/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/mandosclient.c

  • Committer: Björn Påhlsson
  • Date: 2008-07-20 22:58:26 UTC
  • mto: This revision was merged to the branch mainline in revision 17.
  • Revision ID: belorn@braxen-20080720225826-cj2n2s0xbmxmra60
Added debugg support in form off --debug and --debug=mandosclient

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
/*  -*- coding: utf-8 -*- */
2
 
/*
3
 
 * Mandos client - get and decrypt data from a Mandos server
4
 
 *
5
 
 * This program is partly derived from an example program for an Avahi
6
 
 * service browser, downloaded from
7
 
 * <http://avahi.org/browser/examples/core-browse-services.c>.  This
8
 
 * includes the following functions: "resolve_callback",
9
 
 * "browse_callback", and parts of "main".
10
 
 * 
11
 
 * Everything else is
12
 
 * Copyright © 2007-2008 Teddy Hogeborn & Björn Påhlsson
13
 
 * 
14
 
 * This program is free software: you can redistribute it and/or
15
 
 * modify it under the terms of the GNU General Public License as
16
 
 * published by the Free Software Foundation, either version 3 of the
17
 
 * License, or (at your option) any later version.
18
 
 * 
19
 
 * This program is distributed in the hope that it will be useful, but
20
 
 * WITHOUT ANY WARRANTY; without even the implied warranty of
21
 
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
22
 
 * General Public License for more details.
23
 
 * 
24
 
 * You should have received a copy of the GNU General Public License
25
 
 * along with this program.  If not, see
26
 
 * <http://www.gnu.org/licenses/>.
27
 
 * 
28
 
 * Contact the authors at <mandos@fukt.bsnet.se>.
29
 
 */
 
1
/***
 
2
  This file is part of avahi.
 
3
 
 
4
  avahi is free software; you can redistribute it and/or modify it
 
5
  under the terms of the GNU Lesser General Public License as
 
6
  published by the Free Software Foundation; either version 2.1 of the
 
7
  License, or (at your option) any later version.
 
8
 
 
9
  avahi is distributed in the hope that it will be useful, but WITHOUT
 
10
  ANY WARRANTY; without even the implied warranty of MERCHANTABILITY
 
11
  or FITNESS FOR A PARTICULAR PURPOSE. See the GNU Lesser General
 
12
  Public License for more details.
 
13
 
 
14
  You should have received a copy of the GNU Lesser General Public
 
15
  License along with avahi; if not, write to the Free Software
 
16
  Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
 
17
  USA.
 
18
***/
30
19
 
31
 
/* Needed by GPGME, specifically gpgme_data_seek() */
32
20
#define _LARGEFILE_SOURCE
33
21
#define _FILE_OFFSET_BITS 64
34
22
 
35
 
#define _GNU_SOURCE             /* TEMP_FAILURE_RETRY(), asprintf() */
36
 
 
37
 
#include <stdio.h>              /* fprintf(), stderr, fwrite(),
38
 
                                   stdout, ferror() */
39
 
#include <stdint.h>             /* uint16_t, uint32_t */
40
 
#include <stddef.h>             /* NULL, size_t, ssize_t */
41
 
#include <stdlib.h>             /* free(), EXIT_SUCCESS, EXIT_FAILURE,
42
 
                                   srand() */
43
 
#include <stdbool.h>            /* bool, true */
44
 
#include <string.h>             /* memset(), strcmp(), strlen(),
45
 
                                   strerror(), asprintf(), strcpy() */
46
 
#include <sys/ioctl.h>          /* ioctl */
47
 
#include <sys/types.h>          /* socket(), inet_pton(), sockaddr,
48
 
                                   sockaddr_in6, PF_INET6,
49
 
                                   SOCK_STREAM, INET6_ADDRSTRLEN,
50
 
                                   uid_t, gid_t */
51
 
#include <inttypes.h>           /* PRIu16 */
52
 
#include <sys/socket.h>         /* socket(), struct sockaddr_in6,
53
 
                                   struct in6_addr, inet_pton(),
54
 
                                   connect() */
55
 
#include <assert.h>             /* assert() */
56
 
#include <errno.h>              /* perror(), errno */
57
 
#include <time.h>               /* time() */
58
 
#include <net/if.h>             /* ioctl, ifreq, SIOCGIFFLAGS, IFF_UP,
59
 
                                   SIOCSIFFLAGS, if_indextoname(),
60
 
                                   if_nametoindex(), IF_NAMESIZE */
61
 
#include <unistd.h>             /* close(), SEEK_SET, off_t, write(),
62
 
                                   getuid(), getgid(), setuid(),
63
 
                                   setgid() */
64
 
#include <netinet/in.h>
65
 
#include <arpa/inet.h>          /* inet_pton(), htons */
66
 
#include <iso646.h>             /* not, and */
67
 
#include <argp.h>               /* struct argp_option, error_t, struct
68
 
                                   argp_state, struct argp,
69
 
                                   argp_parse(), ARGP_KEY_ARG,
70
 
                                   ARGP_KEY_END, ARGP_ERR_UNKNOWN */
71
 
 
72
 
/* Avahi */
73
 
/* All Avahi types, constants and functions
74
 
 Avahi*, avahi_*,
75
 
 AVAHI_* */
 
23
#include <stdio.h>
 
24
#include <assert.h>
 
25
#include <stdlib.h>
 
26
#include <time.h>
 
27
#include <net/if.h>             /* if_nametoindex */
 
28
 
76
29
#include <avahi-core/core.h>
77
30
#include <avahi-core/lookup.h>
78
31
#include <avahi-core/log.h>
80
33
#include <avahi-common/malloc.h>
81
34
#include <avahi-common/error.h>
82
35
 
83
 
/* GnuTLS */
84
 
#include <gnutls/gnutls.h>      /* All GnuTLS types, constants and
85
 
                                   functions:
86
 
                                   gnutls_*
87
 
                                   init_gnutls_session(),
88
 
                                   GNUTLS_* */
89
 
#include <gnutls/openpgp.h>     /* gnutls_certificate_set_openpgp_key_file(),
90
 
                                   GNUTLS_OPENPGP_FMT_BASE64 */
91
 
 
92
 
/* GPGME */
93
 
#include <gpgme.h>              /* All GPGME types, constants and
94
 
                                   functions:
95
 
                                   gpgme_*
96
 
                                   GPGME_PROTOCOL_OpenPGP,
97
 
                                   GPG_ERR_NO_* */
98
 
 
 
36
//mandos client part
 
37
#include <sys/types.h>          /* socket(), setsockopt(), inet_pton() */
 
38
#include <sys/socket.h>         /* socket(), setsockopt(), struct sockaddr_in6, struct in6_addr, inet_pton() */
 
39
#include <gnutls/gnutls.h>      /* ALL GNUTLS STUFF */
 
40
#include <gnutls/openpgp.h>     /* gnutls with openpgp stuff */
 
41
 
 
42
#include <unistd.h>             /* close() */
 
43
#include <netinet/in.h>
 
44
#include <stdbool.h>            /* true */
 
45
#include <string.h>             /* memset */
 
46
#include <arpa/inet.h>          /* inet_pton() */
 
47
#include <iso646.h>             /* not */
 
48
 
 
49
// gpgme
 
50
#include <errno.h>              /* perror() */
 
51
#include <gpgme.h>
 
52
 
 
53
 
 
54
#ifndef CERT_ROOT
 
55
#define CERT_ROOT "/conf/conf.d/cryptkeyreq/"
 
56
#endif
 
57
#define CERTFILE CERT_ROOT "openpgp-client.txt"
 
58
#define KEYFILE CERT_ROOT "openpgp-client-key.txt"
99
59
#define BUFFER_SIZE 256
100
 
 
101
 
bool debug = false;
102
 
static const char *keydir = "/conf/conf.d/mandos";
103
 
static const char mandos_protocol_version[] = "1";
104
 
const char *argp_program_version = "password-request 1.0";
105
 
const char *argp_program_bug_address = "<mandos@fukt.bsnet.se>";
106
 
 
107
 
/* Used for passing in values through the Avahi callback functions */
 
60
#define DH_BITS 1024
 
61
 
 
62
bool debug;
 
