
 
56
 
set `{ getent passwd _mandos \
57
 
    || getent passwd nobody \
58
 
    || echo ::65534:65534:::; } \
59
 
    | cut --delimiter=: --fields=3,4 --only-delimited \
60
 
    --output-delimiter=" "`
61
 
mandos_user="$1"
62
 
mandos_group="$2"
63
 
 
64
41
# The Mandos network client uses the network
65
42
auto_add_modules net
66
43
# The Mandos network client uses IPv6
70
47
CONFDIR="/conf/conf.d/mandos"
71
48
MANDOSDIR="/lib/mandos"
72
49
PLUGINDIR="${MANDOSDIR}/plugins.d"
73
 
PLUGINHELPERDIR="${MANDOSDIR}/plugin-helpers"
74
 
HOOKDIR="${MANDOSDIR}/network-hooks.d"
75
50
 
76
51
# Make directories
77
 
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
78
 
        "${DESTDIR}${MANDOSDIR}" "${DESTDIR}${HOOKDIR}"
79
 
install --owner=${mandos_user} --group=${mandos_group} --directory \
80
 
        --mode=u=rwx "${DESTDIR}${PLUGINDIR}" \
81
 
        "${DESTDIR}${PLUGINHELPERDIR}"
 
52
mkdir --parents "${DESTDIR}${CONFDIR}"
 
53
mkdir --parents "${DESTDIR}${PLUGINDIR}"
82
54
 
83
55
# Copy the Mandos plugin runner
84
 
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
 
56
copy_exec "$prefix"/lib/mandos/plugin-runner "${DESTDIR}${MANDOSDIR}"
85
57
 
86
58
# Copy the plugins
87
59
 
88
60
# Copy the packaged plugins
89
 
for file in "$libdir"/mandos/plugins.d/*; do
 
61
for file in "$prefix"/lib/mandos/plugins.d/*; do
90
62
    base="`basename \"$file\"`"
91
63
    # Is this plugin overridden?
92
64
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
93
65
        continue
94
66
    fi
95
67
    case "$base" in
96
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
97
 
            : ;;
98
 
        "*") echo "W: Mandos client plugin directory is empty." >&2 ;;
99
 
        *) copy_exec "$file" "${PLUGINDIR}" ;;
100
 
    esac
101
 
done
102
 
 
103
 
# Copy the packaged plugin helpers
104
 
for file in "$libdir"/mandos/plugin-helpers/*; do
105
 
    base="`basename \"$file\"`"
106
 
    # Is this plugin overridden?
107
 
    if [ -e "/etc/mandos/plugin-helpers/$base" ]; then
108
 
        continue
109
 
    fi
110
 
    case "$base" in
111
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
112
 
            : ;;
113
 
        "*") : ;;
114
 
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
68
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-new|*.dpkg-divert) : ;;
 
69
        *) copy_exec "$file" "${PLUGINDIR}";;
115
70
    esac
116
71
done
117
72
 
119
74
for file in /etc/mandos/plugins.d/*; do
120
75
    base="`basename \"$file\"`"
121
76
    case "$base" in
122
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
123
 
            : ;;
124
 
        "*") : ;;
125
 
        *) copy_exec "$file" "${PLUGINDIR}" ;;
126
 
    esac
127
 
done
128
 
 
129
 
# Copy any user-supplied plugin helpers
130
 
for file in /etc/mandos/plugin-helpers/*; do
131
 
    base="`basename \"$file\"`"
132
 
    case "$base" in
133
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
134
 
            : ;;
135
 
        "*") : ;;
136
 
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
137
 
    esac
138
 
done
139
 
 
140
 
# Get DEVICE from initramfs.conf and other files
141
 
. /etc/initramfs-tools/initramfs.conf
142
 
for conf in /etc/initramfs-tools/conf.d/*; do
143
 
    if [ -n `basename \"$conf\" | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
144
 
        | grep -v '\.dpkg-.*$'` ]; then
145
 
        [ -f "${conf}" ] && . "${conf}"
146
 
    fi
147
 
done
148
 
export DEVICE
149
 
 
150
 
# Copy network hooks
151
 
for hook in /etc/mandos/network-hooks.d/*; do
152
 
    case "`basename \"$hook\"`" in
153
 
        "*") continue ;;
154
 
        *[!A-Za-z0-9_.-]*) continue ;;
155
 
        *) test -d "$hook" || copy_exec "$hook" "${HOOKDIR}" ;;
156
 
    esac
157
 
    if [ -x "$hook" ]; then
158
 
        # Copy any files needed by the network hook
159
 
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
160
 
            VERBOSITY=0 "$hook" files | while read -r file target; do
161
 
            if [ ! -e "${file}" ]; then
162
 
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
163
 
            fi
164
 
            if [ -z "${target}" ]; then
165
 
                copy_exec "$file"
166
 
            else
167
 
                copy_exec "$file" "$target"
168
 
            fi
169
 
        done
170
 
        # Copy and load any modules needed by the network hook
171
 
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=modules \
172
 
            VERBOSITY=0 "$hook" modules | while read -r module; do
173
 
            force_load "$module"
174
 
        done
175
 
    fi
176
 
done
177
 
 
178
 
# GPGME needs GnuPG
179
 
gpg=/usr/bin/gpg
180
 
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
181
 
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
182
 
    if [ -e /usr/bin/gpgconf ]; then
183
 
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
184
 
            copy_exec /usr/bin/gpgconf
185
 
        fi
186
 
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
187
 
        gpgagent="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg-agent:[^:]*://p'`"
188
 
