/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugin-runner.c

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • mto: (237.7.304 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
/*
3
3
 * Mandos plugin runner - Run Mandos plugins
4
4
 *
5
 
 * Copyright © 2008-2018 Teddy Hogeborn
6
 
 * Copyright © 2008-2018 Björn Påhlsson
7
 
 * 
8
 
 * This file is part of Mandos.
9
 
 * 
10
 
 * Mandos is free software: you can redistribute it and/or modify it
11
 
 * under the terms of the GNU General Public License as published by
12
 
 * the Free Software Foundation, either version 3 of the License, or
13
 
 * (at your option) any later version.
14
 
 * 
15
 
 * Mandos is distributed in the hope that it will be useful, but
 
5
 * Copyright © 2008-2014 Teddy Hogeborn
 
6
 * Copyright © 2008-2014 Björn Påhlsson
 
7
 * 
 
8
 * This program is free software: you can redistribute it and/or
 
9
 * modify it under the terms of the GNU General Public License as
 
10
 * published by the Free Software Foundation, either version 3 of the
 
11
 * License, or (at your option) any later version.
 
12
 * 
 
13
 * This program is distributed in the hope that it will be useful, but
16
14
 * WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
18
16
 * General Public License for more details.
19
17
 * 
20
18
 * You should have received a copy of the GNU General Public License
21
 
 * along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
19
 * along with this program.  If not, see
 
20
 * <http://www.gnu.org/licenses/>.
22
21
 * 
23
22
 * Contact the authors at <mandos@recompile.se>.
24
23
 */
38
37
#include <sys/select.h>         /* fd_set, select(), FD_ZERO(),
39
38
                                   FD_SET(), FD_ISSET(), FD_CLR */
40
39
#include <sys/wait.h>           /* wait(), waitpid(), WIFEXITED(),
41
 
                                   WEXITSTATUS(), WTERMSIG() */
 
40
                                   WEXITSTATUS(), WTERMSIG(),
 
41
                                   WCOREDUMP() */
42
42
#include <sys/stat.h>           /* struct stat, fstat(), S_ISREG() */
43
43
#include <iso646.h>             /* and, or, not */
44
44
#include <dirent.h>             /* struct dirent, scandirat() */
76
76
#define BUFFER_SIZE 256
77
77
 
78
78
#define PDIR "/lib/mandos/plugins.d"
79
 
#define PHDIR "/lib/mandos/plugin-helpers"
80
79
#define AFILE "/conf/conf.d/mandos/plugin-runner.conf"
81
80
 
82
81
const char *argp_program_version = "plugin-runner " VERSION;
313
312
__attribute__((nonnull))
314
313
static void free_plugin(plugin *plugin_node){
315
314
  
316
 
  for(char **arg = (plugin_node->argv)+1; *arg != NULL; arg++){
 
315
  for(char **arg = plugin_node->argv; *arg != NULL; arg++){
317
316
    free(*arg);
318
317
  }
319
 
  free(plugin_node->name);
320
318
  free(plugin_node->argv);
321
319
  for(char **env = plugin_node->environ; *env != NULL; env++){
322
320
    free(*env);
349
347
 
350
348
int main(int argc, char *argv[]){
351
349
  char *plugindir = NULL;
352
 
  char *pluginhelperdir = NULL;
353
350
  char *argfile = NULL;
354
351
  FILE *conffp;
355
352
  struct dirent **direntries = NULL;
417
414
      .doc = "Group ID the plugins will run as", .group = 3 },
418
415
    { .name = "debug", .key = 132,
419
416
      .doc = "Debug mode", .group = 4 },
420
 
    { .name = "plugin-helper-dir", .key = 133,
421
 
      .arg = "DIRECTORY",
422
 
      .doc = "Specify a different plugin helper directory",
423
 
      .group = 2 },
424
417
    /*
425
418
     * These reproduce what we would get without ARGP_NO_HELP
426
419
     */
552
545
    case 132:                   /* --debug */
553
546
      debug = true;
554
547
      break;
555
 
    case 133:                   /* --plugin-helper-dir */
556
 
      free(pluginhelperdir);
557
 
      pluginhelperdir = strdup(arg);
558
 
      if(pluginhelperdir != NULL){
559
 
        errno = 0;
560
 
      }
561
 
      break;
562
548
      /*
563
549
       * These reproduce what we would get without ARGP_NO_HELP
564
550
       */
565
551
    case '?':                   /* --help */
566
552
      state->flags &= ~(unsigned int)ARGP_NO_EXIT; /* force exit */
567
553
      argp_state_help(state, state->out_stream, ARGP_HELP_STD_HELP);
568
 
