/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2019-03-18 22:29:25 UTC
  • mto: This revision was merged to the branch mainline in revision 382.
  • Revision ID: teddy@recompile.se-20190318222925-jvhek84dgcfgj6g3
mandos-ctl: Refactor tests

* mandos-ctl: Where the clients names "foo" and "barbar" do not refer
              to the actual mock clients in the TestCommand class,
              change all occurrences of these names to "client1" and
              "client2" (or just "client" when only one is used) .
              Also change all test doubles to use correct terminology;
              some things called mocks are actually stubs or spies,
              and rename all true mocks to have "mock" in their names.
              Also eliminate duplicate values in tests; derive values
              from previously defined values whenever possible.

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
# This script will be run by 'mkinitramfs' when it creates the image.
4
4
# Its job is to decide which files to install, then install them into
5
5
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
 
6
# happens when a new 'linux-image' package is installed, or when an
7
7
# administrator runs 'update-initramfs' by hand to update an initramfs
8
8
# image.
9
9
 
29
29
 
30
30
. /usr/share/initramfs-tools/hook-functions
31
31
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
 
32
for d in /usr/lib \
 
33
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
 
34
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
 
35
    if [ -d "$d"/mandos ]; then
 
36
        libdir="$d"
35
37
        break
36
38
    fi
37
39
done
38
 
if [ -z "$prefix" ]; then
 
40
if [ -z "$libdir" ]; then
39
41
    # Mandos not found
40
42
    exit 1
41
43
fi
68
70
CONFDIR="/conf/conf.d/mandos"
69
71
MANDOSDIR="/lib/mandos"
70
72
PLUGINDIR="${MANDOSDIR}/plugins.d"
 
73
PLUGINHELPERDIR="${MANDOSDIR}/plugin-helpers"
 
74
HOOKDIR="${MANDOSDIR}/network-hooks.d"
71
75
 
72
76
# Make directories
73
77
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
74
 
        "${DESTDIR}${MANDOSDIR}"
 
78
        "${DESTDIR}${MANDOSDIR}" "${DESTDIR}${HOOKDIR}"
75
79
install --owner=${mandos_user} --group=${mandos_group} --directory \
76
 
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
 
80
        --mode=u=rwx "${DESTDIR}${PLUGINDIR}" \
 
81
        "${DESTDIR}${PLUGINHELPERDIR}"
 
82
 
 
83
copy_exec "$libdir"/mandos/mandos-to-cryptroot-unlock "${MANDOSDIR}"
77
84
 
78
85
# Copy the Mandos plugin runner
79
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
 
86
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
80
87
 
81
88
# Copy the plugins
82
89
 
83
90
# Copy the packaged plugins
84
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
 
91
for file in "$libdir"/mandos/plugins.d/*; do
85
92
    base="`basename \"$file\"`"
86
93
    # Is this plugin overridden?
87
94
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
90
97
    case "$base" in
91
98
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
92
99
            : ;;
93
 
        */"*")
94
 
            echo "W: Mandos client plugin directory is empty." >&2 ;;
 
100
        "*") echo "W: Mandos client plugin directory is empty." >&2 ;;
95
101
        *) copy_exec "$file" "${PLUGINDIR}" ;;
96
102
    esac
97
103
done
98
104
 
 
105
# Copy the packaged plugin helpers
 
106
for file in "$libdir"/mandos/plugin-helpers/*; do
 
107
    base="`basename \"$file\"`"
 
108
    # Is this plugin overridden?
 
109
    if [ -e "/etc/mandos/plugin-helpers/$base" ]; then
 
110
        continue
 
111
    fi
 
112
    case "$base" in
 
113
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
114
            : ;;
 
115
        "*") : ;;
 
116
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
117
    esac
 
118
done
 
119
 
99
120
# Copy any user-supplied plugins
100
121
for file in /etc/mandos/plugins.d/*; do
101
122
    base="`basename \"$file\"`"
102
123
    case "$base" in
103
124
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
104
125
            : ;;
105
 
        */"*") : ;;
 
126
        "*") : ;;
106
127
        *) copy_exec "$file" "${PLUGINDIR}" ;;
107
128
    esac
108
129
done
109
130
 
110
 
# GPGME needs /usr/bin/gpg
111
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
112
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
113
 
                2>/dev/null`" ]; then
114
 
    copy_exec /usr/bin/gpg
115
 
fi
 
131
# Copy any user-supplied plugin helpers
 
132
for file in /etc/mandos/plugin-helpers/*; do
 
133
    base="`basename \"$file\"`"
 
134
    case "$base" in
 
135
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
136
            : ;;
 
137
        "*") : ;;
 
138
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
139
    esac
 
140
done
 
141
 
 
142
# Get DEVICE from initramfs.conf and other files
 
143
. /etc/initramfs-tools/initramfs.conf
 
144
for conf in /etc/initramfs-tools/conf.d/*; do
 
145
    if [ -n `basename \"$conf\" | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
 
146
        | grep -v '\.dpkg-.*$'` ]; then
 
147
        [ -f "${conf}" ] && . "${conf}"
 
148
    fi
 
149
done
 
150
export DEVICE
 
151
 
 
152
# Copy network hooks
 
153
for hook in /etc/mandos/network-hooks.d/*; do
 
154
    case "`basename \"$hook\"`" in
 
155
        "*") continue ;;
 