63
 
108
64
typedef struct {
109
 
  AvahiSimplePoll *simple_poll;
110
 
  AvahiServer *server;
 
65
  gnutls_session_t session;
111
66
  gnutls_certificate_credentials_t cred;
112
 
  unsigned int dh_bits;
113
67
  gnutls_dh_params_t dh_params;
114
 
  const char *priority;
115
 
} mandos_context;
116
 
 
117
 
/*
118
 
 * Make room in "buffer" for at least BUFFER_SIZE additional bytes.
119
 
 * "buffer_capacity" is how much is currently allocated,
120
 
 * "buffer_length" is how much is already used.
121
 
 */
122
 
size_t adjustbuffer(char **buffer, size_t buffer_length,
123
 
                  size_t buffer_capacity){
124
 
  if (buffer_length + BUFFER_SIZE > buffer_capacity){
125
 
    *buffer = realloc(*buffer, buffer_capacity + BUFFER_SIZE);
126
 
    if (buffer == NULL){
127
 
      return 0;
128
 
    }
129
 
    buffer_capacity += BUFFER_SIZE;
130
 
  }
131
 
  return buffer_capacity;
132
 
}
133
 
 
134
 
/* 
135
 
 * Decrypt OpenPGP data using keyrings in HOMEDIR.
136
 
 * Returns -1 on error
137
 
 */
138
 
static ssize_t pgp_packet_decrypt (const char *cryptotext,
139
 
                                   size_t crypto_size,
140
 
                                   char **plaintext,
141
 
                                   const char *homedir){
 
68
} encrypted_session;
 
69
 
 
70
 
 
71
ssize_t gpg_packet_decrypt (char *packet, size_t packet_size, char **new_packet, char *homedir){
142
72
  gpgme_data_t dh_crypto, dh_plain;
143
73
  gpgme_ctx_t ctx;
144
74
  gpgme_error_t rc;
145
75
  ssize_t ret;
146
 
  size_t plaintext_capacity = 0;
147
 
  ssize_t plaintext_length = 0;
 
76
  size_t new_packet_capacity = 0;
 
77
  size_t new_packet_length = 0;
148
78
  gpgme_engine_info_t engine_info;
149
 
  
 
79
 
150
80
  if (debug){
151
 
    fprintf(stderr, "Trying to decrypt OpenPGP data\n");
 
81
    fprintf(stderr, "Attempting to decrypt password from gpg packet\n");
152
82
  }
153
83
  
154
84
  /* Init GPGME */
155
85
  gpgme_check_version(NULL);
156
 
  rc = gpgme_engine_check_version(GPGME_PROTOCOL_OpenPGP);
157
 
  if (rc != GPG_ERR_NO_ERROR){
158
 
    fprintf(stderr, "bad gpgme_engine_check_version: %s: %s\n",
159
 
            gpgme_strsource(rc), gpgme_strerror(rc));
160
 
    return -1;
161
 
  }
 
86
  gpgme_engine_check_version(GPGME_PROTOCOL_OpenPGP);
162
87
  
163
 
  /* Set GPGME home directory for the OpenPGP engine only */
 
88
  /* Set GPGME home directory */
164
89
  rc = gpgme_get_engine_info (&engine_info);
165
90
  if (rc != GPG_ERR_NO_ERROR){
166
91
    fprintf(stderr, "bad gpgme_get_engine_info: %s: %s\n",
176
101
    engine_info = engine_info->next;
177
102
  }
178
103
  if(engine_info == NULL){
179
 
    fprintf(stderr, "Could not set GPGME home dir to %s\n", homedir);
 
104
    fprintf(stderr, "Could not set home dir to %s\n", homedir);
180
105
    return -1;
181
106
  }
182
107
  
183
 
  /* Create new GPGME data buffer from memory cryptotext */
184
 
  rc = gpgme_data_new_from_mem(&dh_crypto, cryptotext, crypto_size,
185
 
                               0);
 
108
  /* Create new GPGME data buffer from packet buffer */
 
109
  rc = gpgme_data_new_from_mem(&dh_crypto, packet, packet_size, 0);
186
110
  if (rc != GPG_ERR_NO_ERROR){
187
111
    fprintf(stderr, "bad gpgme_data_new_from_mem: %s: %s\n",
188
112
            gpgme_strsource(rc), gpgme_strerror(rc));
194
118
  if (rc != GPG_ERR_NO_ERROR){
195
119
    fprintf(stderr, "bad gpgme_data_new: %s: %s\n",
196
120
            gpgme_strsource(rc), gpgme_strerror(rc));
197
 
    gpgme_data_release(dh_crypto);
198
121
    return -1;
199
122
  }
200
123
  
203
126
  if (rc != GPG_ERR_NO_ERROR){
204
127
    fprintf(stderr, "bad gpgme_new: %s: %s\n",
205
128
            gpgme_strsource(rc), gpgme_strerror(rc));
206
 
    plaintext_length = -1;
207
 
    goto decrypt_end;
 
129
    return -1;
208
130
  }
209
131
  
210
 
  /* Decrypt data from the cryptotext data buffer to the plaintext
211
 
     data buffer */
 
132
  /* Decrypt data from the FILE pointer to the plaintext data buffer */
212
133
  rc = gpgme_op_decrypt(ctx, dh_crypto, dh_plain);
213
134
  if (rc != GPG_ERR_NO_ERROR){
214
135
    fprintf(stderr, "bad gpgme_op_decrypt: %s: %s\n",
215
136
            gpgme_strsource(rc), gpgme_strerror(rc));
216
 
    plaintext_length = -1;
217
 
    if (debug){
218
 
      gpgme_decrypt_result_t result;
219
 
      result = gpgme_op_decrypt_result(ctx);
220
 
      if (result == NULL){
221
 
        fprintf(stderr, "gpgme_op_decrypt_result failed\n");
222
 
      } else {
223
 
        fprintf(stderr, "Unsupported algorithm: %s\n",
224
 
                result->unsupported_algorithm);
225
 
        fprintf(stderr, "Wrong key usage: %u\n",
226
 
                result->wrong_key_usage);
227
 
        if(result->file_name != NULL){
228
 
          fprintf(stderr, "File name: %s\n", result->file_name);
229
 
        }
230
 
        gpgme_recipient_t recipient;
231
 
        recipient = result->recipients;
232
 
        if(recipient){
233
 
          while(recipient != NULL){
234
 
            fprintf(stderr, "Public key algorithm: %s\n",
235
 
                    gpgme_pubkey_algo_name(recipient->pubkey_algo));
236
 
            fprintf(stderr, "Key ID: %s\n", recipient->keyid);
237
 
            fprintf(stderr, "Secret key available: %s\n",
238
 
                    recipient->status == GPG_ERR_NO_SECKEY
239
 
                    ? "No" : "Yes");
240
 
            recipient = recipient->next;
241
 
          }
 
137
    return -1;
 
138
  }
 
139
 
 
140
  if(debug){
 
141
    fprintf(stderr, "decryption of gpg packet succeeded\n");
 
142
  }
 
143
 
 
144
  if (debug){
 
145
    gpgme_decrypt_result_t result;
 
146
    result = gpgme_op_decrypt_result(ctx);
 
147
    if (result == NULL){
 
148
      fprintf(stderr, "gpgme_op_decrypt_result failed\n");
 
149
    } else {
 
150
      fprintf(stderr, "Unsupported algorithm: %s\n", result->unsupported_algorithm);
 
151
      fprintf(stderr, "Wrong key usage: %d\n", result->wrong_key_usage);
 
152
      if(result->file_name != NULL){
 
153
        fprintf(stderr, "File name: %s\n", result->file_name);
 
154
      }
 
155
      gpgme_recipient_t recipient;
 
156
      recipient = result->recipients;
 
157
      if(recipient){
 
158
        while(recipient != NULL){
 
159
          fprintf(stderr, "Public key algorithm: %s\n",
 
160
                  gpgme_pubkey_algo_name(recipient->pubkey_algo));
 
161
          fprintf(stderr, "Key ID: %s\n", recipient->keyid);
 
