/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2019-03-18 22:29:25 UTC
  • Revision ID: teddy@recompile.se-20190318222925-jvhek84dgcfgj6g3
mandos-ctl: Refactor tests

* mandos-ctl: Where the clients names "foo" and "barbar" do not refer
              to the actual mock clients in the TestCommand class,
              change all occurrences of these names to "client1" and
              "client2" (or just "client" when only one is used) .
              Also change all test doubles to use correct terminology;
              some things called mocks are actually stubs or spies,
              and rename all true mocks to have "mock" in their names.
              Also eliminate duplicate values in tests; derive values
              from previously defined values whenever possible.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/mandos-client.postinst
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
 
18
. /usr/share/debconf/confmodule
 
19
 
18
20
set -e
19
21
 
20
22
# Update the initial RAM file system image
21
23
update_initramfs()
22
24
{
23
 
    if [ -x /usr/sbin/update-initramfs ]; then
24
 
        update-initramfs -u -k all
25
 
    fi
 
25
    update-initramfs -u -k all
26
26
    
27
27
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
28
28
        # Make old initrd.img files unreadable too, in case they were
52
52
    fi
53
53
}
54
54
 
55
 
# Create client key pair
56
 
create_key(){
57
 
    if [ -r /etc/keys/mandos/pubkey.txt \
58
 
        -a -r /etc/keys/mandos/seckey.txt ]; then
59
 
        return 0
60
 
    fi
61
 
    if [ -x /usr/sbin/mandos-keygen ]; then
 
55
# Create client key pairs
 
56
create_keys(){
 
57
    # If the OpenPGP key files do not exist, generate all keys using
 
58
    # mandos-keygen
 
59
    if ! [ -r /etc/keys/mandos/pubkey.txt \
 
60
              -a -r /etc/keys/mandos/seckey.txt ]; then
62
61
        mandos-keygen
63
 
    fi
 
62
        gpg-connect-agent KILLAGENT /bye || :
 
63
        return 0
 
64
    fi
 
65
 
 
66
    # Remove any bad TLS keys by 1.8.0-1
 
67
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
 
68
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
 
69
        # Is the key bad?
 
70
        if ! certtool --password='' \
 
71
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
72
             --outfile=/dev/null --pubkey-info --no-text \
 
73
             2>/dev/null; then
 
74
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
 
75
                  2>/dev/null || :
 
76
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
 
77
        fi
 
78
    fi
 
79
 
 
80
    # If the TLS keys already exists, do nothing
 
81
    if [ -r /etc/keys/mandos/tls-privkey.pem \
 
82
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
 
83
        return 0
 
84
    fi
 
85
 
 
86
    # Try to create the TLS keys
 
87
 
 
88
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
 
89
 
 
90
    if certtool --generate-privkey --password='' \
 
91
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
 
92
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
 
93
 
 
94
        local umask=$(umask)
 
95
        umask 077
 
96
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
 
97
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
98
 
 
99
        # First try certtool from GnuTLS
 
100
        if ! certtool --password='' \
 
101
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
102
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
 
103
             --no-text 2>/dev/null; then
 
104
            # Otherwise try OpenSSL
 
105
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
 
106
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
 
107
                rm --force /etc/keys/mandos/tls-pubkey.pem
 
108
                # None of the commands succeded; give up
 
109
                umask $umask
 
110
                return 1
 
111
            fi
 
112
        fi
 
113
        umask $umask
 
114
 
 
115
        key_id=$(mandos-keygen --passfile=/dev/null \
 
116
                     | grep --regexp="^key_id[ =]")
 
117
 
 
118
        db_version 2.0
 
119
        db_fset mandos-client/key_id seen false
 
120
        db_reset mandos-client/key_id
 
121
        db_subst mandos-client/key_id key_id $key_id
 
122
        db_input critical mandos-client/key_id || true
 
123
        db_go
 
124
        db_stop
 
125
    else
 
126
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
127
    fi
 
128
}
 
129
 
 
130
create_dh_params(){
 
131
    if [ -r /etc/keys/mandos/dhparams.pem ]; then
 
132
        return 0
 
133
    fi
 
134
    # Create a Diffe-Hellman parameters file
 
135
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
 
136
    # First try certtool from GnuTLS
 
137
    if ! certtool --generate-dh-params --sec-param high \
 
138
         --outfile "$DHFILE"; then
 
139
        # Otherwise try OpenSSL
 
140
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
 
141
             -pkeyopt dh_paramgen_prime_len:3072; then
 
142
            # None of the commands succeded; give up
 
143
            rm -- "$DHFILE"
 
144
            return 1
 
145
        fi
 
146
    fi
 
147
    sed --in-place --expression='0,/^-----BEGIN DH PARAMETERS-----$/d' \
 
148
        "$DHFILE"
 
149
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
 
150
            "$DHFILE"
 
151
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
 
152
    rm -- "$DHFILE"
64
153
}
65
154
 
66
155
case "$1" in
67
156
    configure)
68
157
        add_mandos_user "$@"
69
 
        create_key "$@"
 
158
        create_keys "$@"
 
159
        create_dh_params "$@" || :
70
160
        update_initramfs "$@"
 
161
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then
 
162
            PLUGINHELPERDIR=/usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null)/mandos/plugin-helpers
 
163
            if ! dpkg-statoverride --list "$PLUGINHELPERDIR" \
 
164
                 >/dev/null 2>&1; then
 
165
                chmod u=rwx,go= -- "$PLUGINHELPERDIR"
 
166
            fi
 
167
            if ! dpkg-statoverride --list /etc/mandos/plugin-helpers \
 
168
                 >/dev/null 2>&1; then
 
169
                chmod u=rwx,go= -- /etc/mandos/plugin-helpers
 
170
            fi
 
171
        fi
71
172
        ;;
72
173
    abort-upgrade|abort-deconfigure|abort-remove)
73
174
        ;;