/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/mandosclient.c

  • Committer: Björn Påhlsson
  • Date: 2008-07-20 02:52:20 UTC
  • Revision ID: belorn@braxen-20080720025220-r5u0388uy9iu23h6
Added following support:
Pluginbased client handler
rewritten Mandos client
       Avahi instead of udp server discovery
       openpgp encrypted key support
Passprompt stand alone application for direct console input
Added logging for Mandos server

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
/*  -*- coding: utf-8 -*- */
2
 
/*
3
 
 * Mandos-client - get and decrypt data from a Mandos server
 
1
/* $Id$ */
 
2
 
 
3
/* PLEASE NOTE *
 
4
 * This file demonstrates how to use Avahi's core API, this is
 
5
 * the embeddable mDNS stack for embedded applications.
4
6
 *
5
 
 * This program is partly derived from an example program for an Avahi
6
 
 * service browser, downloaded from
7
 
 * <http://avahi.org/browser/examples/core-browse-services.c>.  This
8
 
 * includes the following functions: "resolve_callback",
9
 
 * "browse_callback", and parts of "main".
10
 
 * 
11
 
 * Everything else is
12
 
 * Copyright © 2008,2009 Teddy Hogeborn
13
 
 * Copyright © 2008,2009 Björn Påhlsson
14
 
 * 
15
 
 * This program is free software: you can redistribute it and/or
16
 
 * modify it under the terms of the GNU General Public License as
17
 
 * published by the Free Software Foundation, either version 3 of the
18
 
 * License, or (at your option) any later version.
19
 
 * 
20
 
 * This program is distributed in the hope that it will be useful, but
21
 
 * WITHOUT ANY WARRANTY; without even the implied warranty of
22
 
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
23
 
 * General Public License for more details.
24
 
 * 
25
 
 * You should have received a copy of the GNU General Public License
26
 
 * along with this program.  If not, see
27
 
 * <http://www.gnu.org/licenses/>.
28
 
 * 
29
 
 * Contact the authors at <mandos@fukt.bsnet.se>.
 
7
 * End user applications should *not* use this API and should use
 
8
 * the D-Bus or C APIs, please see
 
9
 * client-browse-services.c and glib-integration.c
 
10
 * 
 
11
 * I repeat, you probably do *not* want to use this example.
30
12
 */
31
13
 
32
 
/* Needed by GPGME, specifically gpgme_data_seek() */
33
 
#ifndef _LARGEFILE_SOURCE
 
14
/***
 
15
  This file is part of avahi.
 
16
 
 
17
  avahi is free software; you can redistribute it and/or modify it
 
18
  under the terms of the GNU Lesser General Public License as
 
19
  published by the Free Software Foundation; either version 2.1 of the
 
20
  License, or (at your option) any later version.
 
21
 
 
22
  avahi is distributed in the hope that it will be useful, but WITHOUT
 
23
  ANY WARRANTY; without even the implied warranty of MERCHANTABILITY
 
24
  or FITNESS FOR A PARTICULAR PURPOSE. See the GNU Lesser General
 
25
  Public License for more details.
 
26
 
 
27
  You should have received a copy of the GNU Lesser General Public
 
28
  License along with avahi; if not, write to the Free Software
 
29
  Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
 
30
  USA.
 
31
***/
 
32
 
34
33
#define _LARGEFILE_SOURCE
35
 
#endif
36
 
#ifndef _FILE_OFFSET_BITS
37
34
#define _FILE_OFFSET_BITS 64
38
 
#endif
39
 
 
40
 
#define _GNU_SOURCE             /* TEMP_FAILURE_RETRY(), asprintf() */
41
 
 
42
 
#include <stdio.h>              /* fprintf(), stderr, fwrite(),
43
 
                                   stdout, ferror(), remove() */
44
 
#include <stdint.h>             /* uint16_t, uint32_t */
45
 
#include <stddef.h>             /* NULL, size_t, ssize_t */
46
 
#include <stdlib.h>             /* free(), EXIT_SUCCESS, EXIT_FAILURE,
47
 
                                   srand(), strtof() */
48
 
#include <stdbool.h>            /* bool, false, true */
49
 
#include <string.h>             /* memset(), strcmp(), strlen(),
50
 
                                   strerror(), asprintf(), strcpy() */
51
 
#include <sys/ioctl.h>          /* ioctl */
52
 
#include <sys/types.h>          /* socket(), inet_pton(), sockaddr,
53
 
                                   sockaddr_in6, PF_INET6,
54
 
                                   SOCK_STREAM, uid_t, gid_t, open(),
55
 
                                   opendir(), DIR */
56
 
#include <sys/stat.h>           /* open() */
57
 
#include <sys/socket.h>         /* socket(), struct sockaddr_in6,
58
 
                                   inet_pton(), connect() */
59
 
#include <fcntl.h>              /* open() */
60
 
#include <dirent.h>             /* opendir(), struct dirent, readdir()
61
 
                                 */
62
 
#include <inttypes.h>           /* PRIu16, PRIdMAX, intmax_t,
63
 
                                   strtoimax() */
64
 
#include <assert.h>             /* assert() */
65
 
#include <errno.h>              /* perror(), errno */
66
 
#include <time.h>               /* nanosleep(), time() */
67
 
#include <net/if.h>             /* ioctl, ifreq, SIOCGIFFLAGS, IFF_UP,
68
 
                                   SIOCSIFFLAGS, if_indextoname(),
69
 
                                   if_nametoindex(), IF_NAMESIZE */
70
 
#include <netinet/in.h>         /* IN6_IS_ADDR_LINKLOCAL,
71
 
                                   INET_ADDRSTRLEN, INET6_ADDRSTRLEN
72
 
                                */
73
 
#include <unistd.h>             /* close(), SEEK_SET, off_t, write(),
74
 
                                   getuid(), getgid(), seteuid(),
75
 
                                   setgid() */
76
 
#include <arpa/inet.h>          /* inet_pton(), htons */
77
 
#include <iso646.h>             /* not, or, and */
78
 
#include <argp.h>               /* struct argp_option, error_t, struct
79
 
                                   argp_state, struct argp,
80
 
                                   argp_parse(), ARGP_KEY_ARG,
81
 
                                   ARGP_KEY_END, ARGP_ERR_UNKNOWN */
82
 
#include <signal.h>             /* sigemptyset(), sigaddset(),
83
 
                                   sigaction(), SIGTERM, sig_atomic_t,
84
 
                                   raise() */
85
 
 
86
 
#ifdef __linux__
87
 
#include <sys/klog.h>           /* klogctl() */
88
 
#endif  /* __linux__ */
89
 
 
90
 
/* Avahi */
91
 
/* All Avahi types, constants and functions
92
 
 Avahi*, avahi_*,
93
 
 AVAHI_* */
 
35
 
 
36
#include <stdio.h>
 
37
#include <assert.h>
 
38
#include <stdlib.h>
 
39
#include <time.h>
 
40
#include <net/if.h>             /* if_nametoindex */
 
41
 
94
42
#include <avahi-core/core.h>
95
43
#include <avahi-core/lookup.h>
96
44
#include <avahi-core/log.h>
98
46
#include <avahi-common/malloc.h>
99
47
#include <avahi-common/error.h>
100
48
 
101
 
/* GnuTLS */
102
 
#include <gnutls/gnutls.h>      /* All GnuTLS types, constants and
103
 
                                   functions:
104
 
                                   gnutls_*
105
 
                                   init_gnutls_session(),
106
 
                                   GNUTLS_* */
107
 
#include <gnutls/openpgp.h>
108
 
                          /* gnutls_certificate_set_openpgp_key_file(),
109
 
                                   GNUTLS_OPENPGP_FMT_BASE64 */
110
 
 
111
 
/* GPGME */
112
 
#include <gpgme.h>              /* All GPGME types, constants and
113
 
                                   functions:
114
 
                                   gpgme_*
115
 
                                   GPGME_PROTOCOL_OpenPGP,
116
 
                                   GPG_ERR_NO_* */
117
 
 
 
49
//mandos client part
 
50
#include <sys/types.h>          /* socket(), setsockopt(), inet_pton() */
 
51
#include <sys/socket.h>         /* socket(), setsockopt(), struct sockaddr_in6, struct in6_addr, inet_pton() */
 
52
#include <gnutls/gnutls.h>      /* ALL GNUTLS STUFF */
 
53
#include <gnutls/openpgp.h>     /* gnutls with openpgp stuff */
 
54
 
 
55
#include <unistd.h>             /* close() */
 
56
#include <netinet/in.h>
 
57
#include <stdbool.h>            /* true */
 
58
#include <string.h>             /* memset */
 
59
#include <arpa/inet.h>          /* inet_pton() */
 
60
#include <iso646.h>             /* not */
 
61
 
 
62
// gpgme
 
63
#include <errno.h>              /* perror() */
 
64
#include <gpgme.h>
 
65
 
 
66
 
 
67
#ifndef CERT_ROOT
 
68
#define CERT_ROOT "/conf/conf.d/cryptkeyreq/"
 
69
#endif
 
70
#define CERTFILE CERT_ROOT "openpgp-client.txt"
 
71
#define KEYFILE CERT_ROOT "openpgp-client-key.txt"
118
72
#define BUFFER_SIZE 256
119
 
 
120
 
#define PATHDIR "/conf/conf.d/mandos"
121
 
#define SECKEY "seckey.txt"
122
 
#define PUBKEY "pubkey.txt"
123
 
 
124
 
bool debug = false;
125
 
static const char mandos_protocol_version[] = "1";
126
 
const char *argp_program_version = "mandos-client " VERSION;
127
 
const char *argp_program_bug_address = "<mandos@fukt.bsnet.se>";
128
 
 
129
 
/* Used for passing in values through the Avahi callback functions */
 
73
#define DH_BITS 1024
 
74
 
130
75
typedef struct {
131
 
  AvahiSimplePoll *simple_poll;
132
 
  AvahiServer *server;
 
76
  gnutls_session_t session;
133
77
  gnutls_certificate_credentials_t cred;
134
 
  unsigned int dh_bits;
135
78
  gnutls_dh_params_t dh_params;
136
 
  const char *priority;
 
79
} encrypted_session;
 
80
 
 
81
 
 
82
ssize_t gpg_packet_decrypt (char *packet, size_t packet_size, char **new_packet, char *homedir){
 