162
          fprintf(stderr, "Secret key available: %s\n",
 
163
                  recipient->status == GPG_ERR_NO_SECKEY ? "No" : "Yes");
 
164
          recipient = recipient->next;
242
165
        }
243
166
      }
244
167
    }
245
 
    goto decrypt_end;
246
168
  }
247
169
  
248
 
  if(debug){
249
 
    fprintf(stderr, "Decryption of OpenPGP data succeeded\n");
250
 
  }
 
170
  /* Delete the GPGME FILE pointer cryptotext data buffer */
 
171
  gpgme_data_release(dh_crypto);
251
172
  
252
173
  /* Seek back to the beginning of the GPGME plaintext data buffer */
253
 
  if (gpgme_data_seek(dh_plain, (off_t) 0, SEEK_SET) == -1){
254
 
    perror("pgpme_data_seek");
255
 
    plaintext_length = -1;
256
 
    goto decrypt_end;
257
 
  }
258
 
  
259
 
  *plaintext = NULL;
 
174
  gpgme_data_seek(dh_plain, 0, SEEK_SET);
 
175
 
 
176
  *new_packet = 0;
260
177
  while(true){
261
 
    plaintext_capacity = adjustbuffer(plaintext,
262
 
                                      (size_t)plaintext_length,
263
 
                                      plaintext_capacity);
264
 
    if (plaintext_capacity == 0){
265
 
        perror("adjustbuffer");
266
 
        plaintext_length = -1;
267
 
        goto decrypt_end;
 
178
    if (new_packet_length + BUFFER_SIZE > new_packet_capacity){
 
179
      *new_packet = realloc(*new_packet, new_packet_capacity + BUFFER_SIZE);
 
180
      if (*new_packet == NULL){
 
181
        perror("realloc");
 
182
        return -1;
 
183
      }
 
184
      new_packet_capacity += BUFFER_SIZE;
268
185
    }
269
186
    
270
 
    ret = gpgme_data_read(dh_plain, *plaintext + plaintext_length,
271
 
                          BUFFER_SIZE);
 
187
    ret = gpgme_data_read(dh_plain, *new_packet + new_packet_length, BUFFER_SIZE);
272
188
    /* Print the data, if any */
273
189
    if (ret == 0){
274
 
      /* EOF */
 
190
      /* If password is empty, then a incorrect error will be printed */
275
191
      break;
276
192
    }
277
193
    if(ret < 0){
278
194
      perror("gpgme_data_read");
279
 
      plaintext_length = -1;
280
 
      goto decrypt_end;
 
195
      return -1;
281
196
    }
282
 
    plaintext_length += ret;
 
197
    new_packet_length += ret;
283
198
  }
284
199
 
285
200
  if(debug){
286
 
    fprintf(stderr, "Decrypted password is: ");
287
 
    for(ssize_t i = 0; i < plaintext_length; i++){
288
 
      fprintf(stderr, "%02hhX ", (*plaintext)[i]);
289
 
    }
290
 
    fprintf(stderr, "\n");
 
201
    fprintf(stderr, "decrypted password is: %s\n", *new_packet);
291
202
  }
292
 
  
293
 
 decrypt_end:
294
 
  
295
 
  /* Delete the GPGME cryptotext data buffer */
296
 
  gpgme_data_release(dh_crypto);
297
 
  
298
 
  /* Delete the GPGME plaintext data buffer */
 
203
 
 
204
   /* Delete the GPGME plaintext data buffer */
299
205
  gpgme_data_release(dh_plain);
300
 
  return plaintext_length;
 
206
  return new_packet_length;
301
207
}
302
208
 
303
209
static const char * safer_gnutls_strerror (int value) {
304
 
  const char *ret = gnutls_strerror (value); /* Spurious warning */
 
210
  const char *ret = gnutls_strerror (value);
305
211
  if (ret == NULL)
306
212
    ret = "(unknown)";
307
213
  return ret;
308
214
}
309
215
 
310
 
/* GnuTLS log function callback */
311
 
static void debuggnutls(__attribute__((unused)) int level,
312
 
                        const char* string){
313
 
  fprintf(stderr, "GnuTLS: %s", string);
 
216
void debuggnutls(int level, const char* string){
 
217
  fprintf(stderr, "%s", string);
314
218
}
315
219
 
316
 
static int init_gnutls_global(mandos_context *mc,
317
 
                              const char *pubkeyfilename,
318
 
                              const char *seckeyfilename){
 
220
int initgnutls(encrypted_session *es){
 
221
  const char *err;
319
222
  int ret;
320
 
  
 
223
 
321
224
  if(debug){
322
 
    fprintf(stderr, "Initializing GnuTLS\n");
 
225
    fprintf(stderr, "Initializing gnutls\n");
323
226
  }
 
227
 
324
228
  
325
 
  ret = gnutls_global_init();
326
 
  if (ret != GNUTLS_E_SUCCESS) {
327
 
    fprintf (stderr, "GnuTLS global_init: %s\n",
328
 
             safer_gnutls_strerror(ret));
 
229
  if ((ret = gnutls_global_init ())
 
230
      != GNUTLS_E_SUCCESS) {
 
231
    fprintf (stderr, "global_init: %s\n", safer_gnutls_strerror(ret));
329
232
    return -1;
330
233
  }
331
 
  
 
234
 
332
235
  if (debug){
333
 
    /* "Use a log level over 10 to enable all debugging options."
334
 
     * - GnuTLS manual
335
 
     */
336
236
    gnutls_global_set_log_level(11);
337
237
    gnutls_global_set_log_function(debuggnutls);
338
238
  }
339
239
  
340
 
  /* OpenPGP credentials */
341
 
  gnutls_certificate_allocate_credentials(&mc->cred);
342
 
  if (ret != GNUTLS_E_SUCCESS){
343
 
    fprintf (stderr, "GnuTLS memory error: %s\n", /* Spurious
344
 
                                                     warning */
345
 
             safer_gnutls_strerror(ret));
346
 
    gnutls_global_deinit ();
 
240
 
 
241
  /* openpgp credentials */
 
242
  if ((ret = gnutls_certificate_allocate_credentials (&es->cred))
 
243
      != GNUTLS_E_SUCCESS) {
 
244
    fprintf (stderr, "memory error: %s\n", safer_gnutls_strerror(ret));
347
245
    return -1;
348
246
  }
349
 
  
 
247
 
350
248
  if(debug){
351
 
    fprintf(stderr, "Attempting to use OpenPGP certificate %s"
352
 
            " and keyfile %s as GnuTLS credentials\n", pubkeyfilename,
353
 
            seckeyfilename);
 
249
    fprintf(stderr, "Attempting to use openpgp certificate %s"
 
250
            " and keyfile %s as gnutls credentials\n", CERTFILE, KEYFILE);
354
251
  }
355
 
  
 