      __builtin_unreachable();
569
554
    case -3:                    /* --usage */
570
555
      state->flags &= ~(unsigned int)ARGP_NO_EXIT; /* force exit */
571
556
      argp_state_help(state, state->out_stream,
572
557
                      ARGP_HELP_USAGE | ARGP_HELP_EXIT_OK);
573
 
      __builtin_unreachable();
574
558
    case 'V':                   /* --version */
575
559
      fprintf(state->out_stream, "%s\n", argp_program_version);
576
560
      exit(EXIT_SUCCESS);
586
570
      if(arg[0] == '\0'){
587
571
        break;
588
572
      }
589
 
#if __GNUC__ >= 7
590
 
      __attribute__((fallthrough));
591
 
#else
592
 
          /* FALLTHROUGH */
593
 
#endif
594
573
    default:
595
574
      return ARGP_ERR_UNKNOWN;
596
575
    }
622
601
    case 130:                   /* --userid */
623
602
    case 131:                   /* --groupid */
624
603
    case 132:                   /* --debug */
625
 
    case 133:                   /* --plugin-helper-dir */
626
604
    case '?':                   /* --help */
627
605
    case -3:                    /* --usage */
628
606
    case 'V':                   /* --version */
709
687
        custom_argc += 1;
710
688
        {
711
689
          char **new_argv = realloc(custom_argv, sizeof(char *)
712
 
                                    * ((size_t)custom_argc + 1));
 
690
                                    * ((unsigned int)
 
691
                                       custom_argc + 1));
713
692
          if(new_argv == NULL){
714
693
            error(0, errno, "realloc");
715
694
            exitstatus = EX_OSERR;
782
761
    goto fallback;
783
762
  }
784
763
  
785
 
  {
786
 
    char *pluginhelperenv;
787
 
    bool bret = true;
788
 
    ret = asprintf(&pluginhelperenv, "MANDOSPLUGINHELPERDIR=%s",
789
 
                   pluginhelperdir != NULL ? pluginhelperdir : PHDIR);
790
 
    if(ret != -1){
791
 
      bret = add_environment(getplugin(NULL), pluginhelperenv, true);
792
 
    }
793
 
    if(ret == -1 or not bret){
794
 
      error(0, errno, "Failed to set MANDOSPLUGINHELPERDIR"
795
 
            " environment variable to \"%s\" for all plugins\n",
796
 
            pluginhelperdir != NULL ? pluginhelperdir : PHDIR);
797
 
    }
798
 
    if(ret != -1){
799
 
      free(pluginhelperenv);
800
 
    }
801
 
  }
802
 
  
803
764
  if(debug){
804
 
    for(plugin *p = plugin_list; p != NULL; p = p->next){
 
765
    for(plugin *p = plugin_list; p != NULL; p=p->next){
805
766
      fprintf(stderr, "Plugin: %s has %d arguments\n",
806
767
              p->name ? p->name : "Global", p->argc - 1);
807
768
      for(char **a = p->argv; *a != NULL; a++){
816
777
  
817
778
  if(getuid() == 0){
818
779
    /* Work around Debian bug #633582:
819
 
       <https://bugs.debian.org/633582> */
 
780
       <http://bugs.debian.org/633582> */
820
781
    int plugindir_fd = open(/* plugindir or */ PDIR, O_RDONLY);
821
782
    if(plugindir_fd == -1){
822
783
      if(errno != ENOENT){
834
795
          }
835
796
        }
836
797
      }
837
 
      close(plugindir_fd);
 
798
      TEMP_FAILURE_RETRY(close(plugindir_fd));
838
799
    }
839
800
  }
840
801
  
899
860
    return 1;
900
861
  }
901
862
  
 
863
#ifdef __GLIBC__
 
864
#if __GLIBC_PREREQ(2, 15)
902
865
  int numplugins = scandirat(dir_fd, ".", &direntries, good_name,
903
866
                             alphasort);
 
867
#else  /* not __GLIBC_PREREQ(2, 15) */
 
868
  int numplugins = scandir(plugindir != NULL ? plugindir : PDIR,
 
869
                           &direntries, good_name, alphasort);
 
870
#endif  /* not __GLIBC_PREREQ(2, 15) */
 
871
#else   /* not __GLIBC__ */
 
872
  int numplugins = scandir(plugindir != NULL ? plugindir : PDIR,
 
873
                           &direntries, good_name, alphasort);
 