83
  gpgme_data_t dh_crypto, dh_plain;
137
84
  gpgme_ctx_t ctx;
138
 
} mandos_context;
139
 
 
140
 
/* global context so signal handler can reach it*/
141
 
mandos_context mc = { .simple_poll = NULL, .server = NULL,
142
 
                      .dh_bits = 1024, .priority = "SECURE256"
143
 
                      ":!CTYPE-X.509:+CTYPE-OPENPGP" };
144
 
 
145
 
/*
146
 
 * Make additional room in "buffer" for at least BUFFER_SIZE more
147
 
 * bytes. "buffer_capacity" is how much is currently allocated,
148
 
 * "buffer_length" is how much is already used.
149
 
 */
150
 
size_t incbuffer(char **buffer, size_t buffer_length,
151
 
                  size_t buffer_capacity){
152
 
  if(buffer_length + BUFFER_SIZE > buffer_capacity){
153
 
    *buffer = realloc(*buffer, buffer_capacity + BUFFER_SIZE);
154
 
    if(buffer == NULL){
155
 
      return 0;
156
 
    }
157
 
    buffer_capacity += BUFFER_SIZE;
158
 
  }
159
 
  return buffer_capacity;
160
 
}
161
 
 
162
 
/* 
163
 
 * Initialize GPGME.
164
 
 */
165
 
static bool init_gpgme(const char *seckey,
166
 
                       const char *pubkey, const char *tempdir){
167
85
  gpgme_error_t rc;
 
86
  ssize_t ret;
 
87
  size_t new_packet_capacity = 0;
 
88
  size_t new_packet_length = 0;
168
89
  gpgme_engine_info_t engine_info;
169
 
  
170
 
  
171
 
  /*
172
 
   * Helper function to insert pub and seckey to the engine keyring.
173
 
   */
174
 
  bool import_key(const char *filename){
175
 
    int ret;
176
 
    int fd;
177
 
    gpgme_data_t pgp_data;
178
 
    
179
 
    fd = (int)TEMP_FAILURE_RETRY(open(filename, O_RDONLY));
180
 
    if(fd == -1){
181
 
      perror("open");
182
 
      return false;
183
 
    }
184
 
    
185
 
    rc = gpgme_data_new_from_fd(&pgp_data, fd);
186
 
    if(rc != GPG_ERR_NO_ERROR){
187
 
      fprintf(stderr, "bad gpgme_data_new_from_fd: %s: %s\n",
188
 
              gpgme_strsource(rc), gpgme_strerror(rc));
189
 
      return false;
190
 
    }
191
 
    
192
 
    rc = gpgme_op_import(mc.ctx, pgp_data);
193
 
    if(rc != GPG_ERR_NO_ERROR){
194
 
      fprintf(stderr, "bad gpgme_op_import: %s: %s\n",
195
 
              gpgme_strsource(rc), gpgme_strerror(rc));
196
 
      return false;
197
 
    }
198
 
    
199
 
    ret = (int)TEMP_FAILURE_RETRY(close(fd));
200
 
    if(ret == -1){
201
 
      perror("close");
202
 
    }
203
 
    gpgme_data_release(pgp_data);
204
 
    return true;
205
 
  }
206
 
  
207
 
  if(debug){
208
 
    fprintf(stderr, "Initializing GPGME\n");
209
 
  }
210
 
  
 
90
 
211
91
  /* Init GPGME */
212
92
  gpgme_check_version(NULL);
213
 
  rc = gpgme_engine_check_version(GPGME_PROTOCOL_OpenPGP);
214
 
  if(rc != GPG_ERR_NO_ERROR){
215
 
    fprintf(stderr, "bad gpgme_engine_check_version: %s: %s\n",
216
 
            gpgme_strsource(rc), gpgme_strerror(rc));
217
 
    return false;
218
 
  }
 
93
  gpgme_engine_check_version(GPGME_PROTOCOL_OpenPGP);
219
94
  
220
 
    /* Set GPGME home directory for the OpenPGP engine only */
221
 
  rc = gpgme_get_engine_info(&engine_info);
222
 
  if(rc != GPG_ERR_NO_ERROR){
 
95
  /* Set GPGME home directory */
 
96
  rc = gpgme_get_engine_info (&engine_info);
 
97
  if (rc != GPG_ERR_NO_ERROR){
223
98
    fprintf(stderr, "bad gpgme_get_engine_info: %s: %s\n",
224
99
            gpgme_strsource(rc), gpgme_strerror(rc));
225
 
    return false;
 
100
    return -1;
226
101
  }
227
102
  while(engine_info != NULL){
228
103
    if(engine_info->protocol == GPGME_PROTOCOL_OpenPGP){
229
104
      gpgme_set_engine_info(GPGME_PROTOCOL_OpenPGP,
230
 
                            engine_info->file_name, tempdir);
 
105
                            engine_info->file_name, homedir);
231
106
      break;
232
107
    }
233
108
    engine_info = engine_info->next;
234
109
  }
235
110
  if(engine_info == NULL){
236
 
    fprintf(stderr, "Could not set GPGME home dir to %s\n", tempdir);
237
 
    return false;
238
 
  }
239
 
  
240
 
  /* Create new GPGME "context" */
241
 
  rc = gpgme_new(&(mc.ctx));
242
 
  if(rc != GPG_ERR_NO_ERROR){
243
 
    fprintf(stderr, "bad gpgme_new: %s: %s\n",
244
 
            gpgme_strsource(rc), gpgme_strerror(rc));
245
 
    return false;
246
 
  }
247
 
  
248
 
  if(not import_key(pubkey) or not import_key(seckey)){
249
 
    return false;
250
 
  }
251
 
  
252
 
  return true;
253
 
}
254
 
 
255
 
/* 
256
 
 * Decrypt OpenPGP data.
257
 
 * Returns -1 on error
258
 
 */
259
 
static ssize_t pgp_packet_decrypt(const char *cryptotext,
260
 
                                  size_t crypto_size,
261
 
                                  char **plaintext){
262
 
  gpgme_data_t dh_crypto, dh_plain;
263
 
  gpgme_error_t rc;
264
 
  ssize_t ret;
265
 
  size_t plaintext_capacity = 0;
266
 
  ssize_t plaintext_length = 0;
267
 
  
268
 
  if(debug){
269
 
    fprintf(stderr, "Trying to decrypt OpenPGP data\n");
270
 
  }
271
 
  
272
 
  /* Create new GPGME data buffer from memory cryptotext */
273
 
  rc = gpgme_data_new_from_mem(&dh_crypto, cryptotext, crypto_size,
274
 
                               0);
275
 
  if(rc != GPG_ERR_NO_ERROR){
 
111
    fprintf(stderr, "Could not set home dir to %s\n", homedir);
 
112
    return -1;
 
113
  }
 
114
  
 
115
  /* Create new GPGME data buffer from packet buffer */
 
116
  rc = gpgme_data_new_from_mem(&dh_crypto, packet, packet_size, 0);
 
117
  if (rc != GPG_ERR_NO_ERROR){
276
118
    fprintf(stderr, "bad gpgme_data_new_from_mem: %s: %s\n",
277
119
            gpgme_strsource(rc), gpgme_strerror(rc));
278
120
    return -1;
280
122
  
281
123
  /* Create new empty GPGME data buffer for the plaintext */
282
124
  rc = gpgme_data_new(&dh_plain);
283
 
  if(rc != GPG_ERR_NO_ERROR){
 
125
  if (rc != GPG_ERR_NO_ERROR){
284
126
    fprintf(stderr, "bad gpgme_data_new: %s: %s\n",
285
127
            gpgme_strsource(rc), gpgme_strerror(rc));
286
 
    gpgme_data_release(dh_crypto);
287
 
    return -1;
288
 
  }
289
 
  
290
 
  /* Decrypt data from the cryptotext data buffer to the plaintext
291
 
     data buffer */
292
 
  rc = gpgme_op_decrypt(mc.ctx, dh_crypto, dh_plain);
293
 
  if(rc != GPG_ERR_NO_ERROR){
 
128
    return -1;
 
129
  }
 
130
  
 
131
  /* Create new GPGME "context" */
 
132
  rc = gpgme_new(&ctx);
 
133
  if (rc != GPG_ERR_NO_ERROR){
 
134
    fprintf(stderr, "bad gpgme_new: %s: %s\n",
 
135
            gpgme_strsource(rc), gpgme_strerror(rc));
 
136
    return -1;
 
137
  }
 
138
  
 
139
  /* Decrypt data from the FILE pointer to the plaintext data buffer */
 
140
  rc = gpgme_op_decrypt(ctx, dh_crypto, dh_plain);
 
141
  if (rc != GPG_ERR_NO_ERROR){
294
142
    fprintf(stderr, "bad gpgme_op_decrypt: %s: %s\n",
295
143
            gpgme_strsource(rc), gpgme_strerror(rc));
296
 
    plaintext_length = -1;
297
 
    if(debug){
298
 
      gpgme_decrypt_result_t result;
299
 
      result = gpgme_op_decrypt_result(mc.ctx);
300
 
      if(result == NULL){
301
 
        fprintf(stderr, "gpgme_op_decrypt_result failed\n");
302
 
      } else {
303
 
        fprintf(stderr, "Unsupported algorithm: %s\n",
304
 
                result->unsupported_algorithm);
305
 
        fprintf(stderr, "Wrong key usage: %u\n",
306
 
                result->wrong_key_usage);
307
 
        if(result->file_name != NULL){
308
 
          fprintf(stderr, "File name: %s\n", result->file_name);
309
 
        }
310
 
        gpgme_recipient_t recipient;
311
 
        recipient = result->recipients;
312
 
        while(recipient != NULL){
313
 
          fprintf(stderr, "Public key algorithm: %s\n",
314
 
                  gpgme_pubkey_algo_name(recipient->pubkey_algo));
315
 
          fprintf(stderr, "Key ID: %s\n", recipient->keyid);
316
 
          fprintf(stderr, "Secret key available: %s\n",
317
 
                  recipient->status == GPG_ERR_NO_SECKEY
318
 
                  ? "No" : "Yes");
319
 
          recipient = recipient->next;
320
 
        }
321
 
      }
322
 
    }
323
 
    goto decrypt_end;
 
144
    return -1;
324
145
  }
325
146
  
326
 
  if(debug){
327
 
    fprintf(stderr, "Decryption of OpenPGP data succeeded\n");
328
 
  }
 
147
/*   gpgme_decrypt_result_t result; */
 
148
/*   result = gpgme_op_decrypt_result(ctx); */
 
149
/*   fprintf(stderr, "Unsupported algorithm: %s\n", result->unsupported_algorithm); */
 
150
/*   fprintf(stderr, "Wrong key usage: %d\n", result->wrong_key_usage); */
 
151
/*   if(result->file_name != NULL){ */
 
152
/*     fprintf(stderr, "File name: %s\n", result->file_name); */
 
153
/*   } */
 
154
/*   gpgme_recipient_t recipient; */
 
155
/*   recipient = result->recipients; */
 
156
/*   if(recipient){ */
 
157
/*     while(recipient != NULL){ */
 
158
/*       fprintf(stderr, "Public key algorithm: %s\n", */
 
159
/*            gpgme_pubkey_algo_name(recipient->pubkey_algo)); */
 
160
/*       fprintf(stderr, "Key ID: %s\n", recipient->keyid); */
 
161
/*       fprintf(stderr, "Secret key available: %s\n", */
 
162
/*            recipient->status == GPG_ERR_NO_SECKEY ? "No" : "Yes"); */
 
163
/*       recipient = recipient->next; */
 
164
/*     } */
 
165
/*   } */
 
166
 
 
167
  /* Delete the GPGME FILE pointer cryptotext data buffer */
 
168
  gpgme_data_release(dh_crypto);
329
169
  
330
170
  /* Seek back to the beginning of the GPGME plaintext data buffer */
331
 
  if(gpgme_data_seek(dh_plain, (off_t)0, SEEK_SET) == -1){
332
 
    perror("gpgme_data_seek");
333
 
    plaintext_length = -1;
334
 
    goto decrypt_end;
335
 
  }
336
 
  
337
 
  *plaintext = NULL;
 
