/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2019-07-18 00:02:43 UTC
  • Revision ID: teddy@recompile.se-20190718000243-okz4s9xao1r1tfnx
Document bug in mandos-keygen which strips white space from passwords

Passwords, as read by mandos-keygen when given the --password or -p
options, are stripped of white space from the start and from the end
of the password.  This is because mandos-keygen is a shell script, and
the Bourne Shell "read" builtin does not seem to have a way to avoid
this.  Document this bug.

* manods-keygen.xml (OPTIONS): Document the white space-stripping
                               nature of the --password/-p option, and
                               also note in the description of
                               --passfile and -F that they avoid this
                               behavior.
  (BUGS): Again mention the problem with the --password and -p
          options, and suggest --passfile as a possible workaround.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/bash -e
 
1
#!/bin/sh
2
2
# This script can be called in the following ways:
3
3
#
4
4
# After the package was installed:
17
17
 
18
18
. /usr/share/debconf/confmodule
19
19
 
 
20
set -e
 
21
 
20
22
# Update the initial RAM file system image
21
23
update_initramfs()
22
24
{
23
 
    if [ -x /usr/sbin/update-initramfs ]; then
24
 
        update-initramfs -u -k all
 
25
    update-initramfs -u -k all
 
26
    
 
27
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
 
28
        # Make old initrd.img files unreadable too, in case they were
 
29
        # created with mandos-client 1.0.8 or older.
 
30
        find /boot -maxdepth 1 -type f -name "initrd.img-*.bak" \
 
31
            -print0 | xargs --null --no-run-if-empty chmod o-r
25
32
    fi
26
33
}
27
34
 
28
35
# Add user and group
29
36
add_mandos_user(){
30
 
    if ! getent passwd mandos >/dev/null; then
31
 
        adduser --disabled-password  --quiet --system \
32
 
            --home /nonexistent --no-create-home \
33
 
            --gecos "Mandos password system" --group mandos
 
37
    # Rename old "mandos" user and group
 
38
    if dpkg --compare-versions "$2" lt "1.0.3-1"; then
 
39
        case "`getent passwd mandos`" in
 
40
            *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
 
41
                usermod --login _mandos mandos
 
42
                groupmod --new-name _mandos mandos
 
43
                return
 
44
                ;;
 
45
        esac
 
46
    fi
 
47
    # Create new user and group
 
48
    if ! getent passwd _mandos >/dev/null; then
 
49
        adduser --system --force-badname --quiet --home /nonexistent \
 
50
            --no-create-home --group --disabled-password \
 
51
            --gecos "Mandos password system" _mandos
34
52
    fi
35
53
}
36
54
 
37
 
# Create client key pair
38
 
create_key(){
39
 
    if [ -r /etc/keys/mandos/pubkey.txt \
40
 
        -a -r /etc/keys/mandos/seckey.txt ]; then
41
 
        return 0
42
 
    fi
43
 
    if [ -x /usr/sbin/mandos-keygen ]; then
 
55
# Create client key pairs
 
56
create_keys(){
 
57
    # If the OpenPGP key files do not exist, generate all keys using
 
58
    # mandos-keygen
 
59
    if ! [ -r /etc/keys/mandos/pubkey.txt \
 
60
              -a -r /etc/keys/mandos/seckey.txt ]; then
44
61
        mandos-keygen
45
 
    fi
 
62
        gpg-connect-agent KILLAGENT /bye || :
 
63
        return 0
 
64
    fi
 
65
 
 
66
    # Remove any bad TLS keys by 1.8.0-1
 
67
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
 
68
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
 
69
        # Is the key bad?
 
70
        if ! certtool --password='' \
 
71
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
72
             --outfile=/dev/null --pubkey-info --no-text \
 
73
             2>/dev/null; then
 
74
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
 
75
                  2>/dev/null || :
 
76
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
 
77
        fi
 
78
    fi
 
79
 
 
80
    # If the TLS keys already exists, do nothing
 
81
    if [ -r /etc/keys/mandos/tls-privkey.pem \
 
82
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
 
83
        return 0
 
84
    fi
 
85
 
 
86
    # Try to create the TLS keys
 
87
 
 
88
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
 
89
 
 
90
    if certtool --generate-privkey --password='' \
 
91
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
 
92
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
 
93
 
 
94
        local umask=$(umask)
 
95
        umask 077
 
96
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
 
97
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
98
 
 
99
        # First try certtool from GnuTLS
 
100
        if ! certtool --password='' \
 
101
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
102
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
 
103
             --no-text 2>/dev/null; then
 
104
            # Otherwise try OpenSSL
 
105
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
 
106
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
 
107
                rm --force /etc/keys/mandos/tls-pubkey.pem
 
108
                # None of the commands succeded; give up
 
109
                umask $umask
 
110
                return 1
 
111
            fi
 
112
        fi
 
113
        umask $umask
 
114
 
 
115
        key_id=$(mandos-keygen --passfile=/dev/null \
 
116
                     | grep --regexp="^key_id[ =]")
 
117
 
 
118
        db_version 2.0
 
119
        db_fset mandos-client/key_id seen false
 
120
        db_reset mandos-client/key_id
 
121
        db_subst mandos-client/key_id key_id $key_id
 
122
        db_input critical mandos-client/key_id || true
 
123
        db_go
 
124
        db_stop
 
125
    else
 
126
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
127
    fi
 
128
}
 
129
 
 
130
create_dh_params(){
 
131
    if [ -r /etc/keys/mandos/dhparams.pem ]; then
 
132
        return 0
 
133
    fi
 
134
    # Create a Diffe-Hellman parameters file
 
135
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
 
136
    # First try certtool from GnuTLS
 
137
    if ! certtool --generate-dh-params --sec-param high \
 
138
         --outfile "$DHFILE"; then
 
139
        # Otherwise try OpenSSL
 
140
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
 
141
             -pkeyopt dh_paramgen_prime_len:3072; then
 
142
            # None of the commands succeded; give up
 
143
            rm -- "$DHFILE"
 
144
            return 1
 
145
        fi
 
146
    fi
 
147
    sed --in-place --expression='0,/^-----BEGIN DH PARAMETERS-----$/d' \
 
148
        "$DHFILE"
 
149
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
 
150
            "$DHFILE"
 
151
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
 
152
    rm -- "$DHFILE"
46
153
}
47
154
 
48
155
case "$1" in
49
156
    configure)
50
 
        add_mandos_user
51
 
        create_key
52
 
        update_initramfs
 
157
        add_mandos_user "$@"
 
158
        create_keys "$@"
 
159
        create_dh_params "$@" || :
 
160
        update_initramfs "$@"
 
161
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then
 
162
            PLUGINHELPERDIR=/usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null)/mandos/plugin-helpers
 
163
            if ! dpkg-statoverride --list "$PLUGINHELPERDIR" \
 
164
                 >/dev/null 2>&1; then
 
165
                chmod u=rwx,go= -- "$PLUGINHELPERDIR"
 
166
            fi
 
167
            if ! dpkg-statoverride --list /etc/mandos/plugin-helpers \
 
168
                 >/dev/null 2>&1; then
 
169
                chmod u=rwx,go= -- /etc/mandos/plugin-helpers
 
170
            fi
 
171
        fi
53
172
        ;;
54
173
    abort-upgrade|abort-deconfigure|abort-remove)
55
174
        ;;
56
175
 
57
176
    *)
58
 
        echo "$0 called with unknown argument \`$1'" 1>&2
 
177
        echo "$0 called with unknown argument '$1'" 1>&2
59
178
        exit 1
60
179
        ;;
61
180
esac