/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-keygen

First version of a somewhat complete D-Bus server interface.  Also
change user/group name to "_mandos".

* debian/mandos.postinst: Rename old "mandos" user and group to
                          "_mandos"; create "_mandos" user and group
                          if none exist.
* debian/mandos-client.postinst: - '' -

* initramfs-tools-hook: Try "_mandos" before "mandos" as user and
                        group name.

* mandos (_datetime_to_dbus_struct): New; was previously local.
  (Client.started): Renamed to "last_started".  All users changed.
  (Client.started): New; boolean.
  (Client.dbus_object_path): New.
  (Client.check_command): Renamed to "checker_command".  All users
                          changed.
  (Client.__init__): Set and use "self.dbus_object_path".  Set
                     "self.started".
  (Client.start): Update "self.started".  Emit "self.PropertyChanged"
                  signals for both "started" and "last_started".
  (Client.stop): Update "self.started".  Emit "self.PropertyChanged"
                 signal for "started".
  (Client.checker_callback): Take additional "command" argument.  All
                             callers changed. Emit
                             "self.PropertyChanged" signal.
  (Client.bump_timeout): Emit "self.PropertyChanged" signal for
                         "last_checked_ok".
  (Client.start_checker): Emit "self.PropertyChanged" signal for
                          "checker_running".
  (Client.stop_checker): Emit "self.PropertyChanged" signal for
                         "checker_running".
  (Client.still_valid): Bug fix: use "getattr(self, started, False)"
                        instead of "self.started" in case this client
                        object is so new that the "started" attribute
                        has not been created yet.
  (Client.IntervalChanged, Client.CheckerIsRunning, Client.GetChecker,
  Client.GetCreated, Client.GetFingerprint, Client.GetHost,
  Client.GetInterval, Client.GetName, Client.GetStarted,
  Client.GetTimeout, Client.StateChanged, Client.TimeoutChanged):
  Removed; all callers changed.
  (Client.CheckerCompleted): Add "condition" and "command" arguments.
                             All callers changed.
  (Client.GetAllProperties, Client.PropertyChanged): New.
  (Client.StillValid): Renamed to "IsStillValid".
  (Client.StartChecker): Changed to its own function to avoid the
                         return value from "Client.start_checker()".
  (Client.Stop): Changed to its own function to avoid the return value
                 from "Client.stop()".
  (main): Try "_mandos" before "mandos" as user and group name.
          Removed inner function "remove_from_clients".  New inner
          class "MandosServer".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
#!/bin/sh -e
2
2
3
 
# Mandos key generator - create new keys for a Mandos client
4
 
5
 
# Copyright © 2008-2019 Teddy Hogeborn
6
 
# Copyright © 2008-2019 Björn Påhlsson
7
 
8
 
# This file is part of Mandos.
9
 
#
10
 
# Mandos is free software: you can redistribute it and/or modify it
11
 
# under the terms of the GNU General Public License as published by
 
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
 
4
 
5
# Copyright © 2008 Teddy Hogeborn
 
6
# Copyright © 2008 Björn Påhlsson
 
7
 
8
# This program is free software: you can redistribute it and/or modify
 
9
# it under the terms of the GNU General Public License as published by
12
10
# the Free Software Foundation, either version 3 of the License, or
13
11
# (at your option) any later version.
14
12
#
15
 
#     Mandos is distributed in the hope that it will be useful, but
16
 
#     WITHOUT ANY WARRANTY; without even the implied warranty of
 
13
#     This program is distributed in the hope that it will be useful,
 
14
#     but WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18
16
#     GNU General Public License for more details.
19
17
20
18
# You should have received a copy of the GNU General Public License
21
 
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
19
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
22
20
23
 
# Contact the authors at <mandos@recompile.se>.
 
21
# Contact the authors at <mandos@fukt.bsnet.se>.
24
22
25
23
 
26
 
VERSION="1.7.20"
 
24
VERSION="1.0.2"
27
25
 
28
26
KEYDIR="/etc/keys/mandos"
29
 
KEYTYPE=RSA
30
 
KEYLENGTH=4096
31
 
SUBKEYTYPE=RSA
32
 
SUBKEYLENGTH=4096
 
27
KEYTYPE=DSA
 
28
KEYLENGTH=2048
 
29
SUBKEYTYPE=ELG-E
 
30
SUBKEYLENGTH=2048
33
31
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
34
32
KEYEMAIL=""
35
 
KEYCOMMENT=""
 
33
KEYCOMMENT="Mandos client key"
36
34
KEYEXPIRE=0
37
 
TLS_KEYTYPE=ed25519
38
35
FORCE=no
39
 
SSH=yes
40
36
KEYCOMMENT_ORIG="$KEYCOMMENT"
41
37
mode=keygen
42
38
 
45
41
fi
46
42
 
47
43
# Parse options
48
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:T:fS \
49
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,tls-keytype:,force,no-ssh \
 
44
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:f \
 
45
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
50
46
    --name "$0" -- "$@"`
51
47
 
52
48
help(){
53
 
basename="`basename "$0"`"
 
49
basename="`basename $0`"
54
50
cat <<EOF
55
51
Usage: $basename [ -v | --version ]
56
52
       $basename [ -h | --help ]
64
60
  -v, --version         Show program's version number and exit
65
61
  -h, --help            Show this help message and exit
66
62
  -d DIR, --dir DIR     Target directory for key files
67
 
  -t TYPE, --type TYPE  OpenPGP key type.  Default is RSA.
 