171
  gpgme_data_seek(dh_plain, 0, SEEK_SET);
 
172
 
 
173
  *new_packet = 0;
338
174
  while(true){
339
 
    plaintext_capacity = incbuffer(plaintext,
340
 
                                      (size_t)plaintext_length,
341
 
                                      plaintext_capacity);
342
 
    if(plaintext_capacity == 0){
343
 
        perror("incbuffer");
344
 
        plaintext_length = -1;
345
 
        goto decrypt_end;
 
175
    if (new_packet_length + BUFFER_SIZE > new_packet_capacity){
 
176
      *new_packet = realloc(*new_packet, new_packet_capacity + BUFFER_SIZE);
 
177
      if (*new_packet == NULL){
 
178
        perror("realloc");
 
179
        return -1;
 
180
      }
 
181
      new_packet_capacity += BUFFER_SIZE;
346
182
    }
347
183
    
348
 
    ret = gpgme_data_read(dh_plain, *plaintext + plaintext_length,
349
 
                          BUFFER_SIZE);
 
184
    ret = gpgme_data_read(dh_plain, *new_packet + new_packet_length, BUFFER_SIZE);
350
185
    /* Print the data, if any */
351
 
    if(ret == 0){
352
 
      /* EOF */
 
186
    if (ret == 0){
 
187
      /* If password is empty, then a incorrect error will be printed */
353
188
      break;
354
189
    }
355
190
    if(ret < 0){
356
191
      perror("gpgme_data_read");
357
 
      plaintext_length = -1;
358
 
      goto decrypt_end;
359
 
    }
360
 
    plaintext_length += ret;
361
 
  }
362
 
  
363
 
  if(debug){
364
 
    fprintf(stderr, "Decrypted password is: ");
365
 
    for(ssize_t i = 0; i < plaintext_length; i++){
366
 
      fprintf(stderr, "%02hhX ", (*plaintext)[i]);
367
 
    }
368
 
    fprintf(stderr, "\n");
369
 
  }
370
 
  
371
 
 decrypt_end:
372
 
  
373
 
  /* Delete the GPGME cryptotext data buffer */
374
 
  gpgme_data_release(dh_crypto);
375
 
  
376
 
  /* Delete the GPGME plaintext data buffer */
 
192
      return -1;
 
193
    }
 
194
    new_packet_length += ret;
 
195
  }
 
196
 
 
197
   /* Delete the GPGME plaintext data buffer */
377
198
  gpgme_data_release(dh_plain);
378
 
  return plaintext_length;
 
199
  return new_packet_length;
379
200
}
380
201
 
381
 
static const char * safer_gnutls_strerror(int value){
382
 
  const char *ret = gnutls_strerror(value); /* Spurious warning from
383
 
                                               -Wunreachable-code */
384
 
  if(ret == NULL)
 
202
static const char * safer_gnutls_strerror (int value) {
 
203
  const char *ret = gnutls_strerror (value);
 
204
  if (ret == NULL)
385
205
    ret = "(unknown)";
386
206
  return ret;
387
207
}
388
208
 
389
 
/* GnuTLS log function callback */
390
 
static void debuggnutls(__attribute__((unused)) int level,
391
 
                        const char* string){
392
 
  fprintf(stderr, "GnuTLS: %s", string);
 
209
void debuggnutls(int level, const char* string){
 
210
  fprintf(stderr, "%s", string);
393
211
}
394
212
 
395
 
static int init_gnutls_global(const char *pubkeyfilename,
396
 
                              const char *seckeyfilename){
 
213
int initgnutls(encrypted_session *es){
 
214
  const char *err;
397
215
  int ret;
398
216
  
399
 
  if(debug){
400
 
    fprintf(stderr, "Initializing GnuTLS\n");
401
 
  }
402
 
  
403
 
  ret = gnutls_global_init();
404
 
  if(ret != GNUTLS_E_SUCCESS){
405
 
    fprintf(stderr, "GnuTLS global_init: %s\n",
406
 
            safer_gnutls_strerror(ret));
407
 
    return -1;
408
 
  }
409
 
  
410
 
  if(debug){
411
 
    /* "Use a log level over 10 to enable all debugging options."
412
 
     * - GnuTLS manual
413
 
     */
414
 
    gnutls_global_set_log_level(11);
415
 
    gnutls_global_set_log_function(debuggnutls);
416
 
  }
417
 
  
418
 
  /* OpenPGP credentials */
419
 
  gnutls_certificate_allocate_credentials(&mc.cred);
420
 
  if(ret != GNUTLS_E_SUCCESS){
421
 
    fprintf(stderr, "GnuTLS memory error: %s\n", /* Spurious warning
422
 
                                                    from
423
 
                                                    -Wunreachable-code
424
 
                                                 */
425
 
            safer_gnutls_strerror(ret));
426
 
    gnutls_global_deinit();
427
 
    return -1;
428
 
  }
429
 
  
430
 
  if(debug){
431
 
    fprintf(stderr, "Attempting to use OpenPGP public key %s and"
432
 
            " secret key %s as GnuTLS credentials\n", pubkeyfilename,
433
 
            seckeyfilename);
434
 
  }
435
 
  
 
217
  if ((ret = gnutls_global_init ())
 
218
      != GNUTLS_E_SUCCESS) {
 
219
    fprintf (stderr, "global_init: %s\n", safer_gnutls_strerror(ret));
 
220
    return -1;
 
221
  }
 
222
 
 
223
  /* Uncomment to enable full debuggin on the gnutls library */
 
224
  /*   gnutls_global_set_log_level(11); */
 
225
  /*   gnutls_global_set_log_function(debuggnutls); */
 
226
 
 
227
 
 
228
  /* openpgp credentials */
 
229
  if ((ret = gnutls_certificate_allocate_credentials (&es->cred))
 
230
      != GNUTLS_E_SUCCESS) {
 
231
    fprintf (stderr, "memory error: %s\n", safer_gnutls_strerror(ret));
 
232
    return -1;
 
233
  }
 
234
 
436
235
  ret = gnutls_certificate_set_openpgp_key_file
437
 
    (mc.cred, pubkeyfilename, seckeyfilename,
438
 
     GNUTLS_OPENPGP_FMT_BASE64);
439
 
  if(ret != GNUTLS_E_SUCCESS){
440
 
    fprintf(stderr,
441
 
            "Error[%d] while reading the OpenPGP key pair ('%s',"
442
 
            " '%s')\n", ret, pubkeyfilename, seckeyfilename);
443
 
    fprintf(stderr, "The GnuTLS error is: %s\n",
444
 
            safer_gnutls_strerror(ret));
445
 
    goto globalfail;
446
 
  }
447
 
  
448
 
  /* GnuTLS server initialization */
449
 
  ret = gnutls_dh_params_init(&mc.dh_params);
450
 
  if(ret != GNUTLS_E_SUCCESS){
451
 
    fprintf(stderr, "Error in GnuTLS DH parameter initialization:"
452
 
            " %s\n", safer_gnutls_strerror(ret));
453
 
    goto globalfail;
454
 
  }
455
 
  ret = gnutls_dh_params_generate2(mc.dh_params, mc.dh_bits);
456
 
  if(ret != GNUTLS_E_SUCCESS){
457
 
    fprintf(stderr, "Error in GnuTLS prime generation: %s\n",
458
 
            safer_gnutls_strerror(ret));
459
 
    goto globalfail;
460
 
  }
461
 
  
462
 
  gnutls_certificate_set_dh_params(mc.cred, mc.dh_params);
463
 
  
464
 
  return 0;
465
 
  
466
 
 globalfail:
467
 
  
468
 
  gnutls_certificate_free_credentials(mc.cred);
469
 
  gnutls_global_deinit();
470
 
  gnutls_dh_params_deinit(mc.dh_params);
471
 
  return -1;
472
 
}
473
 
 
474
 
static int init_gnutls_session(gnutls_session_t *session){
475
 
  int ret;
476
 
  /* GnuTLS session creation */
477
 
  ret = gnutls_init(session, GNUTLS_SERVER);
478
 
  if(ret != GNUTLS_E_SUCCESS){
479
 
    fprintf(stderr, "Error in GnuTLS session initialization: %s\n",
480
 
            safer_gnutls_strerror(ret));
481
 
  }
482
 
  
483
 
  {
484
 
    const char *err;
485
 
    ret = gnutls_priority_set_direct(*session, mc.priority, &err);
486
 
    if(ret != GNUTLS_E_SUCCESS){
487
 
      fprintf(stderr, "Syntax error at: %s\n", err);
488
 
      fprintf(stderr, "GnuTLS error: %s\n",
489
 
              safer_gnutls_strerror(ret));
490
 
      gnutls_deinit(*session);
491
 
      return -1;
492
 
    }
493
 
  }
494
 
  
495
 
  ret = gnutls_credentials_set(*session, GNUTLS_CRD_CERTIFICATE,
496
 
                               mc.cred);
497
 
  if(ret != GNUTLS_E_SUCCESS){
498
 
    fprintf(stderr, "Error setting GnuTLS credentials: %s\n",
499
 
            safer_gnutls_strerror(ret));
500
 
    gnutls_deinit(*session);
501
 
    return -1;
502
 
  }
503
 
  
 
236
    (es->cred, CERTFILE, KEYFILE, GNUTLS_OPENPGP_FMT_BASE64);
 
237
  if (ret != GNUTLS_E_SUCCESS) {
 
238
    fprintf
 
239
      (stderr, "Error[%d] while reading the OpenPGP key pair ('%s', '%s')\n",
 
240
       ret, CERTFILE, KEYFILE);
 
241
    fprintf(stdout, "The Error is: %s\n",
 
242
            safer_gnutls_strerror(ret));
 
243
    return -1;
 
244
  }
 
245
 
 
246
  //Gnutls server initialization
 
247
  if ((ret = gnutls_dh_params_init (&es->dh_params))
 
248
      != GNUTLS_E_SUCCESS) {
 
249
    fprintf (stderr, "Error in dh parameter initialization: %s\n",
 
250
             safer_gnutls_strerror(ret));
 
251
    return -1;
 
