/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2019-08-02 22:16:53 UTC
  • Revision ID: teddy@recompile.se-20190802221653-ic1iko9hbefzwsk7
Fix bug in server Debian package: Fails to start on first install

There has been a very long-standing bug where installation of the
server (the "mandos" Debian package) would fail to start the server
properly right after installation.  It would work on manual (re)start
after installation, or after reboot, and even after package purge and
reinstall, it would then work the first time.  The problem, it turns
out, is when the new "_mandos" user (and corresponding group) is
created, the D-Bus server is not reloaded, and is therefore not aware
of that user, and does not recognize the user and group name in the
/etc/dbus-1/system.d/mandos.conf file.  The Mandos server, when it
tries to start and access the D-Bus, is then not permitted to connect
to its D-Bus bus name, and disables D-Bus use as a fallback measure;
i.e. the server works, but it is not controllable via D-Bus commands
(via mandos-ctl or mandos-monitor).  The next time the D-Bus daemon is
reloaded for any reason, the new user & group would become visible to
the D-Bus daemon and after that, any restart of the Mandos server
would succeed and it would bind to its D-Bus name properly, and
thereby be visible and controllable by mandos-ctl & mandos-monitor.
This was mostly invisible when using sysvinit, but systemd makes the
problem visible since the systemd service file for the Mandos server
is configured to not consider the Mandos server "started" until the
D-Bus name has been bound; this makes the starting of the service wait
for 90 seconds and then fail with a timeout error.

Fixing this should also make the Debian CI autopkgtest tests work.

* debian/mandos.postinst (configure): After creating (or renaming)
                                      user & group, reload D-Bus
                                      daemon (if present).

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
# This script will be run by 'mkinitramfs' when it creates the image.
4
4
# Its job is to decide which files to install, then install them into
5
5
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
 
6
# happens when a new 'linux-image' package is installed, or when an
7
7
# administrator runs 'update-initramfs' by hand to update an initramfs
8
8
# image.
9
9
 
29
29
 
30
30
. /usr/share/initramfs-tools/hook-functions
31
31
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
 
32
for d in /usr/lib \
 
33
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
 
34
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
 
35
    if [ -d "$d"/mandos ]; then
 
36
        libdir="$d"
35
37
        break
36
38
    fi
37
39
done
38
 
if [ -z "$prefix" ]; then
 
40
if [ -z "$libdir" ]; then
39
41
    # Mandos not found
40
42
    exit 1
41
43
fi
68
70
CONFDIR="/conf/conf.d/mandos"
69
71
MANDOSDIR="/lib/mandos"
70
72
PLUGINDIR="${MANDOSDIR}/plugins.d"
 
73
PLUGINHELPERDIR="${MANDOSDIR}/plugin-helpers"
 
74
HOOKDIR="${MANDOSDIR}/network-hooks.d"
71
75
 
72
76
# Make directories
73
77
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
74
 
        "${DESTDIR}${MANDOSDIR}"
 
78
        "${DESTDIR}${MANDOSDIR}" "${DESTDIR}${HOOKDIR}"
75
79
install --owner=${mandos_user} --group=${mandos_group} --directory \
76
 
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
 
80
        --mode=u=rwx "${DESTDIR}${PLUGINDIR}" \
 
81
        "${DESTDIR}${PLUGINHELPERDIR}"
 
82
 
 
83
copy_exec "$libdir"/mandos/mandos-to-cryptroot-unlock "${MANDOSDIR}"
77
84
 
78
85
# Copy the Mandos plugin runner
79
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
 
86
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
80
87
 
81
88
# Copy the plugins
82
89
 
83
90
# Copy the packaged plugins
84
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
 
91
for file in "$libdir"/mandos/plugins.d/*; do
85
92
    base="`basename \"$file\"`"
86
93
    # Is this plugin overridden?
87
94
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
95
102
    esac
96
103
done
97
104
 
 
105
# Copy the packaged plugin helpers
 
106
for file in "$libdir"/mandos/plugin-helpers/*; do
 
107
    base="`basename \"$file\"`"
 
108
    # Is this plugin overridden?
 
109
    if [ -e "/etc/mandos/plugin-helpers/$base" ]; then
 
110
        continue
 
111
    fi
 
112
    case "$base" in
 
113
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
114
            : ;;
 
115
        "*") : ;;
 
116
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
117
    esac
 
118
done
 
119
 
98
120
# Copy any user-supplied plugins
99
121
for file in /etc/mandos/plugins.d/*; do
100
122
    base="`basename \"$file\"`"
106
128
    esac
107
129
done
108
130
 
109
 
# GPGME needs /usr/bin/gpg
110
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
111
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
112
 
                2>/dev/null`" ]; then
113
 
    copy_exec /usr/bin/gpg
114
 
fi
 
131
# Copy any user-supplied plugin helpers
 
132
for file in /etc/mandos/plugin-helpers/*; do
 
133
    base="`basename \"$file\"`"
 
134
    case "$base" in
 
135
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
136
            : ;;
 