252
 
356
253
  ret = gnutls_certificate_set_openpgp_key_file
357
 
    (mc->cred, pubkeyfilename, seckeyfilename,
358
 
     GNUTLS_OPENPGP_FMT_BASE64);
359
 
  if (ret != GNUTLS_E_SUCCESS) {
360
 
    fprintf(stderr,
361
 
            "Error[%d] while reading the OpenPGP key pair ('%s',"
362
 
            " '%s')\n", ret, pubkeyfilename, seckeyfilename);
363
 
    fprintf(stdout, "The GnuTLS error is: %s\n",
364
 
            safer_gnutls_strerror(ret));
365
 
    goto globalfail;
366
 
  }
367
 
  
368
 
  /* GnuTLS server initialization */
369
 
  ret = gnutls_dh_params_init(&mc->dh_params);
370
 
  if (ret != GNUTLS_E_SUCCESS) {
371
 
    fprintf (stderr, "Error in GnuTLS DH parameter initialization:"
372
 
             " %s\n", safer_gnutls_strerror(ret));
373
 
    goto globalfail;
374
 
  }
375
 
  ret = gnutls_dh_params_generate2(mc->dh_params, mc->dh_bits);
376
 
  if (ret != GNUTLS_E_SUCCESS) {
377
 
    fprintf (stderr, "Error in GnuTLS prime generation: %s\n",
378
 
             safer_gnutls_strerror(ret));
379
 
    goto globalfail;
380
 
  }
381
 
  
382
 
  gnutls_certificate_set_dh_params(mc->cred, mc->dh_params);
383
 
 
384
 
  return 0;
385
 
 
386
 
 globalfail:
387
 
 
388
 
  gnutls_certificate_free_credentials(mc->cred);
389
 
  gnutls_global_deinit();
390
 
  return -1;
391
 
 
392
 
}
393
 
 
394
 
static int init_gnutls_session(mandos_context *mc,
395
 
                               gnutls_session_t *session){
396
 
  int ret;
397
 
  /* GnuTLS session creation */
398
 
  ret = gnutls_init(session, GNUTLS_SERVER);
399
 
  if (ret != GNUTLS_E_SUCCESS){
400
 
    fprintf(stderr, "Error in GnuTLS session initialization: %s\n",
401
 
            safer_gnutls_strerror(ret));
402
 
  }
403
 
  
404
 
  {
405
 
    const char *err;
406
 
    ret = gnutls_priority_set_direct(*session, mc->priority, &err);
407
 
    if (ret != GNUTLS_E_SUCCESS) {
408
 
      fprintf(stderr, "Syntax error at: %s\n", err);
409
 
      fprintf(stderr, "GnuTLS error: %s\n",
410
 
              safer_gnutls_strerror(ret));
411
 
      gnutls_deinit (*session);
412
 
      return -1;
413
 
    }
414
 
  }
415
 
  
416
 
  ret = gnutls_credentials_set(*session, GNUTLS_CRD_CERTIFICATE,
417
 
                               mc->cred);
418
 
  if (ret != GNUTLS_E_SUCCESS) {
419
 
    fprintf(stderr, "Error setting GnuTLS credentials: %s\n",
420
 
            safer_gnutls_strerror(ret));
421
 
    gnutls_deinit (*session);
422
 
    return -1;
423
 
  }
424
 
  
 
254
    (es->cred, CERTFILE, KEYFILE, GNUTLS_OPENPGP_FMT_BASE64);
 
255
  if (ret != GNUTLS_E_SUCCESS) {
 
256
    fprintf
 
257
      (stderr, "Error[%d] while reading the OpenPGP key pair ('%s', '%s')\n",
 
258
       ret, CERTFILE, KEYFILE);
 
259
    fprintf(stdout, "The Error is: %s\n",
 
260
            safer_gnutls_strerror(ret));
 
261
    return -1;
 
262
  }
 
263
 
 
264
  //Gnutls server initialization
 
265
  if ((ret = gnutls_dh_params_init (&es->dh_params))
 
266
      != GNUTLS_E_SUCCESS) {
 
267
    fprintf (stderr, "Error in dh parameter initialization: %s\n",
 
268
             safer_gnutls_strerror(ret));
 
269
    return -1;
 
270
  }
 
271
 
 
272
  if ((ret = gnutls_dh_params_generate2 (es->dh_params, DH_BITS))
 
273
      != GNUTLS_E_SUCCESS) {
 
274
    fprintf (stderr, "Error in prime generation: %s\n",
 
275
             safer_gnutls_strerror(ret));
 
276
    return -1;
 
277
  }
 
278
 
 
279
  gnutls_certificate_set_dh_params (es->cred, es->dh_params);
 
280
 
 
281
  // Gnutls session creation
 
282
  if ((ret = gnutls_init (&es->session, GNUTLS_SERVER))
 
283
      != GNUTLS_E_SUCCESS){
 
284
    fprintf(stderr, "Error in gnutls session initialization: %s\n",
 
285
            safer_gnutls_strerror(ret));
 
286
  }
 
287
 
 
288
  if ((ret = gnutls_priority_set_direct (es->session, "NORMAL", &err))
 
289
      != GNUTLS_E_SUCCESS) {
 
290
    fprintf(stderr, "Syntax error at: %s\n", err);
 
291
    fprintf(stderr, "Gnutls error: %s\n",
 
292
            safer_gnutls_strerror(ret));
 
293
    return -1;
 
294
  }
 
295
 
 
296
  if ((ret = gnutls_credentials_set
 
297
       (es->session, GNUTLS_CRD_CERTIFICATE, es->cred))
 
298
      != GNUTLS_E_SUCCESS) {
 
299
    fprintf(stderr, "Error setting a credentials set: %s\n",
 
300
            safer_gnutls_strerror(ret));
 
301
    return -1;
 
302
  }
 
303
 
425
304
  /* ignore client certificate if any. */
426
 
  gnutls_certificate_server_set_request (*session,
427
 
                                         GNUTLS_CERT_IGNORE);
 
305
  gnutls_certificate_server_set_request (es->session, GNUTLS_CERT_IGNORE);
428
306
  
429
 
  gnutls_dh_set_prime_bits (*session, mc->dh_bits);
 
307
  gnutls_dh_set_prime_bits (es->session, DH_BITS);
430
308
  
431
309
  return 0;
432
310
}
433
311
 
434
 
/* Avahi log function callback */
435
 
static void empty_log(__attribute__((unused)) AvahiLogLevel level,
436
 
                      __attribute__((unused)) const char *txt){}
 
312
void empty_log(AvahiLogLevel level, const char *txt){}
437
313
 
438
 
/* Called when a Mandos server is found */
439
 
static int start_mandos_communication(const char *ip, uint16_t port,
440
 
                                      AvahiIfIndex if_index,
441
 
                                      mandos_context *mc){
 
314
int start_mandos_communcation(char *ip, uint16_t port){
442
315
  int ret, tcp_sd;
443
 
  union { struct sockaddr in; struct sockaddr_in6 in6; } to;
 
316
  struct sockaddr_in6 to;
 
317
  struct in6_addr ip_addr;
 
318
  encrypted_session es;
444
319
  char *buffer = NULL;
445
320
  char *decrypted_buffer;
446
321
  size_t buffer_length = 0;
447
322
  size_t buffer_capacity = 0;
448
323
  ssize_t decrypted_buffer_size;
449
 
  size_t written;
450
324
  int retval = 0;
451
 
  char interface[IF_NAMESIZE];
452
 
  gnutls_session_t session;
453
 
  
454
 
  ret = init_gnutls_session (mc, &session);
455
 
  if (ret != 0){
456
 
    return -1;
457
 
  }
458
 
  
 
325
  const char interface[] = "eth0";
 
326
 
459
327
  if(debug){
460
 
    fprintf(stderr, "Setting up a tcp connection to %s, port %" PRIu16
461
 
            "\n", ip, port);
 
328
    fprintf(stderr, "Setting up a tcp connection to %s\n", ip);
462
329
  }
463
330
  
464
331
  tcp_sd = socket(PF_INET6, SOCK_STREAM, 0);
468
335
  }
469
336
 
470
337
  if(debug){
471
 
    if(if_indextoname((unsigned int)if_index, interface) == NULL){
472
 
      perror("if_indextoname");
473
 
      return -1;
474
 
    }
475
338
    fprintf(stderr, "Binding to interface %s\n", interface);
476
339
  }
 
340
 
 
341
  ret = setsockopt(tcp_sd, SOL_SOCKET, SO_BINDTODEVICE, interface, 5);
 
342
  if(tcp_sd < 0) {
 
343
    perror("setsockopt bindtodevice");
 
344
    return -1;
 
345
  }
477
346
  
478
 
  memset(&to, 0, sizeof(to));
479
 
  to.in6.sin6_family = AF_INET6;
480
 
  /* It would be nice to have a way to detect if we were passed an
481
 
     IPv4 address here.   Now we assume an IPv6 address. */
482
 
  ret = inet_pton(AF_INET6, ip, &to.in6.sin6_addr);
 
347
  memset(&to,0,sizeof(to));
 
348
  to.sin6_family = AF_INET6;
 
349
  ret = inet_pton(AF_INET6, ip, &ip_addr);
483
350
  if (ret < 0 ){
484
351
    perror("inet_pton");
485
352
    return -1;
486
 