252
  }
 
253
 
 
254
  if ((ret = gnutls_dh_params_generate2 (es->dh_params, DH_BITS))
 
255
      != GNUTLS_E_SUCCESS) {
 
256
    fprintf (stderr, "Error in prime generation: %s\n",
 
257
             safer_gnutls_strerror(ret));
 
258
    return -1;
 
259
  }
 
260
 
 
261
  gnutls_certificate_set_dh_params (es->cred, es->dh_params);
 
262
 
 
263
  // Gnutls session creation
 
264
  if ((ret = gnutls_init (&es->session, GNUTLS_SERVER))
 
265
      != GNUTLS_E_SUCCESS){
 
266
    fprintf(stderr, "Error in gnutls session initialization: %s\n",
 
267
            safer_gnutls_strerror(ret));
 
268
  }
 
269
 
 
270
  if ((ret = gnutls_priority_set_direct (es->session, "NORMAL", &err))
 
271
      != GNUTLS_E_SUCCESS) {
 
272
    fprintf(stderr, "Syntax error at: %s\n", err);
 
273
    fprintf(stderr, "Gnutls error: %s\n",
 
274
            safer_gnutls_strerror(ret));
 
275
    return -1;
 
276
  }
 
277
 
 
278
  if ((ret = gnutls_credentials_set
 
279
       (es->session, GNUTLS_CRD_CERTIFICATE, es->cred))
 
280
      != GNUTLS_E_SUCCESS) {
 
281
    fprintf(stderr, "Error setting a credentials set: %s\n",
 
282
            safer_gnutls_strerror(ret));
 
283
    return -1;
 
284
  }
 
285
 
504
286
  /* ignore client certificate if any. */
505
 
  gnutls_certificate_server_set_request(*session,
506
 
                                        GNUTLS_CERT_IGNORE);
 
287
  gnutls_certificate_server_set_request (es->session, GNUTLS_CERT_IGNORE);
507
288
  
508
 
  gnutls_dh_set_prime_bits(*session, mc.dh_bits);
 
289
  gnutls_dh_set_prime_bits (es->session, DH_BITS);
509
290
  
510
291
  return 0;
511
292
}
512
293
 
513
 
/* Avahi log function callback */
514
 
static void empty_log(__attribute__((unused)) AvahiLogLevel level,
515
 
                      __attribute__((unused)) const char *txt){}
516
 
 
517
 
sig_atomic_t quit_now = 0;
518
 
int signal_received = 0;
519
 
 
520
 
/* Called when a Mandos server is found */
521
 
static int start_mandos_communication(const char *ip, uint16_t port,
522
 
                                      AvahiIfIndex if_index,
523
 
                                      int af){
524
 
  int ret, tcp_sd = -1;
525
 
  ssize_t sret;
526
 
  union {
527
 
    struct sockaddr_in in;
528
 
    struct sockaddr_in6 in6;
529
 
  } to;
 
294
void empty_log(AvahiLogLevel level, const char *txt){}
 
295
 
 
296
int start_mandos_communcation(char *ip, uint16_t port){
 
297
  int ret, tcp_sd;
 
298
  struct sockaddr_in6 to;
 
299
  struct in6_addr ip_addr;
 
300
  encrypted_session es;
530
301
  char *buffer = NULL;
531
302
  char *decrypted_buffer;
532
303
  size_t buffer_length = 0;
533
304
  size_t buffer_capacity = 0;
534
 
  size_t written;
 
305
  ssize_t decrypted_buffer_size;
535
306
  int retval = 0;
536
 
  gnutls_session_t session;
537
 
  int pf;                       /* Protocol family */
538
 
  
539
 
  if(quit_now){
540
 
    return -1;
541
 
  }
542
 
  
543
 
  switch(af){
544
 
  case AF_INET6:
545
 
    pf = PF_INET6;
546
 
    break;
547
 
  case AF_INET:
548
 
    pf = PF_INET;
549
 
    break;
550
 
  default:
551
 
    fprintf(stderr, "Bad address family: %d\n", af);
552
 
    return -1;
553
 
  }
554
 
  
555
 
  ret = init_gnutls_session(&session);
556
 
  if(ret != 0){
557
 
    return -1;
558
 
  }
559
 
  
560
 
  if(debug){
561
 
    fprintf(stderr, "Setting up a TCP connection to %s, port %" PRIu16
562
 
            "\n", ip, port);
563
 
  }
564
 
  
565
 
  tcp_sd = socket(pf, SOCK_STREAM, 0);
566
 
  if(tcp_sd < 0){
 
307
 
 
308
  
 
309
  tcp_sd = socket(PF_INET6, SOCK_STREAM, 0);
 
310
  if(tcp_sd < 0) {
567
311
    perror("socket");
568
 
    retval = -1;
569
 
    goto mandos_end;
570
 
  }
571
 
  
572
 
  if(quit_now){
573
 
    goto mandos_end;
574
 
  }
575
 
  
576
 
  memset(&to, 0, sizeof(to));
577
 
  if(af == AF_INET6){
578
 
    to.in6.sin6_family = (sa_family_t)af;
579
 
    ret = inet_pton(af, ip, &to.in6.sin6_addr);
580
 
  } else {                      /* IPv4 */
581
 
    to.in.sin_family = (sa_family_t)af;
582
 
    ret = inet_pton(af, ip, &to.in.sin_addr);
583
 
  }
584
 
  if(ret < 0 ){
 
312
    return -1;
 
313
  }
 
314
  
 
315
  ret = setsockopt(tcp_sd, SOL_SOCKET, SO_BINDTODEVICE, "eth0", 5);
 
316
  if(tcp_sd < 0) {
 
317
    perror("setsockopt bindtodevice");
 
318
    return -1;
 
319
  }
 
320
  
 
321
  memset(&to,0,sizeof(to));
 
322
  to.sin6_family = AF_INET6;
 
323
  ret = inet_pton(AF_INET6, ip, &ip_addr);
 
324
  if (ret < 0 ){
585
325
    perror("inet_pton");
586
 
    retval = -1;
587
 
    goto mandos_end;
588
 
  }
 
326
    return -1;
 
327
  }  
589
328
  if(ret == 0){
590
329
    fprintf(stderr, "Bad address: %s\n", ip);
591
 
    retval = -1;
592
 
    goto mandos_end;
593
 
  }
594
 
  if(af == AF_INET6){
595
 
    to.in6.sin6_port = htons(port); /* Spurious warnings from
596
 
                                       -Wconversion and
597
 
                                       -Wunreachable-code */
598
 
    
599
 
    if(IN6_IS_ADDR_LINKLOCAL /* Spurious warnings from */
600
 
       (&to.in6.sin6_addr)){ /* -Wstrict-aliasing=2 or lower and
601
 
                              -Wunreachable-code*/
602
 
      if(if_index == AVAHI_IF_UNSPEC){
603
 
        fprintf(stderr, "An IPv6 link-local address is incomplete"
604
 
                " without a network interface\n");
605
 
        retval = -1;
606
 
        goto mandos_end;
607
 
      }
608
 
      /* Set the network interface number as scope */
609
 
      to.in6.sin6_scope_id = (uint32_t)if_index;
610
 
    }
611
 
  } else {
612
 
    to.in.sin_port = htons(port); /* Spurious warnings from
613
 
                                     -Wconversion and
614
 
                                     -Wunreachable-code */
615
 
  }
616
 
  
617
 
  if(quit_now){
618
 
    goto mandos_end;
619
 
  }
620
 
  
621
 
  if(debug){
622
 
    if(af == AF_INET6 and if_index != AVAHI_IF_UNSPEC){
623
 
      char interface[IF_NAMESIZE];
624
 
      if(if_indextoname((unsigned int)if_index, interface) == NULL){
625
 
        perror("if_indextoname");
626
 
      } else {
627
 
        fprintf(stderr, "Connection to: %s%%%s, port %" PRIu16 "\n",
628
 
                ip, interface, port);
629
 
      }
630
 
    } else {
631
 
      fprintf(stderr, "Connection to: %s, port %" PRIu16 "\n", ip,
632
 
              port);
633
 
    }
634
 
    char addrstr[(INET_ADDRSTRLEN > INET6_ADDRSTRLEN) ?
635
 
                 INET_ADDRSTRLEN : INET6_ADDRSTRLEN] = "";
636
 
    const char *pcret;
637
 
    if(af == AF_INET6){
638
 
      pcret = inet_ntop(af, &(to.in6.sin6_addr), addrstr,
639
 
                        sizeof(addrstr));
640
 
    } else {
641
 
      pcret = inet_ntop(af, &(to.in.sin_addr), addrstr,
642
 
                        sizeof(addrstr));
643
 
    }
644
 
    if(pcret == NULL){
645
 
      perror("inet_ntop");
646
 
    } else {
647
 
      if(strcmp(addrstr, ip) != 0){
648
 
        fprintf(stderr, "Canonical address form: %s\n", addrstr);
649
 
      }
650
 
    }
651
 
  }
652
 
  
653
 
  if(quit_now){
654
 
    goto mandos_end;
655
 
  }
656
 
  
657
 
  if(af == AF_INET6){
658
 
    ret = connect(tcp_sd, &to.in6, sizeof(to));
659
 
  } else {
660
 
    ret = connect(tcp_sd, &to.in, sizeof(to)); /* IPv4 */
661
 
  }
662
 
  if(ret < 0){
 
330
    return -1;
 
331
  }
 
332
  to.sin6_port = htons(port);
 
333
  to.sin6_scope_id = if_nametoindex("eth0");
 
334
  
 
335
  ret = connect(tcp_sd, (struct sockaddr *) &to, sizeof(to));
 
336
  if (ret < 0){
663
337
    perror("connect");
664
 
    retval = -1;
665
 
    goto mandos_end;
666
 
  }
667
 
  
668
 
  if(quit_now){
669
 
    goto mandos_end;
670
 
  }
671
 
  
672
 
  const char *out = mandos_protocol_version;
673
 
  written = 0;
 
338
    return -1;
 
339
  }
 
340
  
 
341
  ret = initgnutls (&es);
 
342
  if (ret != 0){
 
343
    retval = -1;
 
344
    return -1;
 
345
  }
 
346
    
 
347
  
 
348
  gnutls_transport_set_ptr (es.session, (gnutls_transport_ptr_t) tcp_sd);
 
349
 
 
350
  ret = gnutls_handshake (es.session);
 
351
  
 
352
  if (ret != GNUTLS_E_SUCCESS){
 
353
    fprintf(stderr, "\n*** Handshake failed ***\n");
 
354
    gnutls_perror (ret);
 
355
    retval = -1;
 
356
    goto exit;
 
