/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2008-07-19 18:43:24 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080719184324-iwhoa5in75xa0u2u
* mandos-clients.conf ([foo]/dn, [foo]/password, [braxen_client]/dn,
                       [braxen_client]/password): Removed.
  ([foo]/fingerprint, [braxen_client]/fingerprint): New.
  ([foo]/checker): New.
  ([foo]/secfile): New.
  ([braxen_client]/secret): New.

* server.py: New "--debug" option to set debug flag.  Removed "cert",
             "key", "ca", "crl", and "cred" variables.  Added default
             value for "checker" config file setting.  Do not pass
             credentials to IPv6_TCPServer constructor.
  (debug): New global debug flag.  Used by most debugging output code.
  (Client.__init__): Keyword argument "dn" replaced by "fingerprint",
                     "password" renamed to "secret", and "passfile"
                     renamed to "secfile".  New keyword argument
                     "checker". All callers changed.
  (Client.dn): Removed.
  (Client.fingerprint): New.
  (Client.password): Renamed to "secret"; all users changed.
  (Client.passfile): Renamed to "secfile"; all users changed.
  (Client.timeout, Client.interval): Changed to be properties; now
                                     automatically updates the
                                     "_timeout_milliseconds" and
                                     "_interval_milliseconds" values.
  (Client.timeout_milliseconds): Renamed to "_timeout_milliseconds".
  (Client.interval_milliseconds): Renamed to "_interval_milliseconds".
  (Client.check_command): New.
  (Client.start_checker): Use the new "check_command" attribute.
  (peer_certificate, fingerprint): New functions.

  (tcp_handler.handle): Use ClientSession with empty credentials
                        object instead of ServerSession.  Set gnutls
                        priority string.  Do not verify peer.  Use
                        fingerprint instead of DN when searching for
                        clients.  Bug fix: Loop sending data so even large
                        secret data strings are sent.
  (IPv6_TCPServer.credentials): Removed.
  (if_nametoindex): Do not import ctypes since that is now imported
                    globally.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/sh
2
 
