/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2024-09-09 04:24:39 UTC
  • mto: This revision was merged to the branch mainline in revision 410.
  • Revision ID: teddy@recompile.se-20240909042439-j85mr20uli2hnyis
Eliminate compiler warnings

Many programs use nested functions, which now result in a linker
warning about executable stack.  Hide this warning.  Also, rewrite a
loop in the plymouth plugin to avoid warning about signed overflow.
This change also makes the plugin pick the alphabetically first
process entry instead of the last, in case many plymouth processes are
found (which should be unlikely).

* Makefile (plugin-runner, dracut-module/password-agent,
  plugins.d/password-prompt, plugins.d/mandos-client,
  plugins.d/plymouth): New target; set LDFLAGS to add "-Xlinker
  --no-warn-execstack".
* plugins.d/plymouth.c (get_pid): When no pid files are found, and we
  are looking through the process list, go though it from the start
  instead of from the end, i.e. in normal alphabetical order and not
  in reverse order.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/mandos-client.postinst
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
 
18
. /usr/share/debconf/confmodule
 
19
 
18
20
set -e
19
21
 
20
22
# Update the initial RAM file system image
21
23
update_initramfs()
22
24
{
23
 
    update-initramfs -u -k all
 
25
    if command -v update-initramfs >/dev/null; then
 
26
        update-initramfs -k all -u 1>&2
 
27
    elif command -v dracut >/dev/null; then
 
28
        dracut_version="`dpkg-query --showformat='${Version}' --show dracut`"
 
29
        if dpkg --compare-versions "$dracut_version" lt 043-1 \
 
30
                && bash -c '. /etc/dracut.conf; . /etc/dracut.conf.d/*; [ "$hostonly" != yes ]'; then
 
31
            echo 'Dracut is not configured to use hostonly mode!' >&2
 
32
            return 1
 
33
        fi
 
34
        # Logic taken from dracut.postinst
 
35
        for kernel in /boot/vmlinu[xz]-*; do
 
36
            kversion="${kernel#/boot/vmlinu[xz]-}"
 
37
            # Dracut preserves old permissions of initramfs image
 
38
            # files, so we adjust permissions before creating new
 
39
            # initramfs image containing secret keys.
 
40
            if [ -e /boot/initrd.img-"$kversion" ]; then
 
41
                chmod go-r /boot/initrd.img-"$kversion"
 
42
            else
 
43
                # An initrd image has not yet been created for this
 
44
                # kernel, possibly because this new kernel is about to
 
45
                # be, but has not yet been, installed.  In this case,
 
46
                # we create an empty file with the right permissions
 
47
                # so that Dracut will preserve those permissions when
 
48
                # it creates the real, new initrd image for this
 
49
                # kernel.
 
50
                install --mode=u=rw /dev/null \
 
51
                        /boot/initrd.img-"$kversion"
 
52
            fi
 
53
            if [ "$kversion" != "*" ]; then
 
54
                /etc/kernel/postinst.d/dracut "$kversion" 1>&2
 
55
            fi
 
56
        done
 
57
    fi
24
58
    
25
59
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
26
60
        # Make old initrd.img files unreadable too, in case they were
36
70
    if dpkg --compare-versions "$2" lt "1.0.3-1"; then
37
71
        case "`getent passwd mandos`" in
38
72
            *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
39
 
                usermod --login _mandos mandos
40
 
                groupmod --new-name _mandos mandos
 
73
                usermod --login _mandos mandos 1>&2
 
74
                groupmod --new-name _mandos mandos 1>&2
41
75
                return
42
76
                ;;
43
77
        esac
46
80
    if ! getent passwd _mandos >/dev/null; then
47
81
        adduser --system --force-badname --quiet --home /nonexistent \
48
82
            --no-create-home --group --disabled-password \
49
 
            --gecos "Mandos password system" _mandos
 
83
            --gecos "Mandos password system" _mandos 1>&2
50
84
    fi
51
85
}
52
86
 
56
90
    # mandos-keygen
57
91
    if ! [ -r /etc/keys/mandos/pubkey.txt \
58
92
              -a -r /etc/keys/mandos/seckey.txt ]; then
59
 
        mandos-keygen
60
 
        gpg-connect-agent KILLAGENT /bye || :
 
93
        mandos-keygen 1>&2
 
94
        gpg-connect-agent KILLAGENT /bye 1>&2 || :
61
95
        return 0
62
96
    fi
63
97
 
 
98
    # Remove any bad TLS keys by 1.8.0-1
 
99
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
 
100
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
 
101
        # Is the key bad?
 