357
  }
 
358
 
 
359
  //retrive password
674
360
  while(true){
675
 
    size_t out_size = strlen(out);
676
 
    ret = (int)TEMP_FAILURE_RETRY(write(tcp_sd, out + written,
677
 
                                   out_size - written));
678
 
    if(ret == -1){
679
 
      perror("write");
680
 
      retval = -1;
681
 
      goto mandos_end;
682
 
    }
683
 
    written += (size_t)ret;
684
 
    if(written < out_size){
685
 
      continue;
686
 
    } else {
687
 
      if(out == mandos_protocol_version){
688
 
        written = 0;
689
 
        out = "\r\n";
690
 
      } else {
691
 
        break;
 
361
    if (buffer_length + BUFFER_SIZE > buffer_capacity){
 
362
      buffer = realloc(buffer, buffer_capacity + BUFFER_SIZE);
 
363
      if (buffer == NULL){
 
364
        perror("realloc");
 
365
        goto exit;
692
366
      }
693
 
    }
694
 
  
695
 
    if(quit_now){
696
 
      goto mandos_end;
697
 
    }
698
 
  }
699
 
  
700
 
  if(debug){
701
 
    fprintf(stderr, "Establishing TLS session with %s\n", ip);
702
 
  }
703
 
  
704
 
  if(quit_now){
705
 
    goto mandos_end;
706
 
  }
707
 
  
708
 
  gnutls_transport_set_ptr(session, (gnutls_transport_ptr_t) tcp_sd);
709
 
  
710
 
  if(quit_now){
711
 
    goto mandos_end;
712
 
  }
713
 
  
714
 
  do {
715
 
    ret = gnutls_handshake(session);
716
 
    if(quit_now){
717
 
      goto mandos_end;
718
 
    }
719
 
  } while(ret == GNUTLS_E_AGAIN or ret == GNUTLS_E_INTERRUPTED);
720
 
  
721
 
  if(ret != GNUTLS_E_SUCCESS){
722
 
    if(debug){
723
 
      fprintf(stderr, "*** GnuTLS Handshake failed ***\n");
724
 
      gnutls_perror(ret);
725
 
    }
726
 
    retval = -1;
727
 
    goto mandos_end;
728
 
  }
729
 
  
730
 
  /* Read OpenPGP packet that contains the wanted password */
731
 
  
732
 
  if(debug){
733
 
    fprintf(stderr, "Retrieving OpenPGP encrypted password from %s\n",
734
 
            ip);
735
 
  }
736
 
  
737
 
  while(true){
738
 
    
739
 
    if(quit_now){
740
 
      goto mandos_end;
741
 
    }
742
 
    
743
 
    buffer_capacity = incbuffer(&buffer, buffer_length,
744
 
                                   buffer_capacity);
745
 
    if(buffer_capacity == 0){
746
 
      perror("incbuffer");
747
 
      retval = -1;
748
 
      goto mandos_end;
749
 
    }
750
 
    
751
 
    if(quit_now){
752
 
      goto mandos_end;
753
 
    }
754
 
    
755
 
    sret = gnutls_record_recv(session, buffer+buffer_length,
756
 
                              BUFFER_SIZE);
757
 
    if(sret == 0){
 
367
      buffer_capacity += BUFFER_SIZE;
 
368
    }
 
369
    
 
370
    ret = gnutls_record_recv
 
371
      (es.session, buffer+buffer_length, BUFFER_SIZE);
 
372
    if (ret == 0){
758
373
      break;
759
374
    }
760
 
    if(sret < 0){
761
 
      switch(sret){
 
375
    if (ret < 0){
 
376
      switch(ret){
762
377
      case GNUTLS_E_INTERRUPTED:
763
378
      case GNUTLS_E_AGAIN:
764
379
        break;
765
380
      case GNUTLS_E_REHANDSHAKE:
766
 
        do {
767
 
          ret = gnutls_handshake(session);
768
 
          
769
 
          if(quit_now){
770
 
            goto mandos_end;
771
 
          }
772
 
        } while(ret == GNUTLS_E_AGAIN or ret == GNUTLS_E_INTERRUPTED);
773
 
        if(ret < 0){
774
 
          fprintf(stderr, "*** GnuTLS Re-handshake failed ***\n");
775
 
          gnutls_perror(ret);
 
381
        ret = gnutls_handshake (es.session);
 
382
        if (ret < 0){
 
383
          fprintf(stderr, "\n*** Handshake failed ***\n");
 
384
          gnutls_perror (ret);
776
385
          retval = -1;
777
 
          goto mandos_end;
 
386
          goto exit;
778
387
        }
779
388
        break;
780
389
      default:
781
 
        fprintf(stderr, "Unknown error while reading data from"
782
 
                " encrypted session with Mandos server\n");
 
390
        fprintf(stderr, "Unknown error while reading data from encrypted session with mandos server\n");
783
391
        retval = -1;
784
 
        gnutls_bye(session, GNUTLS_SHUT_RDWR);
785
 
        goto mandos_end;
 
392
        gnutls_bye (es.session, GNUTLS_SHUT_RDWR);
 
393
        goto exit;
786
394
      }
787
395
    } else {
788
 
      buffer_length += (size_t) sret;
 
396
      buffer_length += ret;
789
397
    }
790
398
  }
791
 
  
792
 
  if(debug){
793
 
    fprintf(stderr, "Closing TLS session\n");
794
 
  }
795
 
  
796
 
  if(quit_now){
797
 
    goto mandos_end;
798
 
  }
799
 
  
800
 
  gnutls_bye(session, GNUTLS_SHUT_RDWR);
801
 
  
802
 
  if(quit_now){
803
 
    goto mandos_end;
804
 
  }
805
 
  
806
 
  if(buffer_length > 0){
807
 
    ssize_t decrypted_buffer_size;
808
 
    decrypted_buffer_size = pgp_packet_decrypt(buffer,
809
 
                                               buffer_length,
810
 
                                               &decrypted_buffer);
811
 
    if(decrypted_buffer_size >= 0){
812
 
      
813
 
      written = 0;
814
 
      while(written < (size_t) decrypted_buffer_size){
815
 
        if(quit_now){
816
 
          goto mandos_end;
817
 
        }
818
 
        
819
 
        ret = (int)fwrite(decrypted_buffer + written, 1,
820
 
                          (size_t)decrypted_buffer_size - written,
821
 
                          stdout);
822
 
        if(ret == 0 and ferror(stdout)){
823
 
          if(debug){
824
 
            fprintf(stderr, "Error writing encrypted data: %s\n",
825
 
                    strerror(errno));
826
 
          }
827
 
          retval = -1;
828
 
          break;
829
 
        }
830
 
        written += (size_t)ret;
831
 
      }
 
399
 
 
400
  if (buffer_length > 0){
 
401
    if ((decrypted_buffer_size = gpg_packet_decrypt(buffer, buffer_length, &decrypted_buffer, CERT_ROOT)) == 0){
 
402
      retval = -1;
 
403
    } else {
 
404
      fwrite (decrypted_buffer, 1, decrypted_buffer_size, stdout);
832
405
      free(decrypted_buffer);
833
 
    } else {
834
 
      retval = -1;
835
406
    }
836
 
  } else {
837
 
    retval = -1;
838
407
  }
839
 
  
840
 
  /* Shutdown procedure */
841
 
  
842
 
 mandos_end:
 
408
 
843
409
  free(buffer);
844
 
  if(tcp_sd >= 0){
845
 
    ret = (int)TEMP_FAILURE_RETRY(close(tcp_sd));
846
 
  }
847
 
  if(ret == -1){
848
 
    perror("close");
849
 
  }
850
 
  gnutls_deinit(session);
851
 
  if(quit_now){
852
 
    retval = -1;
853
 
  }
 
410
 
 
411
  //shutdown procedure
 
412
  gnutls_bye (es.session, GNUTLS_SHUT_RDWR);
 
413
 exit:
 
414
  close(tcp_sd);
 
415
  gnutls_deinit (es.session);
 
416
  gnutls_certificate_free_credentials (es.cred);
 
