/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/password-prompt.c

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • mto: (237.7.304 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
/*
3
3
 * Password-prompt - Read a password from the terminal and print it
4
4
 * 
5
 
 * Copyright © 2008,2009 Teddy Hogeborn
6
 
 * Copyright © 2008,2009 Björn Påhlsson
 
5
 * Copyright © 2008-2014 Teddy Hogeborn
 
6
 * Copyright © 2008-2014 Björn Påhlsson
7
7
 * 
8
8
 * This program is free software: you can redistribute it and/or
9
9
 * modify it under the terms of the GNU General Public License as
19
19
 * along with this program.  If not, see
20
20
 * <http://www.gnu.org/licenses/>.
21
21
 * 
22
 
 * Contact the authors at <mandos@fukt.bsnet.se>.
 
22
 * Contact the authors at <mandos@recompile.se>.
23
23
 */
24
24
 
25
 
#define _GNU_SOURCE             /* getline() */
 
25
#define _GNU_SOURCE             /* getline(), asprintf() */
26
26
 
27
 
#include <termios.h>            /* struct termios, tcsetattr(),
 
27
#include <termios.h>            /* struct termios, tcsetattr(),
28
28
                                   TCSAFLUSH, tcgetattr(), ECHO */
29
29
#include <unistd.h>             /* struct termios, tcsetattr(),
30
30
                                   STDIN_FILENO, TCSAFLUSH,
31
 
                                   tcgetattr(), ECHO */
 
31
                                   tcgetattr(), ECHO, readlink() */
32
32
#include <signal.h>             /* sig_atomic_t, raise(), struct
33
33
                                   sigaction, sigemptyset(),
34
34
                                   sigaction(), sigaddset(), SIGINT,
35
35
                                   SIGQUIT, SIGHUP, SIGTERM,
36
36
                                   raise() */
37
37
#include <stddef.h>             /* NULL, size_t, ssize_t */
38
 
#include <sys/types.h>          /* ssize_t */
 
38
#include <sys/types.h>          /* ssize_t, struct dirent, pid_t,
 
39
                                   ssize_t, open() */
39
40
#include <stdlib.h>             /* EXIT_SUCCESS, EXIT_FAILURE,
40
 
                                   getenv() */
 
41
                                   getenv(), free() */
 
42
#include <dirent.h>             /* scandir(), alphasort() */
41
43
#include <stdio.h>              /* fprintf(), stderr, getline(),
42
 
                                   stdin, feof(), perror(), fputc()
43
 
                                */
 
44
                                   stdin, feof(), fputc(), vfprintf(),
 
45
                                   vasprintf() */
44
46
#include <errno.h>              /* errno, EBADF, ENOTTY, EINVAL,
45
47
                                   EFAULT, EFBIG, EIO, ENOSPC, EINTR
46
48
                                */
 
49
#include <error.h>              /* error() */
47
50
#include <iso646.h>             /* or, not */
48
51
#include <stdbool.h>            /* bool, false, true */
49
 
#include <string.h>             /* strlen, rindex, strncmp, strcmp */
 
52
#include <inttypes.h>           /* strtoumax() */
 
53
#include <sys/stat.h>           /* struct stat, lstat(), open() */
 
54
#include <string.h>             /* strlen, rindex, memcmp, strerror()
 
55
                                 */
50
56
#include <argp.h>               /* struct argp_option, struct
51
57
                                   argp_state, struct argp,
52
58
                                   argp_parse(), error_t,
54
60
                                   ARGP_ERR_UNKNOWN */
55
61
#include <sysexits.h>           /* EX_SOFTWARE, EX_OSERR,
56
62
                                   EX_UNAVAILABLE, EX_IOERR, EX_OK */
 
63
#include <fcntl.h>              /* open() */
 
64
#include <stdarg.h>             /* va_list, va_start(), ... */
57
65
 
58
66
volatile sig_atomic_t quit_now = 0;
59
67
int signal_received;
60
68
bool debug = false;
61
69
const char *argp_program_version = "password-prompt " VERSION;
62
 
const char *argp_program_bug_address = "<mandos@fukt.bsnet.se>";
 