  }
 
353
  }  
487
354
  if(ret == 0){
488
355
    fprintf(stderr, "Bad address: %s\n", ip);
489
356
    return -1;
490
357
  }
491
 
  to.in6.sin6_port = htons(port); /* Spurious warning */
492
 
  
493
 
  to.in6.sin6_scope_id = (uint32_t)if_index;
494
 
  
 
358
  to.sin6_port = htons(port);
 
359
  to.sin6_scope_id = if_nametoindex(interface);
 
360
 
495
361
  if(debug){
496
 
    fprintf(stderr, "Connection to: %s, port %" PRIu16 "\n", ip,
497
 
            port);
498
 
    char addrstr[INET6_ADDRSTRLEN] = "";
499
 
    if(inet_ntop(to.in6.sin6_family, &(to.in6.sin6_addr), addrstr,
500
 
                 sizeof(addrstr)) == NULL){
501
 
      perror("inet_ntop");
502
 
    } else {
503
 
      if(strcmp(addrstr, ip) != 0){
504
 
        fprintf(stderr, "Canonical address form: %s\n", addrstr);
505
 
      }
506
 
    }
 
362
    fprintf(stderr, "Connection to: %s\n", ip);
507
363
  }
508
364
  
509
 
  ret = connect(tcp_sd, &to.in, sizeof(to));
 
365
  ret = connect(tcp_sd, (struct sockaddr *) &to, sizeof(to));
510
366
  if (ret < 0){
511
367
    perror("connect");
512
368
    return -1;
513
369
  }
 
370
  
 
371
  ret = initgnutls (&es);
 
372
  if (ret != 0){
 
373
    retval = -1;
 
374
    return -1;
 
375
  }
 
376
    
 
377
  
 
378
  gnutls_transport_set_ptr (es.session, (gnutls_transport_ptr_t) tcp_sd);
514
379
 
515
 
  const char *out = mandos_protocol_version;
516
 
  written = 0;
517
 
  while (true){
518
 
    size_t out_size = strlen(out);
519
 
    ret = TEMP_FAILURE_RETRY(write(tcp_sd, out + written,
520
 
                                   out_size - written));
521
 
    if (ret == -1){
522
 
      perror("write");
523
 
      retval = -1;
524
 
      goto mandos_end;
525
 
    }
526
 
    written += (size_t)ret;
527
 
    if(written < out_size){
528
 
      continue;
529
 
    } else {
530
 
      if (out == mandos_protocol_version){
531
 
        written = 0;
532
 
        out = "\r\n";
533
 
      } else {
534
 
        break;
535
 
      }
536
 
    }
537
 
  }
538
 
 
539
380
  if(debug){
540
 
    fprintf(stderr, "Establishing TLS session with %s\n", ip);
 
381
    fprintf(stderr, "Establishing tls session with %s\n", ip);
541
382
  }
542
 
  
543
 
  gnutls_transport_set_ptr (session, (gnutls_transport_ptr_t) tcp_sd);
544
383
 
545
 
  do{
546
 
    ret = gnutls_handshake (session);
547
 
  } while(ret == GNUTLS_E_AGAIN or ret == GNUTLS_E_INTERRUPTED);
 
384
  
 
385
  ret = gnutls_handshake (es.session);
548
386
  
549
387
  if (ret != GNUTLS_E_SUCCESS){
550
 
    if(debug){
551
 
      fprintf(stderr, "*** GnuTLS Handshake failed ***\n");
552
 
      gnutls_perror (ret);
553
 
    }
 
388
    fprintf(stderr, "\n*** Handshake failed ***\n");
 
389
    gnutls_perror (ret);
554
390
    retval = -1;
555
 
    goto mandos_end;
 
391
    goto exit;
556
392
  }
557
 
  
558
 
  /* Read OpenPGP packet that contains the wanted password */
559
 
  
 
393
 
 
394
  //Retrieve gpg packet that contains the wanted password
 
395
 
560
396
  if(debug){
561
 
    fprintf(stderr, "Retrieving pgp encrypted password from %s\n",
562
 
            ip);
 
397
    fprintf(stderr, "Retrieving pgp encrypted password from %s\n", ip);
563
398
  }
564
399
 
565
400
  while(true){
566
 
    buffer_capacity = adjustbuffer(&buffer, buffer_length,
567
 
                                   buffer_capacity);
568
 
    if (buffer_capacity == 0){
569
 
      perror("adjustbuffer");
570
 
      retval = -1;
571
 
      goto mandos_end;
 
401
    if (buffer_length + BUFFER_SIZE > buffer_capacity){
 
402
      buffer = realloc(buffer, buffer_capacity + BUFFER_SIZE);
 
403
      if (buffer == NULL){
 
404
        perror("realloc");
 
405
        goto exit;
 
406
      }
 
407
      buffer_capacity += BUFFER_SIZE;
572
408
    }
573
409
    
574
 
    ret = gnutls_record_recv(session, buffer+buffer_length,
575
 
                             BUFFER_SIZE);
 
410
    ret = gnutls_record_recv
 
411
      (es.session, buffer+buffer_length, BUFFER_SIZE);
576
412
    if (ret == 0){
577
413
      break;
578
414
    }
582
418
      case GNUTLS_E_AGAIN:
583
419
        break;
584
420
      case GNUTLS_E_REHANDSHAKE:
585
 
        do{
586
 
          ret = gnutls_handshake (session);
587
 
        } while(ret == GNUTLS_E_AGAIN or ret == GNUTLS_E_INTERRUPTED);
 
421
        ret = gnutls_handshake (es.session);
588
422
        if (ret < 0){
589
 
          fprintf(stderr, "*** GnuTLS Re-handshake failed ***\n");
 
423
          fprintf(stderr, "\n*** Handshake failed ***\n");
590
424
          gnutls_perror (ret);
591
425
          retval = -1;
592
 
          goto mandos_end;
 
426
          goto exit;
593
427
        }
594
428
        break;
595
429
      default:
596
 
        fprintf(stderr, "Unknown error while reading data from"
597
 
                " encrypted session with Mandos server\n");
 
430
        fprintf(stderr, "Unknown error while reading data from encrypted session with mandos server\n");
598
431
        retval = -1;
599
 
        gnutls_bye (session, GNUTLS_SHUT_RDWR);
600
 
        goto mandos_end;
 
432
        gnutls_bye (es.session, GNUTLS_SHUT_RDWR);
 
433
        goto exit;
601
434
      }
602
435
    } else {
603
 
      buffer_length += (size_t) ret;
 
436
      buffer_length += ret;
604
437
    }
605
438
  }
606
439
  
607
 
  if(debug){
608
 
    fprintf(stderr, "Closing TLS session\n");
609
 
  }
610
 
  
611
 
  gnutls_bye (session, GNUTLS_SHUT_RDWR);
612
 
  
613
440
  if (buffer_length > 0){
614
 
    decrypted_buffer_size = pgp_packet_decrypt(buffer,
615
 
                                               buffer_length,
616
 
                                               &decrypted_buffer,
617
 
                                               keydir);
618
 
    if (decrypted_buffer_size >= 0){
619
 
      written = 0;
620
 
      while(written < (size_t) decrypted_buffer_size){
621
 
        ret = (int)fwrite (decrypted_buffer + written, 1,
622
 
                           (size_t)decrypted_buffer_size - written,
623
 
                           stdout);
624
 
        if(ret == 0 and ferror(stdout)){
625
 
          if(debug){
626
 
            fprintf(stderr, "Error writing encrypted data: %s\n",
627
 
                    strerror(errno));
628
 
          }
629
 
          retval = -1;
630
 
          break;
631
 
        }
632
 
        written += (size_t)ret;
633
 
      }
 
441
    if ((decrypted_buffer_size = gpg_packet_decrypt(buffer, buffer_length, &decrypted_buffer, CERT_ROOT)) >= 0){
 
442
      fwrite (decrypted_buffer, 1, decrypted_buffer_size, stdout);
634
443
      free(decrypted_buffer);
635
444
    } else {
636
445
      retval = -1;
637
446
    }
638
 