417
  gnutls_global_deinit ();
854
418
  return retval;
855
419
}
856
420
 
857
 
static void resolve_callback(AvahiSServiceResolver *r,
858
 
                             AvahiIfIndex interface,
859
 
                             AvahiProtocol proto,
860
 
                             AvahiResolverEvent event,
861
 
                             const char *name,
862
 
                             const char *type,
863
 
                             const char *domain,
864
 
                             const char *host_name,
865
 
                             const AvahiAddress *address,
866
 
                             uint16_t port,
867
 
                             AVAHI_GCC_UNUSED AvahiStringList *txt,
868
 
                             AVAHI_GCC_UNUSED AvahiLookupResultFlags
869
 
                             flags,
870
 
                             AVAHI_GCC_UNUSED void* userdata){
871
 
  assert(r);
872
 
  
873
 
  /* Called whenever a service has been resolved successfully or
874
 
     timed out */
875
 
  
876
 
  if(quit_now){
877
 
    return;
878
 
  }
879
 
  
880
 
  switch(event){
881
 
  default:
882
 
  case AVAHI_RESOLVER_FAILURE:
883
 
    fprintf(stderr, "(Avahi Resolver) Failed to resolve service '%s'"
884
 
            " of type '%s' in domain '%s': %s\n", name, type, domain,
885
 
            avahi_strerror(avahi_server_errno(mc.server)));
886
 
    break;
887
 
    
888
 
  case AVAHI_RESOLVER_FOUND:
889
 
    {
890
 
      char ip[AVAHI_ADDRESS_STR_MAX];
891
 
      avahi_address_snprint(ip, sizeof(ip), address);
892
 
      if(debug){
893
 
        fprintf(stderr, "Mandos server \"%s\" found on %s (%s, %"
894
 
                PRIdMAX ") on port %" PRIu16 "\n", name, host_name,
895
 
                ip, (intmax_t)interface, port);
896
 
      }
897
 
      int ret = start_mandos_communication(ip, port, interface,
898
 
                                           avahi_proto_to_af(proto));
899
 
      if(ret == 0){
900
 
        avahi_simple_poll_quit(mc.simple_poll);
901
 
      }
902
 
    }
903
 
  }
904
 
  avahi_s_service_resolver_free(r);
905
 
}
906
 
 
907
 
static void browse_callback(AvahiSServiceBrowser *b,
908
 
                            AvahiIfIndex interface,
909
 
                            AvahiProtocol protocol,
910
 
                            AvahiBrowserEvent event,
911
 
                            const char *name,
912
 
                            const char *type,
913
 
                            const char *domain,
914
 
                            AVAHI_GCC_UNUSED AvahiLookupResultFlags
915
 
                            flags,
916
 
                            AVAHI_GCC_UNUSED void* userdata){
917
 
  assert(b);
918
 
  
919
 
  /* Called whenever a new services becomes available on the LAN or
920
 
     is removed from the LAN */
921
 
  
922
 
  if(quit_now){
923
 
    return;
924
 
  }
925
 
  
926
 
  switch(event){
927
 
  default:
928
 
  case AVAHI_BROWSER_FAILURE:
929
 
    
930
 
    fprintf(stderr, "(Avahi browser) %s\n",
931
 
            avahi_strerror(avahi_server_errno(mc.server)));
932
 
    avahi_simple_poll_quit(mc.simple_poll);
933
 
    return;
934
 
    
935
 
  case AVAHI_BROWSER_NEW:
936
 
    /* We ignore the returned Avahi resolver object. In the callback
937
 
       function we free it. If the Avahi server is terminated before
938
 
       the callback function is called the Avahi server will free the
939
 
       resolver for us. */
940
 
    
941
 
    if(avahi_s_service_resolver_new(mc.server, interface, protocol,
942
 
                                    name, type, domain, protocol, 0,
943
 
                                    resolve_callback, NULL) == NULL)
944
 
      fprintf(stderr, "Avahi: Failed to resolve service '%s': %s\n",
945
 
              name, avahi_strerror(avahi_server_errno(mc.server)));
946
 
    break;
947
 
    
948
 
  case AVAHI_BROWSER_REMOVE:
949
 
    break;
950
 
    
951
 
  case AVAHI_BROWSER_ALL_FOR_NOW:
952
 
  case AVAHI_BROWSER_CACHE_EXHAUSTED:
953
 
    if(debug){
954
 
      fprintf(stderr, "No Mandos server found, still searching...\n");
955
 
    }
956
 
    break;
957
 
  }
958
 
}
959
 
 
960
 
/* stop main loop after sigterm has been called */
961
 
static void handle_sigterm(int sig){
962
 
  if(quit_now){
963
 
    return;
964
 
  }
965
 
  quit_now = 1;
966
 
  signal_received = sig;
967
 
  int old_errno = errno;
968
 
  if(mc.simple_poll != NULL){
969
 
    avahi_simple_poll_quit(mc.simple_poll);
970
 
  }
971
 
  errno = old_errno;
972
 
}
973
 
 
974
 
int main(int argc, char *argv[]){
975
 
  AvahiSServiceBrowser *sb = NULL;
976
 
  int error;
977
 
  int ret;
978
 
  intmax_t tmpmax;
979
 
  char *tmp;
980
 
  int exitcode = EXIT_SUCCESS;
981
 
  const char *interface = "eth0";
982
 
  struct ifreq network;
983
 
  int sd = -1;
984
 
  bool take_down_interface = false;
985
 
  uid_t uid;
986
 
  gid_t gid;
987
 
  char *connect_to = NULL;
988
 
  char tempdir[] = "/tmp/mandosXXXXXX";
989
 
  bool tempdir_created = false;
990
 
  AvahiIfIndex if_index = AVAHI_IF_UNSPEC;
991
 
  const char *seckey = PATHDIR "/" SECKEY;
992
 
  const char *pubkey = PATHDIR "/" PUBKEY;
993
 
  
994
 
  bool gnutls_initialized = false;
995
 
  bool gpgme_initialized = false;
996
 
  float delay = 2.5f;
997
 
  
998
 
  struct sigaction old_sigterm_action;
999
 
  struct sigaction sigterm_action = { .sa_handler = handle_sigterm };
1000
 
  
1001
 
  {
1002
 
    struct argp_option options[] = {
1003
 
      { .name = "debug", .key = 128,
1004
 
        .doc = "Debug mode", .group = 3 },
1005
 
      { .name = "connect", .key = 'c',
1006
 
        .arg = "ADDRESS:PORT",
1007
 
        .doc = "Connect directly to a specific Mandos server",
1008
 
        .group = 1 },
1009
 
      { .name = "interface", .key = 'i',
1010
 
        .arg = "NAME",
1011
 
        .doc = "Network interface that will be used to search for"
1012
 
        " Mandos servers",
1013
 
        .group = 1 },
1014
 
      { .name = "seckey", .key = 's',
1015
 
        .arg = "FILE",
1016
 
        .doc = "OpenPGP secret key file base name",
1017
 
        .group = 1 },
1018
 
      { .name = "pubkey", .key = 'p',
1019
 
        .arg = "FILE",
1020
 
        .doc = "OpenPGP public key file base name",
1021
 
        .group = 2 },
1022
 
      { .name = "dh-bits", .key = 129,
1023
 
        .arg = "BITS",
1024
 
        .doc = "Bit length of the prime number used in the"
1025
 
        " Diffie-Hellman key exchange",
1026
 
        .group = 2 },
1027
 
      { .name = "priority", .key = 130,
1028
 
        .arg = "STRING",
1029
 
        .doc = "GnuTLS priority string for the TLS handshake",
1030
 
        .group = 1 },
1031
 
      { .name = "delay", .key = 131,
1032
 
        .arg = "SECONDS",
1033
 
        .doc = "Maximum delay to wait for interface startup",
1034
 
        .group = 2 },
1035
 
      { .name = NULL }
1036
 
    };
1037
 
    
1038
 
    error_t parse_opt(int key, char *arg,
1039
 
                      struct argp_state *state){
1040
 
      switch(key){
1041
 
      case 128:                 /* --debug */
1042
 
        debug = true;
1043
 
        break;
1044
 
      case 'c':                 /* --connect */
1045
 
        connect_to = arg;
1046
 
        break;
1047
 
      case 'i':                 /* --interface */
1048
 
        interface = arg;
1049
 
        break;
1050
 
      case 's':                 /* --seckey */
1051
 
        seckey = arg;
1052
 
        break;
1053
 
      case 'p':                 /* --pubkey */
1054
 
        pubkey = arg;
1055
 
        break;
1056
 
      case 129:                 /* --dh-bits */
1057
 
        errno = 0;
1058
 
        tmpmax = strtoimax(arg, &tmp, 10);
1059
 
        if(errno != 0 or tmp == arg or *tmp != '\0'
1060
 
           or tmpmax != (typeof(mc.dh_bits))tmpmax){
1061
 
          fprintf(stderr, "Bad number of DH bits\n");
1062
 
          exit(EXIT_FAILURE);
1063
 
        }
1064
 
        mc.dh_bits = (typeof(mc.dh_bits))tmpmax;
1065
 
        break;
1066
 
      case 130:                 /* --priority */
1067
 
        mc.priority = arg;
1068
 
        break;
1069
 
      case 131:                 /* --delay */
1070
 
        errno = 0;
1071
 
        delay = strtof(arg, &tmp);
1072
 
        if(errno != 0 or tmp == arg or *tmp != '\0'){
1073
 
          fprintf(stderr, "Bad delay\n");
1074
 
          exit(EXIT_FAILURE);
1075
 
        }
1076
 
        break;
1077
 
      case ARGP_KEY_ARG:
1078
 
        argp_usage(state);
1079
 
      case ARGP_KEY_END:
1080
 
        break;
1081
 
      default:
1082
 
        return ARGP_ERR_UNKNOWN;
1083
 
      }
1084
 
      return 0;
1085
 
    }
1086
 
    
1087
 
    struct argp argp = { .options = options, .parser = parse_opt,
1088
 
                         .args_doc = "",
1089
 
                         .doc = "Mandos client -- Get and decrypt"
1090
 
                         " passwords from a Mandos server" };
1091
 
    ret = argp_parse(&argp, argc, argv, 0, 0, NULL);
1092
 
    if(ret == ARGP_ERR_UNKNOWN){
1093
 
      fprintf(stderr, "Unknown error while parsing arguments\n");
1094
 
      exitcode = EXIT_FAILURE;
1095
 
      goto end;
1096
 
    }
1097
 
  }
1098
 
  
1099
 
  if(not debug){
 
421
static AvahiSimplePoll *simple_poll = NULL;
 
422
static AvahiServer *server = NULL;
 
423
 
 
424
static void resolve_callback(
 
425
    AvahiSServiceResolver *r,
 
426
    AVAHI_GCC_UNUSED AvahiIfIndex interface,
 
427
    AVAHI_GCC_UNUSED AvahiProtocol protocol,
 
428
    AvahiResolverEvent event,
 
429
    const char *name,
 
430
    const char *type,
 
431
    const char *domain,
 
432
    const char *host_name,
 
433
    const AvahiAddress *address,
 
434
    uint16_t port,
 
435
    AvahiStringList *txt,
 
436
    AvahiLookupResultFlags flags,
 
437
    AVAHI_GCC_UNUSED void* userdata) {
 
438
    
 
439
    assert(r);
 
440
 
 
441
    /* Called whenever a service has been resolved successfully or timed out */
 
442
 
 
443
    switch (event) {
 
444
        case AVAHI_RESOLVER_FAILURE:
 
445
            fprintf(stderr, "(Resolver) Failed to resolve service '%s' of type '%s' in domain '%s': %s\n", name, type, domain, avahi_strerror(avahi_server_errno(server)));
 
446
            break;
 
447
 
 
448
        case AVAHI_RESOLVER_FOUND: {
 
449
          char ip[AVAHI_ADDRESS_STR_MAX];
 
450
            avahi_address_snprint(ip, sizeof(ip), address);
 
451
            int ret = start_mandos_communcation(ip, port);
 
452
            if (ret == 0){
 
453
              exit(EXIT_SUCCESS);
 
454
            } else {
 
455
              exit(EXIT_FAILURE);
 
456
            }
 
457
        }
 
458
    }
 
459
    avahi_s_service_resolver_free(r);
 
460
}
 
461
 
 
462
static void browse_callback(
 
463
    AvahiSServiceBrowser *b,
 
464
    AvahiIfIndex interface,
 
465
    AvahiProtocol protocol,
 
466
    AvahiBrowserEvent event,
 
467
    const char *name,
 
468
    const char *type,
 
469
    const char *domain,
 
470
    AVAHI_GCC_UNUSED AvahiLookupResultFlags flags,
 
471
    void* userdata) {
 
472
    
 
473
    AvahiServer *s = userdata;
 
474
    assert(b);
 
475
 
 
476
    /* Called whenever a new services becomes available on the LAN or is removed from the LAN */
 
477
 
 
478
    switch (event) {
 
479
 
 
480
        case AVAHI_BROWSER_FAILURE:
 
481
            
 
482
            fprintf(stderr, "(Browser) %s\n", avahi_strerror(avahi_server_errno(server)));
 
483
            avahi_simple_poll_quit(simple_poll);
 
484
            return;
 
485
 
 
486
        case AVAHI_BROWSER_NEW:
 
487
            /* We ignore the returned resolver object. In the callback
 
488
               function we free it. If the server is terminated before
 
489
               the callback function is called the server will free
 
490
               the resolver for us. */
 
491
            
 
492
            if (!(avahi_s_service_resolver_new(s, interface, protocol, name, type, domain, AVAHI_PROTO_INET6, 0, resolve_callback, s)))
 
493
                fprintf(stderr, "Failed to resolve service '%s': %s\n", name, avahi_strerror(avahi_server_errno(s)));
 
494
            
 
495
            break;
 
496
 
 
497
        case AVAHI_BROWSER_REMOVE:
 
498
            break;
 