70
const char *argp_program_bug_address = "<mandos@recompile.se>";
 
71
 
 
72
/* Needed for conflict resolution */
 
73
const char plymouth_name[] = "plymouthd";
 
74
 
 
75
/* Function to use when printing errors */
 
76
__attribute__((format (gnu_printf, 3, 4)))
 
77
void error_plus(int status, int errnum, const char *formatstring,
 
78
                ...){
 
79
  va_list ap;
 
80
  char *text;
 
81
  int ret;
 
82
  
 
83
  va_start(ap, formatstring);
 
84
  ret = vasprintf(&text, formatstring, ap);
 
85
  if(ret == -1){
 
86
    fprintf(stderr, "Mandos plugin %s: ",
 
87
            program_invocation_short_name);
 
88
    vfprintf(stderr, formatstring, ap);
 
89
    fprintf(stderr, ": %s\n", strerror(errnum));
 
90
    error(status, errno, "vasprintf while printing error");
 
91
    return;
 
92
  }
 
93
  fprintf(stderr, "Mandos plugin ");
 
94
  error(status, errnum, "%s", text);
 
95
  free(text);
 
96
}
63
97
 
64
98
static void termination_handler(int signum){
65
99
  if(quit_now){
69
103
  signal_received = signum;
70
104
}
71
105
 
 
106
bool conflict_detection(void){
 
107
 
 
108
  /* plymouth conflicts with password-prompt since both want to read
 
109
     from the terminal.  Password-prompt will exit if it detects
 
110
     plymouth since plymouth performs the same functionality.
 
111
   */
 
112
  __attribute__((nonnull))
 
113
  int is_plymouth(const struct dirent *proc_entry){
 
114
    int ret;
 
115
    int cl_fd;
 
116
    {
 
117
      uintmax_t proc_id;
 
118
      char *tmp;
 
119
      errno = 0;
 
120
      proc_id = strtoumax(proc_entry->d_name, &tmp, 10);
 
121
      
 
122
      if(errno != 0 or *tmp != '\0'
 
123
         or proc_id != (uintmax_t)((pid_t)proc_id)){
 
124
        return 0;
 
125
      }
 
126
    }
 
127
    
 
128
    char *cmdline_filename;
 
129
    ret = asprintf(&cmdline_filename, "/proc/%s/cmdline",
 
130
                   proc_entry->d_name);
 
131
    if(ret == -1){
 
132
      error_plus(0, errno, "asprintf");
 
133
      return 0;
 
134
    }
 
135
    
 
136
    /* Open /proc/<pid>/cmdline */
 
137
    cl_fd = open(cmdline_filename, O_RDONLY);
 
138
    free(cmdline_filename);
 
139
    if(cl_fd == -1){
 
140
      if(errno != ENOENT){
 
141
        error_plus(0, errno, "open");
 
142
      }
 
143
      return 0;
 
144
    }
 
145
    
 
146
    char *cmdline = NULL;
 
147
    {
 
148
      size_t cmdline_len = 0;
 
149
      size_t cmdline_allocated = 0;
 
150
      char *tmp;
 
151
      const size_t blocksize = 1024;
 
152
      ssize_t sret;
 
153
      do {
 
154
        /* Allocate more space? */
 
155
        if(cmdline_len + blocksize + 1 > cmdline_allocated){
 
156
          tmp = realloc(cmdline, cmdline_allocated + blocksize + 1);
 
157
          if(tmp == NULL){
 
158
            error_plus(0, errno, "realloc");
 
159
            free(cmdline);
 
160
            close(cl_fd);
 
161
            return 0;
 
162
          }
 
163
          cmdline = tmp;
 
164
          cmdline_allocated += blocksize;
 
165
        }
 
166
        
 
167
        /* Read data */
 
168
        sret = read(cl_fd, cmdline + cmdline_len,
 
169
                    cmdline_allocated - cmdline_len);
 