  } else {
639
 
    retval = -1;
640
 
  }
641
 
  
642
 
  /* Shutdown procedure */
643
 
  
644
 
 mandos_end:
 
447
  }
 
448
 
 
449
  //shutdown procedure
 
450
 
 
451
  if(debug){
 
452
    fprintf(stderr, "Closing tls session\n");
 
453
  }
 
454
 
645
455
  free(buffer);
 
456
  gnutls_bye (es.session, GNUTLS_SHUT_RDWR);
 
457
 exit:
646
458
  close(tcp_sd);
647
 
  gnutls_deinit (session);
 
459
  gnutls_deinit (es.session);
 
460
  gnutls_certificate_free_credentials (es.cred);
 
461
  gnutls_global_deinit ();
648
462
  return retval;
649
463
}
650
464
 
651
 
static void resolve_callback(AvahiSServiceResolver *r,
652
 
                             AvahiIfIndex interface,
653
 
                             AVAHI_GCC_UNUSED AvahiProtocol protocol,
654
 
                             AvahiResolverEvent event,
655
 
                             const char *name,
656
 
                             const char *type,
657
 
                             const char *domain,
658
 
                             const char *host_name,
659
 
                             const AvahiAddress *address,
660
 
                             uint16_t port,
661
 
                             AVAHI_GCC_UNUSED AvahiStringList *txt,
662
 
                             AVAHI_GCC_UNUSED AvahiLookupResultFlags
663
 
                             flags,
664
 
                             void* userdata) {
665
 
  mandos_context *mc = userdata;
666
 
  assert(r);
667
 
  
668
 
  /* Called whenever a service has been resolved successfully or
669
 
     timed out */
670
 
  
671
 
  switch (event) {
672
 
  default:
673
 
  case AVAHI_RESOLVER_FAILURE:
674
 
    fprintf(stderr, "(Avahi Resolver) Failed to resolve service '%s'"
675
 
            " of type '%s' in domain '%s': %s\n", name, type, domain,
676
 
            avahi_strerror(avahi_server_errno(mc->server)));
677
 
    break;
678
 
    
679
 
  case AVAHI_RESOLVER_FOUND:
680
 
    {
681
 
      char ip[AVAHI_ADDRESS_STR_MAX];
682
 
      avahi_address_snprint(ip, sizeof(ip), address);
683
 
      if(debug){
684
 
        fprintf(stderr, "Mandos server \"%s\" found on %s (%s, %"
685
 
                PRIu16 ") on port %d\n", name, host_name, ip,
686
 
                interface, port);
687
 
      }
688
 
      int ret = start_mandos_communication(ip, port, interface, mc);
689
 
      if (ret == 0){
690
 
        avahi_simple_poll_quit(mc->simple_poll);
691
 
      }
692
 
    }
693
 
  }
694
 
  avahi_s_service_resolver_free(r);
695
 
}
696
 
 
697
 
static void browse_callback( AvahiSServiceBrowser *b,
698
 
                             AvahiIfIndex interface,
699
 
                             AvahiProtocol protocol,
700
 
                             AvahiBrowserEvent event,
701
 
                             const char *name,
702
 
                             const char *type,
703
 
                             const char *domain,
704
 
                             AVAHI_GCC_UNUSED AvahiLookupResultFlags
705
 
                             flags,
706
 
                             void* userdata) {
707
 
  mandos_context *mc = userdata;
708
 
  assert(b);
709
 
  
710
 
  /* Called whenever a new services becomes available on the LAN or
711
 
     is removed from the LAN */
712
 
  
713
 
  switch (event) {
714
 
  default:
715
 
  case AVAHI_BROWSER_FAILURE:
716
 
    
717
 
    fprintf(stderr, "(Avahi browser) %s\n",
718
 
            avahi_strerror(avahi_server_errno(mc->server)));
719
 
    avahi_simple_poll_quit(mc->simple_poll);
720
 
    return;
721
 
    
722
 
  case AVAHI_BROWSER_NEW:
723
 
    /* We ignore the returned Avahi resolver object. In the callback
724
 
       function we free it. If the Avahi server is terminated before
725
 
       the callback function is called the Avahi server will free the
726
 
       resolver for us. */
727
 
    
728
 
    if (!(avahi_s_service_resolver_new(mc->server, interface,
729
 
                                       protocol, name, type, domain,
730
 
                                       AVAHI_PROTO_INET6, 0,
731
 
                                       resolve_callback, mc)))
732
 
      fprintf(stderr, "Avahi: Failed to resolve service '%s': %s\n",
733
 
              name, avahi_strerror(avahi_server_errno(mc->server)));
734
 
    break;
735
 
    
736
 
  case AVAHI_BROWSER_REMOVE:
737
 
    break;
738
 
    
739
 
  case AVAHI_BROWSER_ALL_FOR_NOW:
740
 
  case AVAHI_BROWSER_CACHE_EXHAUSTED:
741
 
    if(debug){
742
 
      fprintf(stderr, "No Mandos server found, still searching...\n");
743
 
    }
744
 
    break;
745
 
  }
746
 
}
747
 
 
748
 
/* Combines file name and path and returns the malloced new
749
 
   string. some sane checks could/should be added */
750
 
static char *combinepath(const char *first, const char *second){
751
 
  char *tmp;
752
 
  int ret = asprintf(&tmp, "%s/%s", first, second);
753
 
  if(ret < 0){
754
 
    return NULL;
755
 
  }
756
 
  return tmp;
757
 
}
758
 
 
759
 
 
760
 
int main(int argc, char *argv[]){
 
465
static AvahiSimplePoll *simple_poll = NULL;
 
466
static AvahiServer *server = NULL;
 
467
 
 
468
static void resolve_callback(
 
469
    AvahiSServiceResolver *r,
 
470
    AVAHI_GCC_UNUSED AvahiIfIndex interface,
 
471
    AVAHI_GCC_UNUSED AvahiProtocol protocol,
 
472
    AvahiResolverEvent event,
 
473
    const char *name,
 
474
    const char *type,
 
475
    const char *domain,
 
476
    const char *host_name,
 
477
    const AvahiAddress *address,
 
478
    uint16_t port,
 
479
    AvahiStringList *txt,
 
480
    AvahiLookupResultFlags flags,
 
481
    AVAHI_GCC_UNUSED void* userdata) {
 
482
    
 
483
    assert(r);
 
484
 
 
485
    /* Called whenever a service has been resolved successfully or timed out */
 
486
 
 
487
    switch (event) {
 
488
        case AVAHI_RESOLVER_FAILURE:
 
489
            fprintf(stderr, "(Resolver) Failed to resolve service '%s' of type '%s' in domain '%s': %s\n", name, type, domain, avahi_strerror(avahi_server_errno(server)));
 
490
            break;
 
491
 
 
492
        case AVAHI_RESOLVER_FOUND: {
 
493
          char ip[AVAHI_ADDRESS_STR_MAX];
 
494
            avahi_address_snprint(ip, sizeof(ip), address);
 
495
            if(debug){
 
496
              fprintf(stderr, "Mandos server found at %s on port %d\n", ip, port);
 
497
            }
 
498
            int ret = start_mandos_communcation(ip, port);
 
499
            if (ret == 0){
 
500
              exit(EXIT_SUCCESS);
 
501
            } else {
 
502
              exit(EXIT_FAILURE);
 
503
            }
 
504
        }
 
505
    }
 
506
    avahi_s_service_resolver_free(r);
 
507
}
 
508
 
 
509
static void browse_callback(
 
510
    AvahiSServiceBrowser *b,
 
511
    AvahiIfIndex interface,
 
512
    AvahiProtocol protocol,
 
513
    AvahiBrowserEvent event,
 
514
    const char *name,
 
515
    const char *type,
 
516
    const char *domain,
 
517
    AVAHI_GCC_UNUSED AvahiLookupResultFlags flags,
 
518
    void* userdata) {
 
519
    
 
520
    AvahiServer *s = userdata;
 
521
    assert(b);
 
522
 
 
523
    /* Called whenever a new services becomes available on the LAN or is removed from the LAN */
 
524
 
 
525
    switch (event) {
 
526
 
 
527
        case AVAHI_BROWSER_FAILURE:
 