499
 
 
500
        case AVAHI_BROWSER_ALL_FOR_NOW:
 
501
        case AVAHI_BROWSER_CACHE_EXHAUSTED:
 
502
            break;
 
503
    }
 
504
}
 
505
 
 
506
int main(AVAHI_GCC_UNUSED int argc, AVAHI_GCC_UNUSED char*argv[]) {
 
507
    AvahiServerConfig config;
 
508
    AvahiSServiceBrowser *sb = NULL;
 
509
    int error;
 
510
    int ret = 1;
 
511
 
1100
512
    avahi_set_log_function(empty_log);
1101
 
  }
1102
 
  
1103
 
  /* Initialize Avahi early so avahi_simple_poll_quit() can be called
1104
 
     from the signal handler */
1105
 
  /* Initialize the pseudo-RNG for Avahi */
1106
 
  srand((unsigned int) time(NULL));
1107
 
  mc.simple_poll = avahi_simple_poll_new();
1108
 
  if(mc.simple_poll == NULL){
1109
 
    fprintf(stderr, "Avahi: Failed to create simple poll object.\n");
1110
 
    exitcode = EXIT_FAILURE;
1111
 
    goto end;
1112
 
  }
1113
 
  
1114
 
  sigemptyset(&sigterm_action.sa_mask);
1115
 
  ret = sigaddset(&sigterm_action.sa_mask, SIGINT);
1116
 
  if(ret == -1){
1117
 
    perror("sigaddset");
1118
 
    exitcode = EXIT_FAILURE;
1119
 
    goto end;
1120
 
  }
1121
 
  ret = sigaddset(&sigterm_action.sa_mask, SIGHUP);
1122
 
  if(ret == -1){
1123
 
    perror("sigaddset");
1124
 
    exitcode = EXIT_FAILURE;
1125
 
    goto end;
1126
 
  }
1127
 
  ret = sigaddset(&sigterm_action.sa_mask, SIGTERM);
1128
 
  if(ret == -1){
1129
 
    perror("sigaddset");
1130
 
    exitcode = EXIT_FAILURE;
1131
 
    goto end;
1132
 
  }
1133
 
  /* Need to check if the handler is SIG_IGN before handling:
1134
 
     | [[info:libc:Initial Signal Actions]] |
1135
 
     | [[info:libc:Basic Signal Handling]]  |
1136
 
  */
1137
 
  ret = sigaction(SIGINT, NULL, &old_sigterm_action);
1138
 
  if(ret == -1){
1139
 
    perror("sigaction");
1140
 
    return EXIT_FAILURE;
1141
 
  }
1142
 
  if(old_sigterm_action.sa_handler != SIG_IGN){
1143
 
    ret = sigaction(SIGINT, &sigterm_action, NULL);
1144
 
    if(ret == -1){
1145
 
      perror("sigaction");
1146
 
      exitcode = EXIT_FAILURE;
1147
 
      goto end;
1148
 
    }
1149
 
  }
1150
 
  ret = sigaction(SIGHUP, NULL, &old_sigterm_action);
1151
 
  if(ret == -1){
1152
 
    perror("sigaction");
1153
 
    return EXIT_FAILURE;
1154
 
  }
1155
 
  if(old_sigterm_action.sa_handler != SIG_IGN){
1156
 
    ret = sigaction(SIGHUP, &sigterm_action, NULL);
1157
 
    if(ret == -1){
1158
 
      perror("sigaction");
1159
 
      exitcode = EXIT_FAILURE;
1160
 
      goto end;
1161
 
    }
1162
 
  }
1163
 
  ret = sigaction(SIGTERM, NULL, &old_sigterm_action);
1164
 
  if(ret == -1){
1165
 
    perror("sigaction");
1166
 
    return EXIT_FAILURE;
1167
 
  }
1168
 
  if(old_sigterm_action.sa_handler != SIG_IGN){
1169
 
    ret = sigaction(SIGTERM, &sigterm_action, NULL);
1170
 
    if(ret == -1){
1171
 
      perror("sigaction");
1172
 
      exitcode = EXIT_FAILURE;
1173
 
      goto end;
1174
 
    }
1175
 
  }
1176
 
  
1177
 
  /* If the interface is down, bring it up */
1178
 
  if(interface[0] != '\0'){
1179
 
    if_index = (AvahiIfIndex) if_nametoindex(interface);
1180
 
    if(if_index == 0){
1181
 
      fprintf(stderr, "No such interface: \"%s\"\n", interface);
1182
 
      exitcode = EXIT_FAILURE;
1183
 
      goto end;
1184
 
    }
1185
 
    
1186
 
    if(quit_now){
1187
 
      goto end;
1188
 
    }
1189
 
    
1190
 
#ifdef __linux__
1191
 
    /* Lower kernel loglevel to KERN_NOTICE to avoid KERN_INFO
1192
 
       messages to mess up the prompt */
1193
 
    ret = klogctl(8, NULL, 5);
1194
 
    bool restore_loglevel = true;
1195
 
    if(ret == -1){
1196
 
      restore_loglevel = false;
1197
 
      perror("klogctl");
1198
 
    }
1199
 
#endif  /* __linux__ */
1200
 
    
1201
 
    sd = socket(PF_INET6, SOCK_DGRAM, IPPROTO_IP);
1202
 
    if(sd < 0){
1203
 
      perror("socket");
1204
 
      exitcode = EXIT_FAILURE;
1205
 
#ifdef __linux__
1206
 
      if(restore_loglevel){
1207
 
        ret = klogctl(7, NULL, 0);
1208
 
        if(ret == -1){
1209
 
          perror("klogctl");
1210
 
        }
1211
 
      }
1212
 
#endif  /* __linux__ */
1213
 
      goto end;
1214
 
    }
1215
 
    strcpy(network.ifr_name, interface);
1216
 
    ret = ioctl(sd, SIOCGIFFLAGS, &network);
1217
 
    if(ret == -1){
1218
 
      perror("ioctl SIOCGIFFLAGS");
1219
 
#ifdef __linux__
1220
 
      if(restore_loglevel){
1221
 
        ret = klogctl(7, NULL, 0);
1222
 
        if(ret == -1){
1223
 
          perror("klogctl");
1224
 
        }
1225
 
      }
1226
 
#endif  /* __linux__ */
1227
 
      exitcode = EXIT_FAILURE;
1228
 
      goto end;
1229
 
    }
1230
 
    if((network.ifr_flags & IFF_UP) == 0){
1231
 
      network.ifr_flags |= IFF_UP;
1232
 
      take_down_interface = true;
1233
 
      ret = ioctl(sd, SIOCSIFFLAGS, &network);
1234
 
      if(ret == -1){
1235
 
        take_down_interface = false;
1236
 
        perror("ioctl SIOCSIFFLAGS");
1237
 
        exitcode = EXIT_FAILURE;
1238
 
#ifdef __linux__
1239
 
        if(restore_loglevel){
1240
 
          ret = klogctl(7, NULL, 0);
1241
 
          if(ret == -1){
1242
 
            perror("klogctl");
1243
 
          }
1244
 
        }
1245
 
#endif  /* __linux__ */
1246
 
        goto end;
1247
 
      }
1248
 
    }
1249
 
    /* sleep checking until interface is running */
1250
 
    for(int i=0; i < delay * 4; i++){
1251
 
      ret = ioctl(sd, SIOCGIFFLAGS, &network);
1252
 
      if(ret == -1){
1253
 
        perror("ioctl SIOCGIFFLAGS");
1254
 
      } else if(network.ifr_flags & IFF_RUNNING){
1255
 
        break;
1256
 
      }
1257
 
      struct timespec sleeptime = { .tv_nsec = 250000000 };
1258
 
      ret = nanosleep(&sleeptime, NULL);
1259
 
      if(ret == -1 and errno != EINTR){
1260
 
        perror("nanosleep");
1261
 
      }
1262
 
    }
1263
 
    if(not take_down_interface){
1264
 
      /* We won't need the socket anymore */
1265
 
      ret = (int)TEMP_FAILURE_RETRY(close(sd));
1266
 
      if(ret == -1){
1267
 
        perror("close");
1268
 
      }
1269
 
    }
1270
 
#ifdef __linux__
1271
 
    if(restore_loglevel){
1272
 
      /* Restores kernel loglevel to default */
1273
 
      ret = klogctl(7, NULL, 0);
1274
 
      if(ret == -1){
1275
 
        perror("klogctl");
1276
 
      }
1277
 
    }
1278
 
#endif  /* __linux__ */
1279
 
  }
1280
 
  
1281
 
  if(quit_now){
1282
 
    goto end;
1283
 
  }
1284
 
  
1285
 
  uid = getuid();
1286
 
  gid = getgid();
1287
 
  
1288
 
  /* Drop any group privileges we might have, just to be safe */
1289
 
  errno = 0;
1290
 
  ret = setgid(gid);
1291
 
  if(ret == -1){
1292
 
    perror("setgid");
1293
 
  }
1294
 
  
1295
 
  /* Drop user privileges */
1296
 
  errno = 0;
1297
 
  /* Will we need privileges later? */
1298
 
  if(take_down_interface){
1299
 
    /* Drop user privileges temporarily */
1300
 
    ret = seteuid(uid);
1301
 
    if(ret == -1){
1302
 
      perror("seteuid");
1303
 
    }
1304
 
  } else {
1305
 
    /* Drop user privileges permanently */
1306
 
    ret = setuid(uid);
1307
 
    if(ret == -1){
1308
 
      perror("setuid");
1309
 
    }
1310
 
  }
1311
 
  
1312
 
  if(quit_now){
1313
 
    goto end;
1314
 
  }
1315
 
  
1316
 
  ret = init_gnutls_global(pubkey, seckey);
1317
 
  if(ret == -1){
1318
 
    fprintf(stderr, "init_gnutls_global failed\n");
1319
 
    exitcode = EXIT_FAILURE;
1320
 
    goto end;
1321
 
  } else {
1322
 
    gnutls_initialized = true;
1323
 
  }
1324
 
  
1325
 
  if(quit_now){
1326
 
    goto end;
1327
 
  }
1328
 
  
1329
 
  tempdir_created = true;
1330
 
  if(mkdtemp(tempdir) == NULL){
1331
 
    tempdir_created = false;
1332
 
    perror("mkdtemp");
1333
 
    goto end;
1334
 
  }
1335
 
  
1336
 
  if(quit_now){
1337
 
    goto end;
1338
 
  }
1339
 
  
1340
 
  if(not init_gpgme(pubkey, seckey, tempdir)){
1341
 
    fprintf(stderr, "init_gpgme failed\n");
1342
 
    exitcode = EXIT_FAILURE;
1343
 
    goto end;
1344
 
  } else {
1345
 
    gpgme_initialized = true;
1346
 
  }
1347
 
  
1348
 
  if(quit_now){
1349
 
    goto end;
1350
 
  }
1351
 
  
1352
 
  if(connect_to != NULL){
1353
 
    /* Connect directly, do not use Zeroconf */
1354
 
    /* (Mainly meant for debugging) */
1355
 
    char *address = strrchr(connect_to, ':');
1356
 
    if(address == NULL){
1357
 
      fprintf(stderr, "No colon in address\n");
1358
 
      exitcode = EXIT_FAILURE;