102
        if ! certtool --password='' \
 
103
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
104
             --outfile=/dev/null --pubkey-info --no-text \
 
105
              1>&2 2>/dev/null; then
 
106
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
 
107
                  2>/dev/null || :
 
108
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
 
109
        fi
 
110
    fi
 
111
 
64
112
    # If the TLS keys already exists, do nothing
65
113
    if [ -r /etc/keys/mandos/tls-privkey.pem \
66
114
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
67
115
        return 0
68
116
    fi
69
117
 
70
 
    # If this is an upgrade from an old installation, the TLS keys
71
 
    # will not exist; create them.
72
 
 
73
 
    # First try certtool from GnuTLS
74
 
    if ! certtool --generate-privkey --password='' \
75
 
         --outfile /etc/keys/mandos/tls-privkey.pem \
76
 
         --sec-param ultra --key-type=ed25519 --pkcs8 --no-text \
77
 
         2>/dev/null; then
78
 
        # Otherwise try OpenSSL
79
 
        if ! openssl genpkey -algorithm X25519 \
80
 
             -out /etc/keys/mandos/tls-privkey.pem; then
81
 
            rm --force /etc/keys/mandos/tls-privkey.pem
82
 
            # None of the commands succeded; give up
83
 
            return 1
84
 
        fi
85
 
    fi
86
 
 
87
 
    local umask=$(umask)
88
 
    umask 077
89
 
    # First try certtool from GnuTLS
90
 
    if ! certtool --password='' \
91
 
         --load-privkey=/etc/keys/mandos/tls-privkey.pem \
92
 
         --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
93
 
         --no-text 2>/dev/null; then
94
 
        # Otherwise try OpenSSL
95
 
        if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
96
 
             -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
97
 
            rm --force /etc/keys/mandos/tls-pubkey.pem
98
 
            # None of the commands succeded; give up
99
 
            umask $umask
100
 
            return 1
101
 
        fi
102
 
    fi
103
 
    umask $umask
 
118
    # Try to create the TLS keys
 
119
 
 
120
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
 
121
 
 
122
    if certtool --generate-privkey --password='' \
 
123
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
 
124
                --key-type=ed25519 --pkcs8 --no-text 1>&2 \
 
125
                2>/dev/null; then
 
126
 
 
127
        local umask=$(umask)
 
128
        umask 077
 
129
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
 
130
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
131
 
 
132
        # First try certtool from GnuTLS
 
133
        if ! certtool --password='' \
 
134
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
135
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
 
136
             --no-text 1>&2 2>/dev/null; then
 
137
            # Otherwise try OpenSSL
 
138
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
 
139
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout \
 
140
                 1>&2; then
 
141
                rm --force /etc/keys/mandos/tls-pubkey.pem
 
142
                # None of the commands succeded; give up
 
143
                umask $umask
 
144
                return 1
 
145
            fi
 
146
        fi
 
147
        umask $umask
 
148
 
 
149
        key_id=$(mandos-keygen --passfile=/dev/null \
 
150
                     | grep --regexp="^key_id[ =]")
 
151
 
 
152
        db_version 2.0
 
153
        db_fset mandos-client/key_id seen false
 
154
        db_reset mandos-client/key_id
 
155
        db_subst mandos-client/key_id key_id $key_id
 
156
        db_input critical mandos-client/key_id || true
 
157
        db_go
 
158
        db_stop
 
159
    else
 
160
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
161
    fi
104
162
}
105
163
 
106
164
create_dh_params(){
111
169
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
112
170
    # First try certtool from GnuTLS
113
171
    if ! certtool --generate-dh-params --sec-param high \
114
 
         --outfile "$DHFILE"; then
 
172
         --outfile "$DHFILE" 1>&2; then
115
173
        # Otherwise try OpenSSL
116
174
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
117
 
             -pkeyopt dh_paramgen_prime_len:3072; then
 
175
             -pkeyopt dh_paramgen_prime_len:3072 1>&2; then
118
176
            # None of the commands succeded; give up
119
 
            rm -- "$DHFILE"
 
177
            rm --force -- "$DHFILE"
120
178
            return 1
121
179
        fi
122
180
    fi
125
183
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
126
184
            "$DHFILE"
127
185
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
128
 
    rm -- "$DHFILE"
 
186
    rm --force -- "$DHFILE"
129
187
}
130
188
 
131
189
case "$1" in