874
#endif  /* not __GLIBC__ */
904
875
  if(numplugins == -1){
905
876
    error(0, errno, "Could not scan plugin dir");
906
877
    direntries = NULL;
922
893
    ret = (int)TEMP_FAILURE_RETRY(fstat(plugin_fd, &st));
923
894
    if(ret == -1){
924
895
      error(0, errno, "stat");
925
 
      close(plugin_fd);
 
896
      TEMP_FAILURE_RETRY(close(plugin_fd));
926
897
      free(direntries[i]);
927
898
      continue;
928
899
    }
937
908
                plugindir != NULL ? plugindir : PDIR,
938
909
                direntries[i]->d_name);
939
910
      }
940
 
      close(plugin_fd);
 
911
      TEMP_FAILURE_RETRY(close(plugin_fd));
941
912
      free(direntries[i]);
942
913
      continue;
943
914
    }
945
916
    plugin *p = getplugin(direntries[i]->d_name);
946
917
    if(p == NULL){
947
918
      error(0, errno, "getplugin");
948
 
      close(plugin_fd);
 
919
      TEMP_FAILURE_RETRY(close(plugin_fd));
949
920
      free(direntries[i]);
950
921
      continue;
951
922
    }
954
925
        fprintf(stderr, "Ignoring disabled plugin \"%s\"\n",
955
926
                direntries[i]->d_name);
956
927
      }
957
 
      close(plugin_fd);
 
928
      TEMP_FAILURE_RETRY(close(plugin_fd));
958
929
      free(direntries[i]);
959
930
      continue;
960
931
    }
1000
971
    if(pipefd[0] >= FD_SETSIZE){
1001
972
      fprintf(stderr, "pipe()[0] (%d) >= FD_SETSIZE (%d)", pipefd[0],
1002
973
              FD_SETSIZE);
1003
 
      close(pipefd[0]);
1004
 
      close(pipefd[1]);
 
974
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
975
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1005
976
      exitstatus = EX_OSERR;
1006
977
      free(direntries[i]);
1007
978
      goto fallback;
1011
982
    ret = set_cloexec_flag(pipefd[0]);
1012
983
    if(ret < 0){
1013
984
      error(0, errno, "set_cloexec_flag");
1014
 
      close(pipefd[0]);
1015
 
      close(pipefd[1]);
 
985
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
986
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1016
987
      exitstatus = EX_OSERR;
1017
988
      free(direntries[i]);
1018
989
      goto fallback;
1020
991
    ret = set_cloexec_flag(pipefd[1]);
1021
992
    if(ret < 0){
1022
993
      error(0, errno, "set_cloexec_flag");
1023
 
      close(pipefd[0]);
1024
 
      close(pipefd[1]);
 
994
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
995
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1025
996
      exitstatus = EX_OSERR;
1026
997
      free(direntries[i]);
1027
998
      goto fallback;
1046
1017
      error(0, errno, "fork");
1047
1018
      TEMP_FAILURE_RETRY(sigprocmask(SIG_UNBLOCK,
1048
1019
                                     &sigchld_action.sa_mask, NULL));
1049
 
      close(pipefd[0]);
1050
 
      close(pipefd[1]);
 
1020
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
1021
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1051
1022
      exitstatus = EX_OSERR;
1052
1023
      free(direntries[i]);
1053
1024
      goto fallback;
1081
1052
      /* no return */
1082
1053
    }
1083
1054
    /* Parent process */
1084
 
    close(pipefd[1]);           /* Close unused write end of pipe */
1085
 
    close(plugin_fd);
 
1055
    TEMP_FAILURE_RETRY(close(pipefd[1])); /* Close unused write end of
 
1056
                                             pipe */
 
1057
    TEMP_FAILURE_RETRY(close(plugin_fd));
1086
1058
    plugin *new_plugin = getplugin(direntries[i]->d_name);
1087
1059
    if(new_plugin == NULL){
1088
1060
      error(0, errno, "getplugin");
1100
1072
    
1101
1073
    new_plugin->pid = pid;
1102
1074
    new_plugin->fd = pipefd[0];
1103
 
 
1104
 
    if(debug){
1105
 
      fprintf(stderr, "Plugin %s started (PID %" PRIdMAX ")\n",
1106
 
              new_plugin->name, (intmax_t) (new_plugin->pid));
1107
 
    }
1108
 
 
 
1075
    
1109
1076
    /* Unblock SIGCHLD so signal handler can be run if this process
1110
1077
       has already completed */
1111
1078
    ret = (int)TEMP_FAILURE_RETRY(sigprocmask(SIG_UNBLOCK,
1117
1084
      goto fallback;
1118
1085
    }
1119
1086
    
