/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2024-11-17 18:43:11 UTC
  • mto: This revision was merged to the branch mainline in revision 412.
  • Revision ID: teddy@recompile.se-20241117184311-ox25kvngy62h209g
Debian package: Avoid suggesting a C compiler unnecessarily

The list of suggested packages, meant to enable the "mandos" program
to find the correct value of SO_BINDTODEVICE by using a C compiler,
are not necessary when Python 3.3 or later is used, since it has the
SO_BINDTODEVICE constant defined in the "socket" module.  Also, Python
2.6 or older has the same constant in the old "IN" module.  Therefore,
we should suggest these Python versions as alternatives to a C
compiler, so that a C compiler is not installed unnecessarily.

debian/control (Package: mandos/Suggests): Add "python3 (>= 3.3)" and
"python (<= 2.6)" as alternatives to "libc6-dev | libc-dev" and
"c-compiler".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/bash -e
 
1
#!/bin/sh
2
2
# This script can be called in the following ways:
3
3
#
4
4
# After the package was installed:
17
17
 
18
18
. /usr/share/debconf/confmodule
19
19
 
 
20
set -e
 
21
 
20
22
# Update the initial RAM file system image
21
23
update_initramfs()
22
24
{
23
 
    if [ -x /usr/sbin/update-initramfs ]; then
24
 
        update-initramfs -u -k all
 
25
    if command -v update-initramfs >/dev/null; then
 
26
        update-initramfs -k all -u 1>&2
 
27
    elif command -v dracut >/dev/null; then
 
28
        dracut_version="`dpkg-query --showformat='${Version}' --show dracut`"
 
29
        if dpkg --compare-versions "$dracut_version" lt 043-1 \
 
30
                && bash -c '. /etc/dracut.conf; . /etc/dracut.conf.d/*; [ "$hostonly" != yes ]'; then
 
31
            echo 'Dracut is not configured to use hostonly mode!' >&2
 
32
            return 1
 
33
        fi
 
34
        # Logic taken from dracut.postinst
 
35
        for kernel in /boot/vmlinu[xz]-*; do
 
36
            kversion="${kernel#/boot/vmlinu[xz]-}"
 
37
            # Dracut preserves old permissions of initramfs image
 
38
            # files, so we adjust permissions before creating new
 
39
            # initramfs image containing secret keys.
 
40
            if [ -e /boot/initrd.img-"$kversion" ]; then
 
41
                chmod go-r /boot/initrd.img-"$kversion"
 
42
            else
 
43
                # An initrd image has not yet been created for this
 
44
                # kernel, possibly because this new kernel is about to
 
45
                # be, but has not yet been, installed.  In this case,
 
46
                # we create an empty file with the right permissions
 
47
                # so that Dracut will preserve those permissions when
 
48
                # it creates the real, new initrd image for this
 
49
                # kernel.
 
50
                install --mode=u=rw /dev/null \
 
51
                        /boot/initrd.img-"$kversion"
 
52
            fi
 
53
            if [ "$kversion" != "*" ]; then
 
54
                /etc/kernel/postinst.d/dracut "$kversion" 1>&2
 
55
            fi
 
56
        done
 
57
    fi
 
58
    
 
59
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
 
60
        # Make old initrd.img files unreadable too, in case they were
 
61
        # created with mandos-client 1.0.8 or older.
 
62
        find /boot -maxdepth 1 -type f -name "initrd.img-*.bak" \
 
63
            -print0 | xargs --null --no-run-if-empty chmod o-r
25
64
    fi
26
65
}
27
66
 
28
67
# Add user and group
29
68
add_mandos_user(){
30
69
    # Rename old "mandos" user and group
31
 
    case "$(getent passwd mandos)" in
32
 
        *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
33
 
            usermod --login _mandos mandos
34
 
            groupmod --new-name _mandos mandos
35
 
            return
36
 
            ;;
37
 
    esac
 
70
    if dpkg --compare-versions "$2" lt "1.0.3-1"; then
 
71
        case "`getent passwd mandos`" in
 
72
            *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
 
73
                usermod --login _mandos mandos 1>&2
 
74
                groupmod --new-name _mandos mandos 1>&2
 
75
                return
 
76
                ;;
 
77
        esac
 
78
    fi
38
79
    # Create new user and group
39
80
    if ! getent passwd _mandos >/dev/null; then
40
81
        adduser --system --force-badname --quiet --home /nonexistent \
41
82
            --no-create-home --group --disabled-password \
42
 
            --gecos "Mandos password system" _mandos
43
 
    fi
44
 
}
45
 
 
46
 
# Create client key pair
47
 
create_key(){
48
 
    if [ -r /etc/keys/mandos/pubkey.txt \
49
 
        -a -r /etc/keys/mandos/seckey.txt ]; then
50
 
        return 0
51
 
    fi
52
 
    if [ -x /usr/sbin/mandos-keygen ]; then
53
 
        mandos-keygen
54
 
    fi
 
83
            --gecos "Mandos password system" _mandos 1>&2
 
84
    fi
 
85
}
 
86
 
 
87
# Create client key pairs
 
88
create_keys(){
 
89
    # If the OpenPGP key files do not exist, generate all keys using
 
90
    # mandos-keygen
 
91
    if ! [ -r /etc/keys/mandos/pubkey.txt \
 
92
              -a -r /etc/keys/mandos/seckey.txt ]; then
 
93
        mandos-keygen 1>&2
 
94
        gpg-connect-agent KILLAGENT /bye 1>&2 || :
 
95
        return 0
 
96
    fi
 
97
 
 
98
    # Remove any bad TLS keys by 1.8.0-1
 
99
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
 
100
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
 
101
        # Is the key bad?
 