528
            
 
529
            fprintf(stderr, "(Browser) %s\n", avahi_strerror(avahi_server_errno(server)));
 
530
            avahi_simple_poll_quit(simple_poll);
 
531
            return;
 
532
 
 
533
        case AVAHI_BROWSER_NEW:
 
534
            /* We ignore the returned resolver object. In the callback
 
535
               function we free it. If the server is terminated before
 
536
               the callback function is called the server will free
 
537
               the resolver for us. */
 
538
            
 
539
            if (!(avahi_s_service_resolver_new(s, interface, protocol, name, type, domain, AVAHI_PROTO_INET6, 0, resolve_callback, s)))
 
540
                fprintf(stderr, "Failed to resolve service '%s': %s\n", name, avahi_strerror(avahi_server_errno(s)));
 
541
            
 
542
            break;
 
543
 
 
544
        case AVAHI_BROWSER_REMOVE:
 
545
            break;
 
546
 
 
547
        case AVAHI_BROWSER_ALL_FOR_NOW:
 
548
        case AVAHI_BROWSER_CACHE_EXHAUSTED:
 
549
            break;
 
550
    }
 
551
}
 
552
 
 
553
int main(AVAHI_GCC_UNUSED int argc, AVAHI_GCC_UNUSED char*argv[]) {
 
554
    AvahiServerConfig config;
761
555
    AvahiSServiceBrowser *sb = NULL;
 
556
    const char db[] = "--debug";
762
557
    int error;
763
 
    int ret;
764
 
    int exitcode = EXIT_SUCCESS;
765
 
    const char *interface = "eth0";
766
 
    struct ifreq network;
767
 
    int sd;
768
 
    uid_t uid;
769
 
    gid_t gid;
770
 
    char *connect_to = NULL;
771
 
    AvahiIfIndex if_index = AVAHI_IF_UNSPEC;
772
 
    char *pubkeyfilename = NULL;
773
 
    char *seckeyfilename = NULL;
774
 
    const char *pubkeyname = "pubkey.txt";
775
 
    const char *seckeyname = "seckey.txt";
776
 
    mandos_context mc = { .simple_poll = NULL, .server = NULL,
777
 
                          .dh_bits = 1024, .priority = "SECURE256"};
778
 
    bool gnutls_initalized = false;
 
558
    int ret = 1;
 
559
    int returncode = EXIT_SUCCESS;
 
560
    char *basename = rindex(argv[0], '/');
 
561
    if(basename == NULL){
 
562
      basename = argv[0];
 
563
    } else {
 
564
      basename++;
 
565
    }
779
566
    
780
 
    {
781
 
      struct argp_option options[] = {
782
 
        { .name = "debug", .key = 128,
783
 
          .doc = "Debug mode", .group = 3 },
784
 
        { .name = "connect", .key = 'c',
785
 
          .arg = "IP",
786
 
          .doc = "Connect directly to a sepcified mandos server",
787
 
          .group = 1 },
788
 
        { .name = "interface", .key = 'i',
789
 
          .arg = "INTERFACE",
790
 
          .doc = "Interface that Avahi will conntect through",
791
 
          .group = 1 },
792
 
        { .name = "keydir", .key = 'd',
793
 
          .arg = "KEYDIR",
794
 
          .doc = "Directory where the openpgp keyring is",
795
 
          .group = 1 },
796
 
        { .name = "seckey", .key = 's',
797
 
          .arg = "SECKEY",
798
 
          .doc = "Secret openpgp key for gnutls authentication",
799
 
          .group = 1 },
800
 
        { .name = "pubkey", .key = 'p',
801
 
          .arg = "PUBKEY",
802
 
          .doc = "Public openpgp key for gnutls authentication",
803
 
          .group = 2 },
804
 
        { .name = "dh-bits", .key = 129,
805
 
          .arg = "BITS",
806
 
          .doc = "dh-bits to use in gnutls communication",
807
 
          .group = 2 },
808
 
        { .name = "priority", .key = 130,
809
 
          .arg = "PRIORITY",
810
 
          .doc = "GNUTLS priority", .group = 1 },
811
 
        { .name = NULL }
812
 
      };
 
567
    char *program_name = malloc(strlen(basename) + sizeof(db));
813
568
 
814
 
      
815
 
      error_t parse_opt (int key, char *arg,
816
 
                         struct argp_state *state) {
817
 
        /* Get the INPUT argument from `argp_parse', which we know is
818
 
           a pointer to our plugin list pointer. */
819
 
        switch (key) {
820
 
        case 128:
821
 
          debug = true;
822
 
          break;
823
 
        case 'c':
824
 
          connect_to = arg;
825
 
          break;
826
 
        case 'i':
827
 
          interface = arg;
828
 
          break;
829
 
        case 'd':
830
 
          keydir = arg;
831
 
          break;
832
 
        case 's':
833
 
          seckeyname = arg;
834
 
          break;
835
 
        case 'p':
836
 
          pubkeyname = arg;
837
 
          break;
838
 
        case 129:
839
 
          errno = 0;
840
 
          mc.dh_bits = (unsigned int) strtol(arg, NULL, 10);
841
 
          if (errno){
842
 
            perror("strtol");
843
 
            exit(EXIT_FAILURE);
 
569
    if (program_name == NULL){
 
570
      perror("argv[0]");
 
571
      return EXIT_FAILURE;
 
572
    }
 
573
    
 
574
    program_name[0] = '\0';
 
575
    
 
576
    for (int i = 1; i < argc; i++){
 
577
      if (not strncmp(argv[i], db, 5)){
 
578
          strcat(strcat(strcat(program_name, db ), "="), basename);
 