1120
 
    FD_SET(new_plugin->fd, &rfds_all);
 
1087
#if defined (__GNUC__) and defined (__GLIBC__)
 
1088
#if not __GLIBC_PREREQ(2, 16)
 
1089
#pragma GCC diagnostic push
 
1090
#pragma GCC diagnostic ignored "-Wsign-conversion"
 
1091
#endif
 
1092
#endif
 
1093
    FD_SET(new_plugin->fd, &rfds_all); /* Spurious warning from
 
1094
                                          -Wconversion in GNU libc
 
1095
                                          before 2.16 */
 
1096
#if defined (__GNUC__) and defined (__GLIBC__)
 
1097
#if not __GLIBC_PREREQ(2, 16)
 
1098
#pragma GCC diagnostic pop
 
1099
#endif
 
1100
#endif
1121
1101
    
1122
1102
    if(maxfd < new_plugin->fd){
1123
1103
      maxfd = new_plugin->fd;
1126
1106
  
1127
1107
  free(direntries);
1128
1108
  direntries = NULL;
1129
 
  close(dir_fd);
 
1109
  TEMP_FAILURE_RETRY(close(dir_fd));
1130
1110
  dir_fd = -1;
1131
1111
  free_plugin(getplugin(NULL));
1132
1112
  
1172
1152
                      (intmax_t) (proc->pid),
1173
1153
                      WTERMSIG(proc->status),
1174
1154
                      strsignal(WTERMSIG(proc->status)));
 
1155
            } else if(WCOREDUMP(proc->status)){
 
1156
              fprintf(stderr, "Plugin %s [%" PRIdMAX "] dumped"
 
1157
                      " core\n", proc->name, (intmax_t) (proc->pid));
1175
1158
            }
1176
1159
          }
1177
1160
          
1178
1161
          /* Remove the plugin */
1179
 
          FD_CLR(proc->fd, &rfds_all);
 
1162
#if defined (__GNUC__) and defined (__GLIBC__)
 
1163
#if not __GLIBC_PREREQ(2, 16)
 
1164
#pragma GCC diagnostic push
 
1165
#pragma GCC diagnostic ignored "-Wsign-conversion"
 
1166
#endif
 
1167
#endif
 
1168
          FD_CLR(proc->fd, &rfds_all); /* Spurious warning from
 
1169
                                          -Wconversion in GNU libc
 
1170
                                          before 2.16 */
 
1171
#if defined (__GNUC__) and defined (__GLIBC__)
 
1172
#if not __GLIBC_PREREQ(2, 16)
 
1173
#pragma GCC diagnostic pop
 
1174
#endif
 
1175
#endif
1180
1176
          
1181
1177
          /* Block signal while modifying process_list */
1182
1178
          ret = (int)TEMP_FAILURE_RETRY(sigprocmask
1222
1218
      }
1223
1219
      
1224
1220
      /* This process has not completed.  Does it have any output? */
1225
 
      if(proc->eof or not FD_ISSET(proc->fd, &rfds)){
 
1221
#if defined (__GNUC__) and defined (__GLIBC__)
 
1222
#if not __GLIBC_PREREQ(2, 16)
 
1223
#pragma GCC diagnostic push
 
1224
#pragma GCC diagnostic ignored "-Wsign-conversion"
 
1225
#endif
 
1226
#endif
 
1227
      if(proc->eof or not FD_ISSET(proc->fd, &rfds)){ /* Spurious
 
1228
                                                         warning from
 
1229
                                                         -Wconversion
 
1230
                                                         in GNU libc
 
1231
                                                         before
 
1232
                                                         2.16 */
 
1233
#if defined (__GNUC__) and defined (__GLIBC__)
 
1234
#if not __GLIBC_PREREQ(2, 16)
 
1235
#pragma GCC diagnostic pop
 
1236
#endif
 
1237
#endif
1226
1238
        /* This process had nothing to say at this time */
1227
1239
        proc = proc->next;
1228
1240
        continue;
1298
1310
  free(direntries);
1299
1311
  
1300
1312
  if(dir_fd != -1){
1301
 
    close(dir_fd);
 
1313
    TEMP_FAILURE_RETRY(close(dir_fd));
1302
1314
  }
1303
1315
  
1304
1316
  /* Kill the processes */
1324
1336
  free_plugin_list();
1325
1337
  
1326
1338
  free(plugindir);
1327
 
  free(pluginhelperdir);
1328
1339
  free(argfile);
1329
1340
  
1330
1341
  return exitstatus;