170
        if(sret == -1){
 
171
          error_plus(0, errno, "read");
 
172
          free(cmdline);
 
173
          close(cl_fd);
 
174
          return 0;
 
175
        }
 
176
        cmdline_len += (size_t)sret;
 
177
      } while(sret != 0);
 
178
      ret = close(cl_fd);
 
179
      if(ret == -1){
 
180
        error_plus(0, errno, "close");
 
181
        free(cmdline);
 
182
        return 0;
 
183
      }
 
184
      cmdline[cmdline_len] = '\0'; /* Make sure it is terminated */
 
185
    }
 
186
    /* we now have cmdline */
 
187
    
 
188
    /* get basename */
 
189
    char *cmdline_base = strrchr(cmdline, '/');
 
190
    if(cmdline_base != NULL){
 
191
      cmdline_base += 1;                /* skip the slash */
 
192
    } else {
 
193
      cmdline_base = cmdline;
 
194
    }
 
195
    
 
196
    if(strcmp(cmdline_base, plymouth_name) != 0){
 
197
      if(debug){
 
198
        fprintf(stderr, "\"%s\" is not \"%s\"\n", cmdline_base,
 
199
                plymouth_name);
 
200
      }
 
201
      free(cmdline);
 
202
      return 0;
 
203
    }
 
204
    if(debug){
 
205
      fprintf(stderr, "\"%s\" equals \"%s\"\n", cmdline_base,
 
206
              plymouth_name);
 
207
    }
 
208
    free(cmdline);
 
209
    return 1;
 
210
  }
 
211
  
 
212
  struct dirent **direntries = NULL;
 
213
  int ret;
 
214
  ret = scandir("/proc", &direntries, is_plymouth, alphasort);
 
215
  if(ret == -1){
 
216
    error_plus(1, errno, "scandir");
 
217
  }
 
218
  free(direntries);
 
219
  return ret > 0;
 
220
}
 
221
 
 
222
 
72
223
int main(int argc, char **argv){
73
 
  ssize_t ret;
 
224
  ssize_t sret;
 
225
  int ret;
74
226
  size_t n;
75
227
  struct termios t_new, t_old;
76
228
  char *buffer = NULL;
98
250
      { .name = NULL }
99
251
    };
100
252
    
 
253
    __attribute__((nonnull(3)))
101
254
    error_t parse_opt (int key, char *arg, struct argp_state *state){
102
255
      errno = 0;
103
256
      switch (key){
139
292
    case ENOMEM:
140
293
    default:
141
294
      errno = ret;
142
 
      perror("argp_parse");
 
295
      error_plus(0, errno, "argp_parse");
143
296
      return EX_OSERR;
144
297
    case EINVAL:
145
298
      return EX_USAGE;
149
302
  if(debug){
150
303
    fprintf(stderr, "Starting %s\n", argv[0]);
151
304
  }
 
305
 
 
306
  if(conflict_detection()){
 
307
    if(debug){
 
308
      fprintf(stderr, "Stopping %s because of conflict\n", argv[0]);
 
309
    }
 
310
    return EXIT_FAILURE;
 
311
  }
 
312
  
152
313
  if(debug){
153
314
    fprintf(stderr, "Storing current terminal attributes\n");
154
315
  }
155
316
  
156
317
  if(tcgetattr(STDIN_FILENO, &t_old) != 0){
157
318
    int e = errno;
158
 
    perror("tcgetattr");
 
319
    error_plus(0, errno, "tcgetattr");
159
320
    switch(e){
160
321
    case EBADF:
161
322
    case ENOTTY:
168
329
  sigemptyset(&new_action.sa_mask);
169
330
  ret = sigaddset(&new_action.sa_mask, SIGINT);
170
331
  if(ret == -1){
171
 
    perror("sigaddset");
 
332
    error_plus(0, errno, "sigaddset");
172
333
    return EX_OSERR;
173
334
  }
174
335
  ret = sigaddset(&new_action.sa_mask, SIGHUP);
175
336
  if(ret == -1){
176
 
    perror("sigaddset");
 