63
  -t TYPE, --type TYPE  Key type.  Default is DSA.
68
64
  -l BITS, --length BITS
69
 
                        OpenPGP key length in bits.  Default is 4096.
 
65
                        Key length in bits.  Default is 2048.
70
66
  -s TYPE, --subtype TYPE
71
 
                        OpenPGP subkey type.  Default is RSA.
 
67
                        Subkey type.  Default is ELG-E.
72
68
  -L BITS, --sublength BITS
73
 
                        OpenPGP subkey length in bits.  Default 4096.
 
69
                        Subkey length in bits.  Default is 2048.
74
70
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
75
71
  -e ADDRESS, --email ADDRESS
76
 
                        Email address of OpenPGP key.  Default empty.
 
72
                        Email address of key.  Default is empty.
77
73
  -c TEXT, --comment TEXT
78
 
                        Comment field for OpenPGP key.  Default empty.
 
74
                        Comment field for key.  The default value is
 
75
                        "Mandos client key".
79
76
  -x TIME, --expire TIME
80
 
                        OpenPGP key expire time.  Default is none.
 
77
                        Key expire time.  Default is no expiration.
81
78
                        See gpg(1) for syntax.
82
 
  -T TYPE, --tls-keytype TYPE
83
 
                        TLS key type.  Default is ed25519.
84
79
  -f, --force           Force overwriting old key files.
85
80
 
86
81
Password creation options:
91
86
                        Encrypt a password from FILE using the key in
92
87
                        the key directory.  All options other than
93
88
                        --dir and --name are ignored.
94
 
  -S, --no-ssh          Don't get SSH key or set "checker" option.
95
89
EOF
96
90
}
97
91
 
109
103
        -e|--email) KEYEMAIL="$2"; shift 2;;
110
104
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
111
105
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
112
 
        -T|--tls-keytype) TLS_KEYTYPE="$2"; shift 2;;
113
106
        -f|--force) FORCE=yes; shift;;
114
 
        -S|--no-ssh) SSH=no; shift;;
115
107
        -v|--version) echo "$0 $VERSION"; exit;;
116
108
        -h|--help) help; exit;;
117
109
        --) shift; break;;
119
111
    esac
120
112
done
121
113
if [ "$#" -gt 0 ]; then
122
 
    echo "Unknown arguments: '$*'" >&2
 
114
    echo "Unknown arguments: '$@'" >&2
123
115
    exit 1
124
116
fi
125
117
 
126
118
SECKEYFILE="$KEYDIR/seckey.txt"
127
119
PUBKEYFILE="$KEYDIR/pubkey.txt"
128
 
TLS_PRIVKEYFILE="$KEYDIR/tls-privkey.pem"
129
 
TLS_PUBKEYFILE="$KEYDIR/tls-pubkey.pem"
130
120
 
131
121
# Check for some invalid values
132
122
if [ ! -d "$KEYDIR" ]; then
157
147
        echo "Invalid key length" >&2
158
148
        exit 1
159
149
    fi
160
 
    
 
150
 
161
151
    if [ -z "$KEYEXPIRE" ]; then
162
152
        echo "Empty key expiration" >&2
163
153
        exit 1
169
159
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
170
160
    esac
171
161
    
172
 
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ] \
173
 
             || [ -e "$TLS_PRIVKEYFILE" ] \
174
 
             || [ -e "$TLS_PUBKEYFILE" ]; } \
175
 
        && [ "$FORCE" -eq 0 ]; then
 
162
    if [ \( -e "$SECKEYFILE" -o -e "$PUBKEYFILE" \) \
 
163
        -a "$FORCE" -eq 0 ]; then
176
164
        echo "Refusing to overwrite old key files; use --force" >&2
177
165
        exit 1
178
166
    fi
184
172
    if [ -n "$KEYEMAIL" ]; then
185
173
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
186
174
    fi
187
 
    
 
175
 
188
176
    # Create temporary gpg batch file
189
177
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
190
178
fi
201
189
trap "
202
190
set +e; \
203
191
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
204
 