102
        if ! certtool --password='' \
 
103
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
104
             --outfile=/dev/null --pubkey-info --no-text \
 
105
              1>&2 2>/dev/null; then
 
106
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
 
107
                  2>/dev/null || :
 
108
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
 
109
        fi
 
110
    fi
 
111
 
 
112
    # If the TLS keys already exists, do nothing
 
113
    if [ -r /etc/keys/mandos/tls-privkey.pem \
 
114
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
 
115
        return 0
 
116
    fi
 
117
 
 
118
    # Try to create the TLS keys
 
119
 
 
120
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
 
121
 
 
122
    if certtool --generate-privkey --password='' \
 
123
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
 
124
                --key-type=ed25519 --pkcs8 --no-text 1>&2 \
 
125
                2>/dev/null; then
 
126
 
 
127
        local umask=$(umask)
 
128
        umask 077
 
129
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
 
130
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
131
 
 
132
        # First try certtool from GnuTLS
 
133
        if ! certtool --password='' \
 
134
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
135
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
 
136
             --no-text 1>&2 2>/dev/null; then
 
137
            # Otherwise try OpenSSL
 
138
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
 
139
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout \
 
140
                 1>&2; then
 
141
                rm --force /etc/keys/mandos/tls-pubkey.pem
 
142
                # None of the commands succeded; give up
 
143
                umask $umask
 
144
                return 1
 
145
            fi
 
146
        fi
 
147
        umask $umask
 
148
 
 
149
        key_id=$(mandos-keygen --passfile=/dev/null \
 
150
                     | grep --regexp="^key_id[ =]")
 
151
 
 
152
        db_version 2.0
 
153
        db_fset mandos-client/key_id seen false
 
154
        db_reset mandos-client/key_id
 
155
        db_subst mandos-client/key_id key_id $key_id
 
156
        db_input critical mandos-client/key_id || true
 
157
        db_go
 
158
        db_stop
 
159
    else
 
160
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
161
    fi
 
162
}
 
163
 
 
164
create_dh_params(){
 
165
    if [ -r /etc/keys/mandos/dhparams.pem ]; then
 
166
        return 0
 
167
    fi
 
168
    # Create a Diffe-Hellman parameters file
 
169
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
 
170
    # First try certtool from GnuTLS
 
171
    if ! certtool --generate-dh-params --sec-param high \
 
172
         --outfile "$DHFILE" 1>&2; then
 
173
        # Otherwise try OpenSSL
 
174
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
 
175
             -pkeyopt dh_paramgen_prime_len:3072 1>&2; then
 
176
            # None of the commands succeded; give up
 
177
            rm --force -- "$DHFILE"
 
178
            return 1
 
179
        fi
 
180
    fi
 
181
    sed --in-place --expression='0,/^-----BEGIN DH PARAMETERS-----$/d' \
 
182
        "$DHFILE"
 
183
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
 
184
            "$DHFILE"
 
185
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
 
186
    rm --force -- "$DHFILE"
55
187
}
56
188
 
57
189
case "$1" in
58
190
    configure)
59
 
        add_mandos_user
60
 
        create_key
61
 
        update_initramfs
 
191
        add_mandos_user "$@"
 
192
        create_keys "$@"
 
193
        create_dh_params "$@" || :
 
194
        update_initramfs "$@"
 
195
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then
 
196
            PLUGINHELPERDIR=/usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null)/mandos/plugin-helpers
 
197
            if ! dpkg-statoverride --list "$PLUGINHELPERDIR" \
 
198
                 >/dev/null 2>&1; then
 
199
                chmod u=rwx,go= -- "$PLUGINHELPERDIR"
 
200
            fi
 
201
            if ! dpkg-statoverride --list /etc/mandos/plugin-helpers \
 
202
                 >/dev/null 2>&1; then
 
203
                chmod u=rwx,go= -- /etc/mandos/plugin-helpers
 
204
            fi
 
205
        fi
62
206
        ;;
63
207
    abort-upgrade|abort-deconfigure|abort-remove)
64
208
        ;;
65
209
 
66
210
    *)
67
 
        echo "$0 called with unknown argument \`$1'" 1>&2
 
211
        echo "$0 called with unknown argument '$1'" 1>&2
68
212
        exit 1
69
213
        ;;
70
214
esac