579
          if(not strcmp(argv[i], db) or not strcmp(argv[i], program_name)){
 
580
            debug = true;
844
581
          }
845
 
          break;
846
 
        case 130:
847
 
          mc.priority = arg;
848
 
          break;
849
 
        case ARGP_KEY_ARG:
850
 
          argp_usage (state);
851
 
        case ARGP_KEY_END:
852
 
          break;
853
 
        default:
854
 
          return ARGP_ERR_UNKNOWN;
855
 
        }
856
 
        return 0;
857
 
      }
858
 
 
859
 
      struct argp argp = { .options = options, .parser = parse_opt,
860
 
                           .args_doc = "",
861
 
                           .doc = "Mandos client -- Get and decrypt"
862
 
                           " passwords from mandos server" };
863
 
      ret = argp_parse (&argp, argc, argv, 0, 0, NULL);
864
 
      if (ret == ARGP_ERR_UNKNOWN){
865
 
        fprintf(stderr, "Unknown error while parsing arguments\n");
866
 
        exitcode = EXIT_FAILURE;
867
 
        goto end;
868
 
      }
869
 
    }
870
 
      
871
 
    pubkeyfilename = combinepath(keydir, pubkeyname);
872
 
    if (pubkeyfilename == NULL){
873
 
      perror("combinepath");
874
 
      exitcode = EXIT_FAILURE;
875
 
      goto end;
876
 
    }
877
 
    
878
 
    seckeyfilename = combinepath(keydir, seckeyname);
879
 
    if (seckeyfilename == NULL){
880
 
      perror("combinepath");
881
 
      exitcode = EXIT_FAILURE;
882
 
      goto end;
883
 
    }
884
 
 
885
 
    ret = init_gnutls_global(&mc, pubkeyfilename, seckeyfilename);
886
 
    if (ret == -1){
887
 
      fprintf(stderr, "init_gnutls_global failed\n");
888
 
      exitcode = EXIT_FAILURE;
889
 
      goto end;
890
 
    } else {
891
 
      gnutls_initalized = true;
892
 
    }
893
 
    
894
 
    /* If the interface is down, bring it up */
895
 
    {
896
 
      sd = socket(PF_INET6, SOCK_DGRAM, IPPROTO_IP);
897
 
      if(sd < 0) {
898
 
        perror("socket");
899
 
        exitcode = EXIT_FAILURE;
900
 
        goto end;
901
 
      }
902
 
      strcpy(network.ifr_name, interface);
903
 
      ret = ioctl(sd, SIOCGIFFLAGS, &network);
904
 
      if(ret == -1){
905
 
        perror("ioctl SIOCGIFFLAGS");
906
 
        exitcode = EXIT_FAILURE;
907
 
        goto end;
908
 
      }
909
 
      if((network.ifr_flags & IFF_UP) == 0){
910
 
        network.ifr_flags |= IFF_UP;
911
 
        ret = ioctl(sd, SIOCSIFFLAGS, &network);
912
 
        if(ret == -1){
913
 
          perror("ioctl SIOCSIFFLAGS");
914
 
          exitcode = EXIT_FAILURE;
915
 
          goto end;
916
 
        }
917
 
      }
918
 
      close(sd);
919
 
    }
920
 
    
921
 
    uid = getuid();
922
 
    gid = getgid();
923
 
    
924
 
    ret = setuid(uid);
925
 
    if (ret == -1){
926
 
      perror("setuid");
927
 
    }
928
 
    
929
 
    setgid(gid);
930
 
    if (ret == -1){
931
 
      perror("setgid");
932
 
    }
933
 
    
934
 
    if_index = (AvahiIfIndex) if_nametoindex(interface);
935
 
    if(if_index == 0){
936
 
      fprintf(stderr, "No such interface: \"%s\"\n", interface);
937
 
      exit(EXIT_FAILURE);
938
 
    }
939
 
    
940
 
    if(connect_to != NULL){
941
 
      /* Connect directly, do not use Zeroconf */
942
 
      /* (Mainly meant for debugging) */
943
 
      char *address = strrchr(connect_to, ':');
944
 
      if(address == NULL){
945
 
        fprintf(stderr, "No colon in address\n");
946
 
        exitcode = EXIT_FAILURE;
947
 
        goto end;
948
 
      }
949
 
      errno = 0;
950
 
      uint16_t port = (uint16_t) strtol(address+1, NULL, 10);
951
 
      if(errno){
952
 
        perror("Bad port number");
953
 
        exitcode = EXIT_FAILURE;
954
 
        goto end;
955
 
      }
956
 
      *address = '\0';
957
 
      address = connect_to;
958
 
      ret = start_mandos_communication(address, port, if_index, &mc);
959
 
      if(ret < 0){
960
 
        exitcode = EXIT_FAILURE;
961
 
      } else {
962
 
        exitcode = EXIT_SUCCESS;
963
 
      }
964
 
      goto end;
965
 
    }
966
 
    
 
582
        }
 
583
    }
 
584
    free(program_name);
 
585
 
967
586
    if (not debug){
968
587
      avahi_set_log_function(empty_log);
969
588
    }
970
589
    
971
 
    /* Initialize the pseudo-RNG for Avahi */
972
 
    srand((unsigned int) time(NULL));
973
 
    
974
 
    /* Allocate main Avahi loop object */
975
 
    mc.simple_poll = avahi_simple_poll_new();
976
 
    if (mc.simple_poll == NULL) {
977
 
        fprintf(stderr, "Avahi: Failed to create simple poll"
978
 
                " object.\n");
979
 
        exitcode = EXIT_FAILURE;
980
 
        goto end;
981
 
    }
982
 
 
983
 
    {
984
 
      AvahiServerConfig config;
985
 
      /* Do not publish any local Zeroconf records */
986
 
      avahi_server_config_init(&config);
987
 
      config.publish_hinfo = 0;
988
 
      config.publish_addresses = 0;
989
 
      config.publish_workstation = 0;
990
 
      config.publish_domain = 0;
991
 
 
992
 
      /* Allocate a new server */
993
 
      mc.server = avahi_server_new(avahi_simple_poll_get
994
 
                                   (mc.simple_poll), &config, NULL,
995
 
                                   NULL, &error);
996
 
    
997
 
      /* Free the Avahi configuration data */
998
 
      avahi_server_config_free(&config);
999
 
    }
1000
 
    
1001
 
    /* Check if creating the Avahi server object succeeded */
1002
 
    if (mc.server == NULL) {
1003
 
        fprintf(stderr, "Failed to create Avahi server: %s\n",
1004
 
                avahi_strerror(error));
1005
 
        exitcode = EXIT_FAILURE;
1006
 
        goto end;
1007
 
    }
1008
 
    
1009
 
    /* Create the Avahi service browser */
1010
 
    sb = avahi_s_service_browser_new(mc.server, if_index,
1011
 
                                     AVAHI_PROTO_INET6,
1012
 
                                     "_mandos._tcp", NULL, 0,
1013
 
                                     browse_callback, &mc);
1014
 
    if (sb == NULL) {
1015
 
        fprintf(stderr, "Failed to create service browser: %s\n",
1016
 
                avahi_strerror(avahi_server_errno(mc.server)));
1017
 
        exitcode = EXIT_FAILURE;
1018
 
        goto end;
 
590
    /* Initialize the psuedo-RNG */
 
591
    srand(time(NULL));
 
592
 
 
593
    /* Allocate main loop object */
 
594
    if (!(simple_poll = avahi_simple_poll_new())) {
 
595
        fprintf(stderr, "Failed to create simple poll object.\n");
 
596
        
 
597
        goto exit;
 
598
    }
 
599
 
 
600
    /* Do not publish any local records */
 
601
    avahi_server_config_init(&config);
 
602
    config.publish_hinfo = 0;
 
603
    config.publish_addresses = 0;
 
604
    config.publish_workstation = 0;
 
605
    config.publish_domain = 0;
 
606
 
 
607
    /* Allocate a new server */
 
608
    server = avahi_server_new(avahi_simple_poll_get(simple_poll), &config, NULL, NULL, &error);
 
609
 
 
610
    /* Free the configuration data */
 
611
    avahi_server_config_free(&config);
 
612
 
 
613
    /* Check if creating the server object succeeded */
 
614
    if (!server) {
 
615
        fprintf(stderr, "Failed to create server: %s\n", avahi_strerror(error));
 
616
        returncode = EXIT_FAILURE;
 
617
        goto exit;
 
618
    }
 
619
    
 
620
    /* Create the service browser */
 
621
    if (!(sb = avahi_s_service_browser_new(server, if_nametoindex("eth0"), AVAHI_PROTO_INET6, "_mandos._tcp", NULL, 0, browse_callback, server))) {
 
622
        fprintf(stderr, "Failed to create service browser: %s\n", avahi_strerror(avahi_server_errno(server)));
 
623
        returncode = EXIT_FAILURE;
 
624
        goto exit;
1019
625
    }
1020
626
    
1021
627
    /* Run the main loop */
1022
628
 
1023
629
    if (debug){
1024
 
      fprintf(stderr, "Starting Avahi loop search\n");
 
630
      fprintf(stderr, "Starting avahi loop search\n");
1025
631
    }
1026
632
    
1027
 
    avahi_simple_poll_loop(mc.simple_poll);
 
633
    avahi_simple_poll_loop(simple_poll);
1028
634
    
1029
 
 end:
 
635
exit:
1030
636
 
1031
637
    if (debug){
1032
638
      fprintf(stderr, "%s exiting\n", argv[0]);
1033
639
    }
1034
640
    
1035
641
    /* Cleanup things */
1036
 
    if (sb != NULL)
 
642
    if (sb)
1037
643
        avahi_s_service_browser_free(sb);
1038
644
    
1039
 
    if (mc.server != NULL)
1040
 
        avahi_server_free(mc.server);
1041
 
 
1042
 
    if (mc.simple_poll != NULL)
1043
 
        avahi_simple_poll_free(mc.simple_poll);
1044
 
    free(pubkeyfilename);
1045
 
    free(seckeyfilename);
1046
 
 
1047
 
    if (gnutls_initalized){
1048
 
      gnutls_certificate_free_credentials(mc.cred);
1049
 
      gnutls_global_deinit ();
1050
 
    }
1051
 
    
1052
 
    return exitcode;
 
645
    if (server)
 
646
        avahi_server_free(server);
 
647
 
 
648
    if (simple_poll)
 
649
        avahi_simple_poll_free(simple_poll);
 
650
 
 
651
    return ret;
1053
652
}