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
 
192
shred --remove \"$RINGDIR\"/sec*;
205
193
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
206
194
rm --recursive --force \"$RINGDIR\";
207
 
tty --quiet && stty echo; \
 
195
stty echo; \
208
196
" EXIT
209
197
 
210
 
set -e
211
 
 
212
198
umask 077
213
199
 
214
200
if [ "$mode" = keygen ]; then
216
202
    cat >"$BATCHFILE" <<-EOF
217
203
        Key-Type: $KEYTYPE
218
204
        Key-Length: $KEYLENGTH
219
 
        Key-Usage: sign,auth
 
205
        #Key-Usage: encrypt,sign,auth
220
206
        Subkey-Type: $SUBKEYTYPE
221
207
        Subkey-Length: $SUBKEYLENGTH
222
 
        Subkey-Usage: encrypt
 
208
        #Subkey-Usage: encrypt,sign,auth
223
209
        Name-Real: $KEYNAME
224
210
        $KEYCOMMENTLINE
225
211
        $KEYEMAILLINE
228
214
        #Handle: <no-spaces>
229
215
        #%pubring pubring.gpg
230
216
        #%secring secring.gpg
231
 
        %no-protection
232
217
        %commit
233
218
        EOF
234
219
    
235
 
    if tty --quiet; then
236
 
        cat <<-EOF
237
 
        Note: Due to entropy requirements, key generation could take
238
 
        anything from a few minutes to SEVERAL HOURS.  Please be
239
 
        patient and/or supply the system with more entropy if needed.
240
 
        EOF
241
 
        echo -n "Started: "
242
 
        date
243
 
    fi
244
 
    
245
 
    # Backup any old key files
246
 
    if cp --backup=numbered --force "$TLS_PRIVKEYFILE" "$TLS_PRIVKEYFILE" \
247
 
        2>/dev/null; then
248
 
        shred --remove "$TLS_PRIVKEYFILE"
249
 
    fi
250
 
    if cp --backup=numbered --force "$TLS_PUBKEYFILE" "$TLS_PUBKEYFILE" \
251
 
        2>/dev/null; then
252
 
        rm --force "$TLS_PUBKEYFILE"
253
 
    fi
254
 
 
255
 
    ## Generate TLS private key
256
 
 
257
 
    # First try certtool from GnuTLS
258
 
    if ! certtool --generate-privkey --password='' \
259
 
         --outfile "$TLS_PRIVKEYFILE" --sec-param ultra \
260
 
         --key-type="$TLS_KEYTYPE" --pkcs8 --no-text 2>/dev/null; then
261
 
        # Otherwise try OpenSSL
262
 
        if ! openssl genpkey -algorithm X25519 -out \
263
 
             /etc/keys/mandos/tls-privkey.pem; then
264
 
            rm --force /etc/keys/mandos/tls-privkey.pem
265
 
            # None of the commands succeded; give up
266
 
            return 1
267
 
        fi
268
 
    fi
269
 
 
270
 
    ## TLS public key
271
 
 
272
 
    # First try certtool from GnuTLS
273
 
    if ! certtool --password='' --load-privkey="$TLS_PRIVKEYFILE" \
274
 
         --outfile="$TLS_PUBKEYFILE" --pubkey-info --no-text \
275
 
         2>/dev/null; then
276
 
        # Otherwise try OpenSSL
277
 
        if ! openssl pkey -in "$TLS_PRIVKEYFILE" \
278
 
             -out "$TLS_PUBKEYFILE" -pubout; then
279
 
            rm --force "$TLS_PUBKEYFILE"
280
 
            # None of the commands succeded; give up
281
 
            return 1
282
 
        fi
283
 
    fi
284
 
    
285
 
    # Make sure trustdb.gpg exists;
286
 
    # this is a workaround for Debian bug #737128
287
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
288
 
        --homedir "$RINGDIR" \
289
 
        --import-ownertrust < /dev/null
290
220
    # Generate a new key in the key rings
291
221
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
292
222
        --homedir "$RINGDIR" --trust-model always \
293
223
        --gen-key "$BATCHFILE"
294
224
    rm --force "$BATCHFILE"
295
225
    
296
 
    if tty --quiet; then
297
 
        echo -n "Finished: "
298
 
        date
299
 
    fi
300
 
    
301
226
    # Backup any old key files
302
227
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
303
228
        2>/dev/null; then
328
253
fi
329
254
 