337
    error_plus(0, errno, "sigaddset");
177
338
    return EX_OSERR;
178
339
  }
179
340
  ret = sigaddset(&new_action.sa_mask, SIGTERM);
180
341
  if(ret == -1){
181
 
    perror("sigaddset");
 
342
    error_plus(0, errno, "sigaddset");
182
343
    return EX_OSERR;
183
344
  }
184
345
  /* Need to check if the handler is SIG_IGN before handling:
187
348
  */
188
349
  ret = sigaction(SIGINT, NULL, &old_action);
189
350
  if(ret == -1){
190
 
    perror("sigaction");
 
351
    error_plus(0, errno, "sigaction");
191
352
    return EX_OSERR;
192
353
  }
193
354
  if(old_action.sa_handler != SIG_IGN){
194
355
    ret = sigaction(SIGINT, &new_action, NULL);
195
356
    if(ret == -1){
196
 
      perror("sigaction");
 
357
      error_plus(0, errno, "sigaction");
197
358
      return EX_OSERR;
198
359
    }
199
360
  }
200
361
  ret = sigaction(SIGHUP, NULL, &old_action);
201
362
  if(ret == -1){
202
 
    perror("sigaction");
 
363
    error_plus(0, errno, "sigaction");
203
364
    return EX_OSERR;
204
365
  }
205
366
  if(old_action.sa_handler != SIG_IGN){
206
367
    ret = sigaction(SIGHUP, &new_action, NULL);
207
368
    if(ret == -1){
208
 
      perror("sigaction");
 
369
      error_plus(0, errno, "sigaction");
209
370
      return EX_OSERR;
210
371
    }
211
372
  }
212
373
  ret = sigaction(SIGTERM, NULL, &old_action);
213
374
  if(ret == -1){
214
 
    perror("sigaction");
 
375
    error_plus(0, errno, "sigaction");
215
376
    return EX_OSERR;
216
377
  }
217
378
  if(old_action.sa_handler != SIG_IGN){
218
379
    ret = sigaction(SIGTERM, &new_action, NULL);
219
380
    if(ret == -1){
220
 
      perror("sigaction");
 
381
      error_plus(0, errno, "sigaction");
221
382
      return EX_OSERR;
222
383
    }
223
384
  }
231
392
  t_new.c_lflag &= ~(tcflag_t)ECHO;
232
393
  if(tcsetattr(STDIN_FILENO, TCSAFLUSH, &t_new) != 0){
233
394
    int e = errno;
234
 
    perror("tcsetattr-echo");
 
395
    error_plus(0, errno, "tcsetattr-echo");
235
396
    switch(e){
236
397
    case EBADF:
237
398
    case ENOTTY:
258
419
      fprintf(stderr, "%s ", prefix);
259
420
    }
260
421
    {
261
 
      const char *cryptsource = getenv("cryptsource");
262
 
      const char *crypttarget = getenv("crypttarget");
263
 
      const char *const prompt
264
 
        = "Enter passphrase to unlock the disk";
 
422
      const char *cryptsource = getenv("CRYPTTAB_SOURCE");
 
423
      const char *crypttarget = getenv("CRYPTTAB_NAME");
 
424
      /* Before cryptsetup 1.1.0~rc2 */
 
425
      if(cryptsource == NULL){
 
426
        cryptsource = getenv("cryptsource");
 
427
      }
 
428
      if(crypttarget == NULL){
 
429
        crypttarget = getenv("crypttarget");
 
430
      }
 
431
      const char *const prompt1 = "Unlocking the disk";
 
432
      const char *const prompt2 = "Enter passphrase";
265
433
      if(cryptsource == NULL){
266
434
        if(crypttarget == NULL){
267
 
          fprintf(stderr, "%s: ", prompt);
 
435
          fprintf(stderr, "%s to unlock the disk: ", prompt2);
268
436
        } else {
269
 
          fprintf(stderr, "%s (%s): ", prompt, crypttarget);
 
