/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Björn Påhlsson
  • Date: 2008-07-20 02:52:20 UTC
  • Revision ID: belorn@braxen-20080720025220-r5u0388uy9iu23h6
Added following support:
Pluginbased client handler
rewritten Mandos client
       Avahi instead of udp server discovery
       openpgp encrypted key support
Passprompt stand alone application for direct console input
Added logging for Mandos server

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/sh
2
 
 
3
 
# This script will be run by 'mkinitramfs' when it creates the image.
4
 
# Its job is to decide which files to install, then install them into
5
 
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
7
 
# administrator runs 'update-initramfs' by hand to update an initramfs
8
 
# image.
9
 
 
10
 
# The environment contains at least:
11
 
#
12
 
#  DESTDIR -- The staging directory where the image is being built.
13
 
 
14
 
# No initramfs pre-requirements
15
 
PREREQ="cryptroot"
16
 
 
17
 
prereqs()
18
 
{
19
 
        echo "$PREREQ"
20
 
}
21
 
 
22
 
case $1 in
23
 
# get pre-requisites
24
 
prereqs)
25
 
        prereqs
26
 
        exit 0
27
 
        ;;
28
 
esac
29
 
 
30
 
. /usr/share/initramfs-tools/hook-functions
31
 
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
35
 
        break
36
 
    fi
37
 
done
38
 
if [ -z "$prefix" ]; then
39
 
    # Mandos not found
40
 
    exit 1
41
 
fi
42
 
 
43
 
for d in /etc/keys/mandos /etc/mandos/keys; do
44
 
    if [ -d "$d" ]; then
45
 
        keydir="$d"
46
 
        break
47
 
    fi
48
 
done
49
 
if [ -z "$keydir" ]; then
50
 
    # Mandos key directory not found
51
 
    exit 1
52
 
fi
53
 
 
54
 
mandos_user="`{ getent passwd mandos \
55
 
                || getent passwd nobody \
56
 
                || echo ::65534::::; } \
57
 
        | awk --field-separator=: '{ print $3 }'`" 
58
 
mandos_group="`{ getent group mandos \
59
 
                || getent group nogroup \
60
 
                || echo ::65534:; } \
61
 
        | awk --field-separator=: '{ print $3 }'`"
62
 
 
63
 
# The Mandos network client uses the network
64
 
auto_add_modules net
65
 
# The Mandos network client uses IPv6
66
 
force_load ipv6
67
 
 
68
 
# These are directories inside the initrd
69
 
CONFDIR="/conf/conf.d/mandos"
70
 
MANDOSDIR="/lib/mandos"
71
 
PLUGINDIR="${MANDOSDIR}/plugins.d"
72
 
 
73
 
# Make directories
74
 
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
75
 
        "${DESTDIR}${MANDOSDIR}"
76
 
install --owner=${mandos_user} --group=${mandos_group} --directory \
77
 
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
78
 
 
79
 
# Copy the Mandos plugin runner
80
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
81
 
 
82
 
# Copy the plugins
83
 
 
84
 
# Copy the packaged plugins
85
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
86
 
    base="`basename \"$file\"`"
87
 
    # Is this plugin overridden?
88
 
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
89
 
        continue
90
 
    fi
91
 
    case "$base" in
92
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert) : ;;
93
 
        "*") :;;
94
 
        *) copy_exec "$file" "${PLUGINDIR}";;
95
 
    esac
96
 
done
97
 
 
98
 
# Copy any user-supplied plugins
99
 
for file in /etc/mandos/plugins.d/*; do
100
 
    base="`basename \"$file\"`"
101
 
    case "$base" in
102
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert) : ;;
103
 
        "*") :;;
104
 
        *) copy_exec "$file" "${PLUGINDIR}";;
105
 
    esac
106
 
done
107
 
 
108
 
# GPGME needs /usr/bin/gpg
109
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
110
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
111
 
                2>/dev/null`" ]; then
112
 
    copy_exec /usr/bin/gpg
113
 
fi
114
 
 
115
 
# Config files
116
 
for file in /etc/mandos/*; do
117
 
    if [ -d "$file" ]; then
118
 
        continue
119
 
    fi
120
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
121
 
done
122
 
 
123
 
if [ ${mandos_user} != 65534 ]; then
124
 
    PLUGINRUNNERCONF="${DESTDIR}${CONFDIR}/plugin-runner.conf"
125
 
    echo "--userid=${mandos_user}" >> "$PLUGINRUNNERCONF"
126
 
fi
127
 
 
128
 
if [ ${mandos_group} != 65534 ]; then
129
 
    PLUGINRUNNERCONF="${DESTDIR}${CONFDIR}/plugin-runner.conf"
130
 
    echo "--groupid=${mandos_group}" >> "$PLUGINRUNNERCONF"
131
 
fi
132
 
 
133
 
# Key files 
134
 
for file in  "$keydir"/*; do
135
 
    if [ -d "$file" ]; then
136
 
        continue
137
 
    fi
138
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
139
 
    chown ${mandos_user}:${mandos_group} \
140
 
        "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
141
 
done
142
 
 
143
 
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
144
 
# its plugin directory and its config file.  However, since almost all
145
 
# files in initrd have been created with umask 027, this opening of
146
 
# permissions is needed.
147
 
148
 
# (The umask is not really intended to affect the files inside the
149
 
# initrd; it is intended to affect the initrd.img file itself, since
150
 
# it now contains secret key files.  There is, however, no other way
151
 
# to set the permission of the initrd.img file without a race
152
 
# condition.  This umask is set by "initramfs-tools-hook-conf",
153
 
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
154
 
155
 
for full in "${MANDOSDIR}" "${CONFDIR}"; do
156
 
    while [ "$full" != "/" ]; do
157
 
        chmod a+rX "${DESTDIR}$full"
158
 
        full="`dirname \"$full\"`"
159
 
    done
160
 
done
161
 
 
162
 
# Reset some other things to sane permissions which we have
163
 
# inadvertently affected with our umask setting.
164
 
for dir in / /bin /etc /keyscripts /sbin /scripts /usr /usr/bin; do
165
 
    if [ -d "${DESTDIR}$dir" ]; then
166
 
        chmod a+rX "${DESTDIR}$dir"
167
 
    fi
168
 
done
169
 
for dir in /lib /usr/lib; do
170
 
    find "${DESTDIR}$dir" \! -perm -u+rw,g+r -prune -or -print0 \
171
 
        | xargs --null --no-run-if-empty chmod a+rX
172
 
done