137
        "*") : ;;
 
138
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
139
    esac
 
140
done
 
141
 
 
142
# Get DEVICE from initramfs.conf and other files
 
143
. /etc/initramfs-tools/initramfs.conf
 
144
for conf in /etc/initramfs-tools/conf.d/*; do
 
145
    if [ -n `basename \"$conf\" | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
 
146
        | grep -v '\.dpkg-.*$'` ]; then
 
147
        [ -f "${conf}" ] && . "${conf}"
 
148
    fi
 
149
done
 
150
export DEVICE
 
151
 
 
152
# Copy network hooks
 
153
for hook in /etc/mandos/network-hooks.d/*; do
 
154
    case "`basename \"$hook\"`" in
 
155
        "*") continue ;;
 
156
        *[!A-Za-z0-9_.-]*) continue ;;
 
157
        *) test -d "$hook" || copy_exec "$hook" "${HOOKDIR}" ;;
 
158
    esac
 
159
    if [ -x "$hook" ]; then
 
160
        # Copy any files needed by the network hook
 
161
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
 
162
            VERBOSITY=0 "$hook" files | while read -r file target; do
 
163
            if [ ! -e "${file}" ]; then
 
164
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
 
165
            fi
 
166
            if [ -z "${target}" ]; then
 
167
                copy_exec "$file"
 
168
            else
 
169
                copy_exec "$file" "$target"
 
170
            fi
 
171
        done
 
172
        # Copy and load any modules needed by the network hook
 
173
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=modules \
 
174
            VERBOSITY=0 "$hook" modules | while read -r module; do
 
175
            force_load "$module"
 
176
        done
 
177
    fi
 
178
done
 
179
 
 
180
# GPGME needs GnuPG
 
181
gpg=/usr/bin/gpg
 
182
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
 
183
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
 
184
    if [ -e /usr/bin/gpgconf ]; then
 
185
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
 
186
            copy_exec /usr/bin/gpgconf
 
187
        fi
 
188
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
 
189
        gpgagent="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg-agent:[^:]*://p'`"
 
190
        # Newer versions of GnuPG 2 requires the gpg-agent binary
 
191
        if [ -e "$gpgagent" ] && [ ! -e "${DESTDIR}$gpgagent" ]; then
 
192
            copy_exec "$gpgagent"
 
193
        fi
 
194
    fi
 
195
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
 
196
    gpg=/usr/bin/gpg2
 
197
fi
 
198
if [ ! -e "${DESTDIR}$gpg" ]; then
 
199
    copy_exec "$gpg"
 
200
fi
 
201
unset gpg
 
202
unset libgpgme11_version
115
203
 
116
204
# Config files
117
205
for file in /etc/mandos/plugin-runner.conf; do
131
219
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
132
220
fi
133
221
 
134
 
# Key files 
 
222
# Key files
135
223
for file in "$keydir"/*; do
136
224
    if [ -d "$file" ]; then
137
225
        continue
138
226
    fi
139
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
140
 
    chown ${mandos_user}:${mandos_group} \
141
 
        "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
227
    case "$file" in
 
228
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
229
            : ;;
 
230
        "*") : ;;
 
231
        *)
 
232
            cp --archive --sparse=always "$file" \
 
233
               "${DESTDIR}${CONFDIR}"
 
234
            chown ${mandos_user}:${mandos_group} \
 
235
                  "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
236
            ;;
 
237
    esac
142
238
done
 
239
# Use Diffie-Hellman parameters file if available
 
240
if [ -e "${DESTDIR}${CONFDIR}"/dhparams.pem ]; then
 
241
    sed --in-place \
 
242
        --expression="1i--options-for=mandos-client:--dh-params=${CONFDIR}/dhparams.pem" \
 
243
        "${DESTDIR}/${CONFDIR}/plugin-runner.conf"
 
244
fi
143
245
 
144
246
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
145
247
# its plugin directory and its config file.  However, since almost all
150
252
# initrd; it is intended to affect the initrd.img file itself, since
151
253
# it now contains secret key files.  There is, however, no other way
152
254
# to set the permission of the initrd.img file without a race
153
 
# condition.  This umask is set by "initramfs-tools-hook-conf",
154
 
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
 
255
# condition.  This umask is set by "initramfs-tools-conf", installed
 
256
# as "/usr/share/initramfs-tools/conf.d/mandos-conf".)
155
257
156
258
for full in "${MANDOSDIR}" "${CONFDIR}"; do
157
259
    while [ "$full" != "/" ]; do
169
271
done
170
272
for dir in "${DESTDIR}"/lib* "${DESTDIR}"/usr/lib*; do
171
273
    if [ -d "$dir" ]; then
172
 
        find "$dir" \! -perm -u+rw,g+r -prune -or -print0 \
173
 
            | xargs --null --no-run-if-empty chmod a+rX
 
274
        find "$dir" \! -perm -u+rw,g+r -prune -or \! -type l -print0 \
 
275
            | xargs --null --no-run-if-empty chmod a+rX --
174
276
    fi
175
277
done