156
        *[!A-Za-z0-9_.-]*) continue ;;
 
157
        *) test -d "$hook" || copy_exec "$hook" "${HOOKDIR}" ;;
 
158
    esac
 
159
    if [ -x "$hook" ]; then
 
160
        # Copy any files needed by the network hook
 
161
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
 
162
            VERBOSITY=0 "$hook" files | while read -r file target; do
 
163
            if [ ! -e "${file}" ]; then
 
164
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
 
165
            fi
 
166
            if [ -z "${target}" ]; then
 
167
                copy_exec "$file"
 
168
            else
 
169
                copy_exec "$file" "$target"
 
170
            fi
 
171
        done
 
172
        # Copy and load any modules needed by the network hook
 
173
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=modules \
 
174
            VERBOSITY=0 "$hook" modules | while read -r module; do
 
175
            force_load "$module"
 
176
        done
 
177
    fi
 
178
done
 
179
 
 
180
# GPGME needs GnuPG
 
181
gpg=/usr/bin/gpg
 
182
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
 
183
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
 
184
    if [ -e /usr/bin/gpgconf ]; then
 
185
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
 
186
            copy_exec /usr/bin/gpgconf
 
187
        fi
 
188
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
 
189
        gpgagent="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg-agent:[^:]*://p'`"
 
190
        # Newer versions of GnuPG 2 requires the gpg-agent binary
 
191
        if [ -e "$gpgagent" ] && [ ! -e "${DESTDIR}$gpgagent" ]; then
 
192
            copy_exec "$gpgagent"
 
193
        fi
 
194
    fi
 
195
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
 
196
    gpg=/usr/bin/gpg2
 
197
fi
 
198
if [ ! -e "${DESTDIR}$gpg" ]; then
 
199
    copy_exec "$gpg"
 
200
fi
 
201
unset gpg
 
202
unset libgpgme11_version
116
203
 
117
204
# Config files
118
 
for file in /etc/mandos/*; do
 
205
for file in /etc/mandos/plugin-runner.conf; do
119
206
    if [ -d "$file" ]; then
120
207
        continue
121
208
    fi
123
210
done
124
211
 
125
212
if [ ${mandos_user} != 65534 ]; then
126
 
    PLUGINRUNNERCONF="${DESTDIR}${CONFDIR}/plugin-runner.conf"
127
 
    cat <<-EOF >> "$PLUGINRUNNERCONF"
128
 
        
129
 
        --userid=${mandos_user}
130
 
EOF
 
213
    sed --in-place --expression="1i--userid=${mandos_user}" \
 
214
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
131
215
fi
132
216
 
133
217
if [ ${mandos_group} != 65534 ]; then
134
 
    PLUGINRUNNERCONF="${DESTDIR}${CONFDIR}/plugin-runner.conf"
135
 
    cat <<-EOF >> "$PLUGINRUNNERCONF"
136
 
        
137
 
        --groupid=${mandos_group}
138
 
EOF
 
218
    sed --in-place --expression="1i--groupid=${mandos_group}" \
 
219
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
139
220
fi
140
221
 
141
 
# Key files 
 
222
# Key files
142
223
for file in "$keydir"/*; do
143
224
    if [ -d "$file" ]; then
144
225
        continue
145
226
    fi
146
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
147
 
    chown ${mandos_user}:${mandos_group} \
148
 
        "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
227
    case "$file" in
 
228
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
229
            : ;;
 
230
        "*") : ;;
 
231
        *)
 
232
            cp --archive --sparse=always "$file" \
 
233
               "${DESTDIR}${CONFDIR}"
 
234
            chown ${mandos_user}:${mandos_group} \
 
235
                  "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
236
            ;;
 
237
    esac
149
238
done
 
239
# Use Diffie-Hellman parameters file if available
 
240
if [ -e "${DESTDIR}${CONFDIR}"/dhparams.pem ]; then
 
241
    sed --in-place \
 
242
        --expression="1i--options-for=mandos-client:--dh-params=${CONFDIR}/dhparams.pem" \
 
243
        "${DESTDIR}/${CONFDIR}/plugin-runner.conf"
 
244
fi
150
245
 
151
246
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
152
247
# its plugin directory and its config file.  However, since almost all
157
252
# initrd; it is intended to affect the initrd.img file itself, since
158
253
# it now contains secret key files.  There is, however, no other way
159
254
# to set the permission of the initrd.img file without a race
160
 
# condition.  This umask is set by "initramfs-tools-hook-conf",
161
 
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
 
255
# condition.  This umask is set by "initramfs-tools-conf", installed
 
256
# as "/usr/share/initramfs-tools/conf.d/mandos-conf".)
162
257
163
258
for full in "${MANDOSDIR}" "${CONFDIR}"; do
164
259
    while [ "$full" != "/" ]; do
176
271
done
177
272
for dir in "${DESTDIR}"/lib* "${DESTDIR}"/usr/lib*; do
178
273
    if [ -d "$dir" ]; then
179
 
        find "$dir" \! -perm -u+rw,g+r -prune -or -print0 \
180
 
            | xargs --null --no-run-if-empty chmod a+rX
 
274
        find "$dir" \! -perm -u+rw,g+r -prune -or \! -type l -print0 \
 
275
            | xargs --null --no-run-if-empty chmod a+rX --
181
276
    fi
182
277
done