1359
 
      goto end;
1360
 
    }
1361
 
    
1362
 
    if(quit_now){
1363
 
      goto end;
1364
 
    }
1365
 
    
1366
 
    uint16_t port;
1367
 
    errno = 0;
1368
 
    tmpmax = strtoimax(address+1, &tmp, 10);
1369
 
    if(errno != 0 or tmp == address+1 or *tmp != '\0'
1370
 
       or tmpmax != (uint16_t)tmpmax){
1371
 
      fprintf(stderr, "Bad port number\n");
1372
 
      exitcode = EXIT_FAILURE;
1373
 
      goto end;
1374
 
    }
1375
 
  
1376
 
    if(quit_now){
1377
 
      goto end;
1378
 
    }
1379
 
    
1380
 
    port = (uint16_t)tmpmax;
1381
 
    *address = '\0';
1382
 
    address = connect_to;
1383
 
    /* Colon in address indicates IPv6 */
1384
 
    int af;
1385
 
    if(strchr(address, ':') != NULL){
1386
 
      af = AF_INET6;
1387
 
    } else {
1388
 
      af = AF_INET;
1389
 
    }
1390
 
    
1391
 
    if(quit_now){
1392
 
      goto end;
1393
 
    }
1394
 
    
1395
 
    ret = start_mandos_communication(address, port, if_index, af);
1396
 
    if(ret < 0){
1397
 
      exitcode = EXIT_FAILURE;
1398
 
    } else {
1399
 
      exitcode = EXIT_SUCCESS;
1400
 
    }
1401
 
    goto end;
1402
 
  }
1403
 
  
1404
 
  if(quit_now){
1405
 
    goto end;
1406
 
  }
1407
 
  
1408
 
  {
1409
 
    AvahiServerConfig config;
1410
 
    /* Do not publish any local Zeroconf records */
 
513
    
 
514
    /* Initialize the psuedo-RNG */
 
515
    srand(time(NULL));
 
516
 
 
517
    /* Allocate main loop object */
 
518
    if (!(simple_poll = avahi_simple_poll_new())) {
 
519
        fprintf(stderr, "Failed to create simple poll object.\n");
 
520
        goto fail;
 
521
    }
 
522
 
 
523
    /* Do not publish any local records */
1411
524
    avahi_server_config_init(&config);
1412
525
    config.publish_hinfo = 0;
1413
526
    config.publish_addresses = 0;
1414
527
    config.publish_workstation = 0;
1415
528
    config.publish_domain = 0;
 
529
 
 
530
/*     /\* Set a unicast DNS server for wide area DNS-SD *\/ */
 
531
/*     avahi_address_parse("193.11.177.11", AVAHI_PROTO_UNSPEC, &config.wide_area_servers[0]); */
 
532
/*     config.n_wide_area_servers = 1; */
 
533
/*     config.enable_wide_area = 1; */
1416
534
    
1417
535
    /* Allocate a new server */
1418
 
    mc.server = avahi_server_new(avahi_simple_poll_get
1419
 
                                 (mc.simple_poll), &config, NULL,
1420
 
                                 NULL, &error);
1421
 
    
1422
 
    /* Free the Avahi configuration data */
 
536
    server = avahi_server_new(avahi_simple_poll_get(simple_poll), &config, NULL, NULL, &error);
 
537
 
 
538
    /* Free the configuration data */
1423
539
    avahi_server_config_free(&config);
1424
 
  }
1425
 
  
1426
 
  /* Check if creating the Avahi server object succeeded */
1427
 
  if(mc.server == NULL){
1428
 
    fprintf(stderr, "Failed to create Avahi server: %s\n",
1429
 
            avahi_strerror(error));
1430
 
    exitcode = EXIT_FAILURE;
1431
 
    goto end;
1432
 
  }
1433
 
  
1434
 
  if(quit_now){
1435
 
    goto end;
1436
 
  }
1437
 
  
1438
 
  /* Create the Avahi service browser */
1439
 
  sb = avahi_s_service_browser_new(mc.server, if_index,
1440
 
                                   AVAHI_PROTO_UNSPEC, "_mandos._tcp",
1441
 
                                   NULL, 0, browse_callback, NULL);
1442
 
  if(sb == NULL){
1443
 
    fprintf(stderr, "Failed to create service browser: %s\n",
1444
 
            avahi_strerror(avahi_server_errno(mc.server)));
1445
 
    exitcode = EXIT_FAILURE;
1446
 
    goto end;
1447
 
  }
1448
 
  
1449
 
  if(quit_now){
1450
 
    goto end;
1451
 
  }
1452
 
  
1453
 
  /* Run the main loop */
1454
 
  
1455
 
  if(debug){
1456
 
    fprintf(stderr, "Starting Avahi loop search\n");
1457
 
  }
1458
 
  
1459
 
  avahi_simple_poll_loop(mc.simple_poll);
1460
 
  
1461
 
 end:
1462
 
  
1463
 
  if(debug){
1464
 
    fprintf(stderr, "%s exiting\n", argv[0]);
1465
 
  }
1466
 
  
1467
 
  /* Cleanup things */
1468
 
  if(sb != NULL)
1469
 
    avahi_s_service_browser_free(sb);
1470
 
  
1471
 
  if(mc.server != NULL)
1472
 
    avahi_server_free(mc.server);
1473
 
  
1474
 
  if(mc.simple_poll != NULL)
1475
 
    avahi_simple_poll_free(mc.simple_poll);
1476
 
  
1477
 
  if(gnutls_initialized){
1478
 
    gnutls_certificate_free_credentials(mc.cred);
1479
 
    gnutls_global_deinit();
1480
 
    gnutls_dh_params_deinit(mc.dh_params);
1481
 
  }
1482
 
  
1483
 
  if(gpgme_initialized){
1484
 
    gpgme_release(mc.ctx);
1485
 
  }
1486
 
  
1487
 
  /* Take down the network interface */
1488
 
  if(take_down_interface){
1489
 
    /* Re-raise priviliges */
1490
 
    errno = 0;
1491
 
    ret = seteuid(0);
1492
 
    if(ret == -1){
1493
 
      perror("seteuid");
1494
 
    }
1495
 
    if(geteuid() == 0){
1496
 
      ret = ioctl(sd, SIOCGIFFLAGS, &network);
1497
 
      if(ret == -1){
1498
 
        perror("ioctl SIOCGIFFLAGS");
1499
 
      } else if(network.ifr_flags & IFF_UP) {
1500
 
        network.ifr_flags &= ~IFF_UP; /* clear flag */
1501
 
        ret = ioctl(sd, SIOCSIFFLAGS, &network);
1502
 
        if(ret == -1){
1503
 
          perror("ioctl SIOCSIFFLAGS");
1504
 
        }
1505
 
      }
1506
 
      ret = (int)TEMP_FAILURE_RETRY(close(sd));
1507
 
      if(ret == -1){
1508
 
        perror("close");
1509
 
      }
1510
 
      /* Lower privileges, permanently this time */
1511
 
      errno = 0;
1512
 
      ret = setuid(uid);
1513
 
      if(ret == -1){
1514
 
        perror("setuid");
1515
 
      }
1516
 
    }
1517
 
  }
1518
 
  
1519
 
  /* Removes the temp directory used by GPGME */
1520
 
  if(tempdir_created){
1521
 
    DIR *d;
1522
 
    struct dirent *direntry;
1523
 
    d = opendir(tempdir);
1524
 
    if(d == NULL){
1525
 
      if(errno != ENOENT){
1526
 
        perror("opendir");
1527
 
      }
1528
 
    } else {
1529
 
      while(true){
1530
 
        direntry = readdir(d);
1531
 
        if(direntry == NULL){
1532
 
          break;
1533
 
        }
1534
 
        /* Skip "." and ".." */
1535
 
        if(direntry->d_name[0] == '.'
1536
 
           and (direntry->d_name[1] == '\0'
1537
 
                or (direntry->d_name[1] == '.'
1538
 
                    and direntry->d_name[2] == '\0'))){
1539
 
          continue;
1540
 
        }
1541
 
        char *fullname = NULL;
1542
 
        ret = asprintf(&fullname, "%s/%s", tempdir,
1543
 
                       direntry->d_name);
1544
 
        if(ret < 0){
1545
 
          perror("asprintf");
1546
 
          continue;
1547
 
        }
1548
 
        ret = remove(fullname);
1549
 
        if(ret == -1){
1550
 
          fprintf(stderr, "remove(\"%s\"): %s\n", fullname,
1551
 
                  strerror(errno));
1552
 
        }
1553
 
        free(fullname);
1554
 
      }
1555
 
      closedir(d);
1556
 
    }
1557
 
    ret = rmdir(tempdir);
1558
 
    if(ret == -1 and errno != ENOENT){
1559
 
      perror("rmdir");
1560
 
    }
1561
 
  }
1562
 
  
1563
 
  if(quit_now){
1564
 
    sigemptyset(&old_sigterm_action.sa_mask);
1565
 
    old_sigterm_action.sa_handler = SIG_DFL;
1566
 
    ret = sigaction(signal_received, &old_sigterm_action, NULL);
1567
 
    if(ret == -1){
1568
 
      perror("sigaction");
1569
 
    }
1570
 
    raise(signal_received);
1571
 
  }
1572
 
  
1573
 
  return exitcode;
 
540
 
 
541
    /* Check wether creating the server object succeeded */
 
542
    if (!server) {
 
543
        fprintf(stderr, "Failed to create server: %s\n", avahi_strerror(error));
 
544
        goto fail;
 
545
    }
 
546
    
 
547
    /* Create the service browser */
 
548
    if (!(sb = avahi_s_service_browser_new(server, if_nametoindex("eth0"), AVAHI_PROTO_INET6, "_mandos._tcp", NULL, 0, browse_callback, server))) {
 
549
        fprintf(stderr, "Failed to create service browser: %s\n", avahi_strerror(avahi_server_errno(server)));
 
550
        goto fail;
 
551
    }
 
552
    
 
553
    /* Run the main loop */
 
554
    avahi_simple_poll_loop(simple_poll);
 
555
    
 
556
    ret = 0;
 
557
    
 
558
fail:
 
559
    
 
560
    /* Cleanup things */
 
561
    if (sb)
 
562
        avahi_s_service_browser_free(sb);
 
563
    
 
564
    if (server)
 
565
        avahi_server_free(server);
 
566
 
 
567
    if (simple_poll)
 
568
        avahi_simple_poll_free(simple_poll);
 
569
 
 
570
    return ret;
1574
571
}