437
          fprintf(stderr, "%s (%s)\n%s: ", prompt1, crypttarget,
 
438
                  prompt2);
270
439
        }
271
440
      } else {
272
441
        if(crypttarget == NULL){
273
 
          fprintf(stderr, "%s %s: ", prompt, cryptsource);
 
442
          fprintf(stderr, "%s %s\n%s: ", prompt1, cryptsource,
 
443
                  prompt2);
274
444
        } else {
275
 
          fprintf(stderr, "%s %s (%s): ", prompt, cryptsource,
276
 
                  crypttarget);
 
445
          fprintf(stderr, "%s %s (%s)\n%s: ", prompt1, cryptsource,
 
446
                  crypttarget, prompt2);
277
447
        }
278
448
      }
279
449
    }
280
 
    ret = getline(&buffer, &n, stdin);
281
 
    if(ret > 0){
 
450
    sret = getline(&buffer, &n, stdin);
 
451
    if(sret > 0){
282
452
      status = EXIT_SUCCESS;
283
453
      /* Make n = data size instead of allocated buffer size */
284
 
      n = (size_t)ret;
 
454
      n = (size_t)sret;
285
455
      /* Strip final newline */
286
456
      if(n > 0 and buffer[n-1] == '\n'){
287
457
        buffer[n-1] = '\0';     /* not strictly necessary */
289
459
      }
290
460
      size_t written = 0;
291
461
      while(written < n){
292
 
        ret = write(STDOUT_FILENO, buffer + written, n - written);
293
 
        if(ret < 0){
 
462
        sret = write(STDOUT_FILENO, buffer + written, n - written);
 
463
        if(sret < 0){
294
464
          int e = errno;
295
 
          perror("write");
 
465
          error_plus(0, errno, "write");
296
466
          switch(e){
297
467
          case EBADF:
298
468
          case EFAULT:
309
479
          }
310
480
          break;
311
481
        }
312
 
        written += (size_t)ret;
 
482
        written += (size_t)sret;
313
483
      }
314
 
      ret = close(STDOUT_FILENO);
315
 
      if(ret == -1){
 
484
      sret = close(STDOUT_FILENO);
 
485
      if(sret == -1){
316
486
        int e = errno;
317
 
        perror("close");
 
487
        error_plus(0, errno, "close");
318
488
        switch(e){
319
489
        case EBADF:
320
490
          status = EX_OSFILE;
327
497
      }
328
498
      break;
329
499
    }
330
 
    if(ret < 0){
 
500
    if(sret < 0){
331
501
      int e = errno;
332
502
      if(errno != EINTR and not feof(stdin)){
333
 
        perror("getline");
 
503
        error_plus(0, errno, "getline");
334
504
        switch(e){
335
505
        case EBADF:
336
506
          status = EX_UNAVAILABLE;
 
507
          break;
337
508
        case EIO:
338
509
        case EINVAL:
339
510
        default:
343
514
        break;
344
515
      }
345
516
    }
346
 
    /* if(ret == 0), then the only sensible thing to do is to retry to
347
 
       read from stdin */
 
517
    /* if(sret == 0), then the only sensible thing to do is to retry
 
518
       to read from stdin */
348
519
    fputc('\n', stderr);
349
520
    if(debug and not quit_now){
350
521
      /* If quit_now is nonzero, we were interrupted by a signal, and
359
530
    fprintf(stderr, "Restoring terminal attributes\n");
360
531
  }
361
532
  if(tcsetattr(STDIN_FILENO, TCSAFLUSH, &t_old) != 0){
362
 
    perror("tcsetattr+echo");
 
533
    error_plus(0, errno, "tcsetattr+echo");
363
534
  }
364
535
  
365
536
  if(quit_now){
367
538
    old_action.sa_handler = SIG_DFL;
368
539
    ret = sigaction(signal_received, &old_action, NULL);
369
540
    if(ret == -1){
370
 
      perror("sigaction");
 
541
      error_plus(0, errno, "sigaction");
371
542
    }
372
543
    raise(signal_received);
373
544
  }