        # Newer versions of GnuPG 2 requires the gpg-agent binary
189
 
        if [ -e "$gpgagent" ] && [ ! -e "${DESTDIR}$gpgagent" ]; then
190
 
            copy_exec "$gpgagent"
191
 
        fi
192
 
    fi
193
 
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
194
 
    gpg=/usr/bin/gpg2
195
 
fi
196
 
if [ ! -e "${DESTDIR}$gpg" ]; then
197
 
    copy_exec "$gpg"
198
 
fi
199
 
unset gpg
200
 
unset libgpgme11_version
201
 
 
202
 
# Config files
203
 
for file in /etc/mandos/plugin-runner.conf; do
 
77
        *~|.*|*.dpkg-old|*.dpkg-new|*.dpkg-divert) : ;;
 
78
        *) copy_exec "$file" "${PLUGINDIR}";;
 
79
    esac
 
80
done
 
81
 
 
82
# GPGME needs /usr/bin/gpg
 
83
if ! [ -e "${DESTDIR}/usr/bin/gpg" ] \
 
84
    && [ -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* 2>/dev/null`" ]; then
 
85
    copy_exec /usr/bin/gpg
 
86
fi
 
87
 
 
88
# Key files
 
89
for file in /etc/mandos/*; do
204
90
    if [ -d "$file" ]; then
205
91
        continue
206
92
    fi
207
93
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
208
94
done
209
 
 
210
 
if [ ${mandos_user} != 65534 ]; then
211
 
    sed --in-place --expression="1i--userid=${mandos_user}" \
212
 
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
213
 
fi
214
 
 
215
 
if [ ${mandos_group} != 65534 ]; then
216
 
    sed --in-place --expression="1i--groupid=${mandos_group}" \
217
 
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
218
 
fi
219
 
 
220
 
# Key files
221
 
for file in "$keydir"/*; do
222
 
    if [ -d "$file" ]; then
223
 
        continue
224
 
    fi
225
 
    case "$file" in
226
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
227
 
            : ;;
228
 
        "*") : ;;
229
 
        *)
230
 
            cp --archive --sparse=always "$file" \
231
 
               "${DESTDIR}${CONFDIR}"
232
 
            chown ${mandos_user}:${mandos_group} \
233
 
                  "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
234
 
            ;;
235
 
    esac
236
 
done
237
 
# Use Diffie-Hellman parameters file if available
238
 
if [ -e "${DESTDIR}${CONFDIR}"/dhparams.pem ]; then
239
 
    sed --in-place \
240
 
        --expression="1i--options-for=mandos-client:--dh-params=${CONFDIR}/dhparams.pem" \
241
 
        "${DESTDIR}/${CONFDIR}/plugin-runner.conf"
242
 
fi
 
95
# Create key ring files
 
96
gpg --no-random-seed-file --quiet --batch --no-tty --armor \
 
97
    --no-default-keyring --no-options --enable-dsa2 \
 
98
    --homedir "${DESTDIR}${CONFDIR}" --no-permission-warning \
 
99
    --trust-model always --import-options import-minimal \
 
100
    --import "${DESTDIR}${CONFDIR}/seckey.txt"
 
101
chown nobody "${DESTDIR}${CONFDIR}/secring.gpg"
243
102
 
244
103
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
245
104
# its plugin directory and its config file.  However, since almost all
253
112
# condition.  This umask is set by "initramfs-tools-hook-conf",
254
113
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
255
114
256
 
for full in "${MANDOSDIR}" "${CONFDIR}"; do
 
115
for full in "${PLUGINDIR}" "${CONFDIR}"; do
257
116
    while [ "$full" != "/" ]; do
258
117
        chmod a+rX "${DESTDIR}$full"
259
118
        full="`dirname \"$full\"`"
263
122
# Reset some other things to sane permissions which we have
264
123
# inadvertently affected with our umask setting.
265
124
for dir in / /bin /etc /keyscripts /sbin /scripts /usr /usr/bin; do
266
 
    if [ -d "${DESTDIR}$dir" ]; then
267
 
        chmod a+rX "${DESTDIR}$dir"
268
 
    fi
 
125
    chmod a+rX "${DESTDIR}$dir"
269
126
done
270
 
for dir in "${DESTDIR}"/lib* "${DESTDIR}"/usr/lib*; do
271
 
    if [ -d "$dir" ]; then
272
 
        find "$dir" \! -perm -u+rw,g+r -prune -or \! -type l -print0 \
273
 
            | xargs --null --no-run-if-empty chmod a+rX --
274
 
    fi
 
127
for dir in /lib /usr/lib; do
 
128
    chmod --recursive a+rX "${DESTDIR}$dir"
275
129
done