/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2014-03-01 09:51:07 UTC
  • mto: (237.7.272 trunk)
  • mto: This revision was merged to the branch mainline in revision 311.
  • Revision ID: teddy@recompile.se-20140301095107-wfcwbmol2a71d3xz
* mandos-keygen (keygen): Add workaround for Debian bug #737128.

Show diffs side-by-side

added added

removed removed

Lines of Context:
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
18
 
. /usr/share/debconf/confmodule
19
 
 
20
18
set -e
21
19
 
22
20
# Update the initial RAM file system image
23
21
update_initramfs()
24
22
{
25
 
    if command -v update-initramfs >/dev/null; then
26
 
        update-initramfs -k all -u
27
 
    elif command -v dracut >/dev/null; then
28
 
        dracut_version="`dpkg-query --showformat='${Version}' --show dracut`"
29
 
        if dpkg --compare-versions "$dracut_version" lt 043-1 \
30
 
                && bash -c '. /etc/dracut.conf; . /etc/dracut.conf.d/*; [ "$hostonly" != yes ]'; then
31
 
            echo 'Dracut is not configured to use hostonly mode!' >&2
32
 
            return 1
33
 
        fi
34
 
        # Logic taken from dracut.postinst
35
 
        for kernel in /boot/vmlinu[xz]-*; do
36
 
            kversion="${kernel#/boot/vmlinu[xz]-}"
37
 
            # Dracut preserves old permissions of initramfs image
38
 
            # files, so we adjust permissions before creating new
39
 
            # initramfs image containing secret keys.
40
 
            if [ -e /boot/initrd.img-"$kversion" ]; then
41
 
                chmod go-r /boot/initrd.img-"$kversion"
42
 
            else
43
 
                # An initrd image has not yet been created for this
44
 
                # kernel, possibly because this new kernel is about to
45
 
                # be, but has not yet been, installed.  In this case,
46
 
                # we create an empty file with the right permissions
47
 
                # so that Dracut will preserve those permissions when
48
 
                # it creates the real, new initrd image for this
49
 
                # kernel.
50
 
                install --mode=u=rw /dev/null \
51
 
                        /boot/initrd.img-"$kversion"
52
 
            fi
53
 
            if [ "$kversion" != "*" ]; then
54
 
                /etc/kernel/postinst.d/dracut "$kversion"
55
 
            fi
56
 
        done
 
23
    if [ -x /usr/sbin/update-initramfs ]; then
 
24
        update-initramfs -u -k all
57
25
    fi
58
26
    
59
27
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
84
52
    fi
85
53
}
86
54
 
87
 
# Create client key pairs
88
 
create_keys(){
89
 
    # If the OpenPGP key files do not exist, generate all keys using
90
 
    # mandos-keygen
91
 
    if ! [ -r /etc/keys/mandos/pubkey.txt \
92
 
              -a -r /etc/keys/mandos/seckey.txt ]; then
 
55
# Create client key pair
 
56
create_key(){
 
57
    if [ -r /etc/keys/mandos/pubkey.txt \
 
58
        -a -r /etc/keys/mandos/seckey.txt ]; then
 
59
        return 0
 
60
    fi
 
61
    if [ -x /usr/sbin/mandos-keygen ]; then
93
62
        mandos-keygen
94
 
        gpg-connect-agent KILLAGENT /bye || :
95
 
        return 0
96
 
    fi
97
 
 
98
 
    # Remove any bad TLS keys by 1.8.0-1
99
 
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
100
 
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
101
 
        # Is the key bad?
102
 
        if ! certtool --password='' \
103
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
104
 
             --outfile=/dev/null --pubkey-info --no-text \
105
 
             2>/dev/null; then
106
 
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
107
 
                  2>/dev/null || :
108
 
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
109
 
        fi
110
 
    fi
111
 
 
112
 
    # If the TLS keys already exists, do nothing
113
 
    if [ -r /etc/keys/mandos/tls-privkey.pem \
114
 
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
115
 
        return 0
116
 
    fi
117
 
 
118
 
    # Try to create the TLS keys
119
 
 
120
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
121
 
 
122
 
    if certtool --generate-privkey --password='' \
123
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
124
 
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
125
 
 
126
 
        local umask=$(umask)
127
 
        umask 077
128
 
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
129
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
130
 
 
131
 
        # First try certtool from GnuTLS
132
 
        if ! certtool --password='' \
133
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
134
 
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
135
 
             --no-text 2>/dev/null; then
136
 
            # Otherwise try OpenSSL
137
 
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
138
 
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
139
 
                rm --force /etc/keys/mandos/tls-pubkey.pem
140
 
                # None of the commands succeded; give up
141
 
                umask $umask
142
 
                return 1
143
 
            fi
144
 
        fi
145
 
        umask $umask
146
 
 
147
 
        key_id=$(mandos-keygen --passfile=/dev/null \
148
 
                     | grep --regexp="^key_id[ =]")
149
 
 
150
 
        db_version 2.0
151
 
        db_fset mandos-client/key_id seen false
152
 
        db_reset mandos-client/key_id
153
 
        db_subst mandos-client/key_id key_id $key_id
154
 
        db_input critical mandos-client/key_id || true
155
 
        db_go
156
 
        db_stop
157
 
    else
158
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
159
 
    fi
160
 
}
161
 
 
162
 
create_dh_params(){
163
 
    if [ -r /etc/keys/mandos/dhparams.pem ]; then
164
 
        return 0
165
 
    fi
166
 
    # Create a Diffe-Hellman parameters file
167
 
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
168
 
    # First try certtool from GnuTLS
169
 
    if ! certtool --generate-dh-params --sec-param high \
170
 
         --outfile "$DHFILE"; then
171
 
        # Otherwise try OpenSSL
172
 
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
173
 
             -pkeyopt dh_paramgen_prime_len:3072; then
174
 
            # None of the commands succeded; give up
175
 
            rm -- "$DHFILE"
176
 
            return 1
177
 
        fi
178
 
    fi
179
 
    sed --in-place --expression='0,/^-----BEGIN DH PARAMETERS-----$/d' \
180
 
        "$DHFILE"
181
 
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
182
 
            "$DHFILE"
183
 
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
184
 
    rm -- "$DHFILE"
 
63
    fi
185
64
}
186
65
 
187
66
case "$1" in
188
67
    configure)
189
68
        add_mandos_user "$@"
190
 
        create_keys "$@"
191
 
        create_dh_params "$@" || :
 
69
        create_key "$@"
192
70
        update_initramfs "$@"
193
 
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then
194
 
            PLUGINHELPERDIR=/usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null)/mandos/plugin-helpers
195
 
            if ! dpkg-statoverride --list "$PLUGINHELPERDIR" \
196
 
                 >/dev/null 2>&1; then
197
 
                chmod u=rwx,go= -- "$PLUGINHELPERDIR"
198
 
            fi
199
 
            if ! dpkg-statoverride --list /etc/mandos/plugin-helpers \
200
 
                 >/dev/null 2>&1; then
201
 
                chmod u=rwx,go= -- /etc/mandos/plugin-helpers
202
 
            fi
203
 
        fi
204
71
        ;;
205
72
    abort-upgrade|abort-deconfigure|abort-remove)
206
73
        ;;