330
255
if [ "$mode" = password ]; then
331
 
    
332
 
    # Make SSH be 0 or 1
333
 
    case "$SSH" in
334
 
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
335
 
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
336
 
    esac
337
 
    
338
 
    if [ $SSH -eq 1 ]; then
339
 
        for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
340
 
            set +e
341
 
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
342
 
            err=$?
343
 
            set -e
344
 
            if [ $err -ne 0 ]; then
345
 
                ssh_fingerprint=""
346
 
                continue
347
 
            fi
348
 
            if [ -n "$ssh_fingerprint" ]; then
349
 
                ssh_fingerprint="${ssh_fingerprint#localhost }"
350
 
                break
351
 
            fi
352
 
        done
353
 
    fi
354
 
    
355
256
    # Import key into temporary key rings
356
257
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
357
258
        --homedir "$RINGDIR" --trust-model always --armor \
362
263
    
363
264
    # Get fingerprint of key
364
265
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
365
 
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
 
266
        --enable-dsa2 --homedir \"$RINGDIR\" --trust-model always \
366
267
        --fingerprint --with-colons \
367
268
        | sed --quiet \
368
269
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
369
270
    
370
271
    test -n "$FINGERPRINT"
371
272
    
372
 
    KEY_ID="$(certtool --key-id --hash=sha256 \
373
 
                       --infile="$TLS_PUBKEYFILE" 2>/dev/null || :)"
374
 
 
375
 
    if [ -z "$KEY_ID" ]; then
376
 
        KEY_ID=$(openssl pkey -pubin -in /tmp/tls-pubkey.pem \
377
 
                         -outform der \
378
 
                     | openssl sha256 \
379
 
                     | sed --expression='s/^.*[^[:xdigit:]]//')
380
 
    fi
381
 
    test -n "$KEY_ID"
382
 
    
383
273
    FILECOMMENT="Encrypted password for a Mandos client"
384
274
    
385
 
    while [ ! -s "$SECFILE" ]; do
386
 
        if [ -n "$PASSFILE" ]; then
387
 
            cat "$PASSFILE"
 
275
    if [ -n "$PASSFILE" ]; then
 
276
        cat "$PASSFILE"
 
277
    else
 
278
        stty -echo
 
279
        echo -n "Enter passphrase: " >&2
 
280
        first="$(head --lines=1 | tr --delete '\n')"
 
281
        echo -n -e "\nRepeat passphrase: " >&2
 
282
        second="$(head --lines=1 | tr --delete '\n')"
 
283
        echo >&2
 
284
        stty echo
 
285
        if [ "$first" != "$second" ]; then
 
286
            echo -e "Passphrase mismatch" >&2
 
287
            false
388
288
        else
389
 
            tty --quiet && stty -echo
390
 
            echo -n "Enter passphrase: " >/dev/tty
391
 
            read -r first
392
 
            tty --quiet && echo >&2
393
 
            echo -n "Repeat passphrase: " >/dev/tty
394
 
            read -r second
395
 
            if tty --quiet; then
396
 
                echo >&2
397
 
                stty echo
398
 
            fi
399
 
            if [ "$first" != "$second" ]; then
400
 
                echo "Passphrase mismatch" >&2
401
 
                touch "$RINGDIR"/mismatch
402
 
            else
403
 
                echo -n "$first"
404
 
            fi
405
 
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
406
 
            --homedir "$RINGDIR" --trust-model always --armor \
407
 
            --encrypt --sign --recipient "$FINGERPRINT" --comment \
408
 
            "$FILECOMMENT" > "$SECFILE"
409
 
        if [ -e "$RINGDIR"/mismatch ]; then
410
 
            rm --force "$RINGDIR"/mismatch
411
 
            if tty --quiet; then
412
 
                > "$SECFILE"
413
 
            else
414
 
                exit 1
415
 
            fi
 
289
            echo -n "$first"
416
290
        fi
417
 
    done
 
291
    fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
292
        --homedir "$RINGDIR" --trust-model always --armor --encrypt \
 
293
        --sign --recipient "$FINGERPRINT" --comment "$FILECOMMENT" \
 
294
        > "$SECFILE"
 
295
    status="${PIPESTATUS[0]}"
 
296
    if [ "$status" -ne 0 ]; then
 
297
        exit "$status"
 
298
    fi
418
299
    
419
300
    cat <<-EOF
420
301
        [$KEYNAME]
421
302
        host = $KEYNAME
422
 
        key_id = $KEY_ID
423
303
        fingerprint = $FINGERPRINT
424
304
        secret =
425
305
        EOF
432
312
                /^[^-]/s/^/    /p
433
313
            }
434
314
        }' < "$SECFILE"
435
 
    if [ -n "$ssh_fingerprint" ]; then
436
 
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
437
 
        echo "ssh_fingerprint = ${ssh_fingerprint}"
438
 
    fi
439
315
fi
440
316
 
441
317
trap - EXIT
446
322
    shred --remove "$SECFILE"
447
323
fi
448
324
# Remove the key rings
449
 
shred --remove "$RINGDIR"/sec* 2>/dev/null
 
325
shred --remove "$RINGDIR"/sec*
450
326
rm --recursive --force "$RINGDIR"