/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos.postinst

  • Committer: Teddy Hogeborn
  • Date: 2016-03-19 04:21:00 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 341.
  • Revision ID: teddy@recompile.se-20160319042100-i581cfv65r934dnl
Client: Make plugin helper override directory mode u=rwx,go=

Even though it currently is not used, a local administrator might use
setuid (or setcap) executables as plugin helpers.  Thus, the plugin
helper override directory (/etc/mandos/plugin-helpers) must be
secured, just as the plugin override directory (/etc/mandos/plugins.d)
is.

* Makefile (install-client-nokey): Install plugin-helper directory as
                                   mode u=rwx.
* debian/mandos-client.lintian-overrides: Do not warn about
                               permissions on plugin helper directory.
* debian/mandos-client.postinst (configure): Fix permissions on plugin
  helper local override directory (/etc/mandos/plugin-helpers), but
  only if not listed by "dpkg-statoverride".

Show diffs side-by-side

added added

removed removed

Lines of Context:
34
34
                --home /nonexistent --no-create-home --group \
35
35
                --disabled-password --gecos "Mandos password system" \
36
36
                _mandos
 
37
        elif dpkg --compare-versions "$2" eq 1.7.4-1 \
 
38
                || dpkg --compare-versions "$2" eq "1.7.4-1~bpo8+1"
 
39
        then
 
40
            start=no
 
41
            if ! [ -f /var/lib/mandos/clients.pickle ]; then
 
42
                invoke-rc.d mandos stop
 
43
                start=yes
 
44
            fi
 
45
            chown _mandos:_mandos /var/lib/mandos/clients.pickle \
 
46
                  2>/dev/null || :
 
47
            if [ "$start" = yes ]; then
 
48
                invoke-rc.d mandos start
 
49
            fi
 
50
        fi
 
51
        if ! dpkg-statoverride --list "/var/lib/mandos" >/dev/null \
 
52
             2>&1; then
 
53
            chown _mandos:_mandos /var/lib/mandos
 
54
            chmod u=rwx,go= /var/lib/mandos
37
55
        fi
38
56
        ;;
39
 
 
 
57
    
40
58
    abort-upgrade|abort-deconfigure|abort-remove)
41
59
        ;;
42
 
 
 
60
    
43
61
    *)
44
62
        echo "$0 called with unknown argument '$1'" 1>&2
45
63
        exit 1
46
64
        ;;
47
65
esac
48
66
 
 
67
# Avahi version 0.6.31-2 and older provides "avahi" (instead of
 
68
# "avahi-daemon") in its /etc/init.d script header.  To make
 
69
# insserv(8) happy, we edit our /etc/init.d script header to contain
 
70
# the correct string before the code added by dh_installinit calls
 
71
# update.rc-d, which calls insserv.
 
72
avahi_version="`dpkg-query --showformat='${Version}' --show avahi-daemon`"
 
73
if dpkg --compare-versions "$avahi_version" le 0.6.31-2; then
 
74
    sed --in-place --expression='/^### BEGIN INIT INFO$/,/^### END INIT INFO$/s/^\(# Required-\(Stop\|Start\):.*avahi\)-daemon\>/\1/g' /etc/init.d/mandos
 
75
fi
 
76
 
49
77
#DEBHELPER#
50
78
 
51
79
exit 0