 
3
 
# This script will be run by 'mkinitramfs' when it creates the image.
4
 
# Its job is to decide which files to install, then install them into
5
 
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
7
 
# administrator runs 'update-initramfs' by hand to update an initramfs
8
 
# image.
9
 
 
10
 
# The environment contains at least:
11
 
#
12
 
#  DESTDIR -- The staging directory where the image is being built.
13
 
 
14
 
# No initramfs pre-requirements
15
 
PREREQ="cryptroot"
16
 
 
17
 
prereqs()
18
 
{
19
 
        echo "$PREREQ"
20
 
}
21
 
 
22
 
case $1 in
23
 
# get pre-requisites
24
 
prereqs)
25
 
        prereqs
26
 
        exit 0
27
 
        ;;
28
 
esac
29
 
 
30
 
. /usr/share/initramfs-tools/hook-functions
31
 
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
35
 
        break
36
 
    fi
37
 
done
38
 
if [ -z "$prefix" ]; then
39
 
    # Mandos not found
40
 
    exit 1
41
 
fi
42
 
 
43
 
for d in /etc/keys/mandos /etc/mandos/keys; do
44
 
    if [ -d "$d" ]; then
45
 
        keydir="$d"
46
 
        break
47
 
    fi
48
 
done
49
 
if [ -z "$keydir" ]; then
50
 
    # Mandos key directory not found
51
 
    exit 1
52
 
fi
53
 
 
54
 
set `{ getent passwd _mandos \
55
 
    || getent passwd nobody \
56
 
    || echo ::65534:65534:::; } \
57
 
    | cut --delimiter=: --fields=3,4 --only-delimited \
58
 
    --output-delimiter=" "`
59
 
mandos_user="$1"
60
 
mandos_group="$2"
61
 
 
62
 
# The Mandos network client uses the network
63
 
auto_add_modules net
64
 
# The Mandos network client uses IPv6
65
 
force_load ipv6
66
 
 
67
 
# These are directories inside the initrd
68
 
CONFDIR="/conf/conf.d/mandos"
69
 
MANDOSDIR="/lib/mandos"
70
 
PLUGINDIR="${MANDOSDIR}/plugins.d"
71
 
 
72
 
# Make directories
73
 
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
74
 
        "${DESTDIR}${MANDOSDIR}"
75
 
install --owner=${mandos_user} --group=${mandos_group} --directory \
76
 
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
77
 
 
78
 
# Copy the Mandos plugin runner
79
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
80
 
 
81
 
# Copy the plugins
82
 
 
83
 
# Copy the packaged plugins
84
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
85
 
    base="`basename \"$file\"`"
86
 
    # Is this plugin overridden?
87
 
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
88
 
        continue
89
 
    fi
90
 
    case "$base" in
91
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
92
 
            : ;;
93
 
        "*") echo "W: Mandos client plugin directory is empty." >&2 ;;
94
 
        *) copy_exec "$file" "${PLUGINDIR}" ;;
95
 
    esac
96
 
done
97
 
 
98
 
# Copy any user-supplied plugins
99
 
for file in /etc/mandos/plugins.d/*; do
100
 
    base="`basename \"$file\"`"
101
 
    case "$base" in
102
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
103
 
            : ;;
104
 
        "*") : ;;
105
 
        *) copy_exec "$file" "${PLUGINDIR}" ;;
106
 
    esac
107
 
done
108
 
 
109
 
# GPGME needs /usr/bin/gpg
110
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
111
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
112
 
                2>/dev/null`" ]; then
113
 
    copy_exec /usr/bin/gpg
114
 
fi
115
 
 
116
 
# Config files
117
 
for file in /etc/mandos/plugin-runner.conf; do
118
 
    if [ -d "$file" ]; then
119
 
        continue
120
 
    fi
121
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
122
 
done
123
 
 
124
 
if [ ${mandos_user} != 65534 ]; then
125
 
    sed --in-place --expression="1i--userid=${mandos_user}" \
126
 
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
127
 
fi
128
 
 
129
 
if [ ${mandos_group} != 65534 ]; then
130
 
    sed --in-place --expression="1i--groupid=${mandos_group}" \
131
 
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
132
 
fi
133
 
 
134
 
# Key files
135
 
for file in "$keydir"/*; do
136
 
    if [ -d "$file" ]; then
137
 
        continue
138
 
    fi
139
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
140
 
    chown ${mandos_user}:${mandos_group} \
141
 
        "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
142
 
done
143
 
 
144
 
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
145
 
# its plugin directory and its config file.  However, since almost all
146
 
# files in initrd have been created with umask 027, this opening of
147
 
# permissions is needed.
148
 
149
 
# (The umask is not really intended to affect the files inside the
150
 
# initrd; it is intended to affect the initrd.img file itself, since
151
 
# it now contains secret key files.  There is, however, no other way
152
 
# to set the permission of the initrd.img file without a race
153
 
# condition.  This umask is set by "initramfs-tools-hook-conf",
154
 
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
155
 
156
 
for full in "${MANDOSDIR}" "${CONFDIR}"; do
157
 
    while [ "$full" != "/" ]; do
158
 
        chmod a+rX "${DESTDIR}$full"
159
 
        full="`dirname \"$full\"`"
160
 
    done
161
 
done
162
 
 
163
 
# Reset some other things to sane permissions which we have
164
 
# inadvertently affected with our umask setting.
165
 
for dir in / /bin /etc /keyscripts /sbin /scripts /usr /usr/bin; do
166
 
    if [ -d "${DESTDIR}$dir" ]; then
167
 
        chmod a+rX "${DESTDIR}$dir"
168
 
    fi
169
 
done
170
 
for dir in "${DESTDIR}"/lib* "${DESTDIR}"/usr/lib*; do
171
 
    if [ -d "$dir" ]; then
172
 
        find "$dir" \! -perm -u+rw,g+r -prune -or -print0 \
173
 
            | xargs --null --no-run-if-empty chmod a+rX
174
 
    fi
175
 
done