/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2019-08-02 22:16:53 UTC
  • Revision ID: teddy@recompile.se-20190802221653-ic1iko9hbefzwsk7
Fix bug in server Debian package: Fails to start on first install

There has been a very long-standing bug where installation of the
server (the "mandos" Debian package) would fail to start the server
properly right after installation.  It would work on manual (re)start
after installation, or after reboot, and even after package purge and
reinstall, it would then work the first time.  The problem, it turns
out, is when the new "_mandos" user (and corresponding group) is
created, the D-Bus server is not reloaded, and is therefore not aware
of that user, and does not recognize the user and group name in the
/etc/dbus-1/system.d/mandos.conf file.  The Mandos server, when it
tries to start and access the D-Bus, is then not permitted to connect
to its D-Bus bus name, and disables D-Bus use as a fallback measure;
i.e. the server works, but it is not controllable via D-Bus commands
(via mandos-ctl or mandos-monitor).  The next time the D-Bus daemon is
reloaded for any reason, the new user & group would become visible to
the D-Bus daemon and after that, any restart of the Mandos server
would succeed and it would bind to its D-Bus name properly, and
thereby be visible and controllable by mandos-ctl & mandos-monitor.
This was mostly invisible when using sysvinit, but systemd makes the
problem visible since the systemd service file for the Mandos server
is configured to not consider the Mandos server "started" until the
D-Bus name has been bound; this makes the starting of the service wait
for 90 seconds and then fail with a timeout error.

Fixing this should also make the Debian CI autopkgtest tests work.

* debian/mandos.postinst (configure): After creating (or renaming)
                                      user & group, reload D-Bus
                                      daemon (if present).

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
# This script will be run by 'mkinitramfs' when it creates the image.
4
4
# Its job is to decide which files to install, then install them into
5
5
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
 
6
# happens when a new 'linux-image' package is installed, or when an
7
7
# administrator runs 'update-initramfs' by hand to update an initramfs
8
8
# image.
9
9
 
29
29
 
30
30
. /usr/share/initramfs-tools/hook-functions
31
31
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
 
32
for d in /usr/lib \
 
33
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
 
34
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
 
35
    if [ -d "$d"/mandos ]; then
 
36
        libdir="$d"
35
37
        break
36
38
    fi
37
39
done
38
 
if [ -z "$prefix" ]; then
 
40
if [ -z "$libdir" ]; then
39
41
    # Mandos not found
40
42
    exit 1
41
43
fi
68
70
CONFDIR="/conf/conf.d/mandos"
69
71
MANDOSDIR="/lib/mandos"
70
72
PLUGINDIR="${MANDOSDIR}/plugins.d"
 
73
PLUGINHELPERDIR="${MANDOSDIR}/plugin-helpers"
71
74
HOOKDIR="${MANDOSDIR}/network-hooks.d"
72
75
 
73
76
# Make directories
74
77
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
75
78
        "${DESTDIR}${MANDOSDIR}" "${DESTDIR}${HOOKDIR}"
76
79
install --owner=${mandos_user} --group=${mandos_group} --directory \
77
 
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
 
80
        --mode=u=rwx "${DESTDIR}${PLUGINDIR}" \
 
81
        "${DESTDIR}${PLUGINHELPERDIR}"
 
82
 
 
83
copy_exec "$libdir"/mandos/mandos-to-cryptroot-unlock "${MANDOSDIR}"
78
84
 
79
85
# Copy the Mandos plugin runner
80
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
 
86
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
81
87
 
82
88
# Copy the plugins
83
89
 
84
90
# Copy the packaged plugins
85
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
 
91
for file in "$libdir"/mandos/plugins.d/*; do
86
92
    base="`basename \"$file\"`"
87
93
    # Is this plugin overridden?
88
94
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
96
102
    esac
97
103
done
98
104
 
 
105
# Copy the packaged plugin helpers
 
106
for file in "$libdir"/mandos/plugin-helpers/*; do
 
107
    base="`basename \"$file\"`"
 
108
    # Is this plugin overridden?
 
109
    if [ -e "/etc/mandos/plugin-helpers/$base" ]; then
 
110
        continue
 
111
    fi
 
112
    case "$base" in
 
113
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
114
            : ;;
 
115
        "*") : ;;
 
116
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
117
    esac
 
118
done
 
119
 
99
120
# Copy any user-supplied plugins
100
121
for file in /etc/mandos/plugins.d/*; do
101
122
    base="`basename \"$file\"`"
107
128
    esac
108
129
done
109
130
 
 
131
# Copy any user-supplied plugin helpers
 
132
for file in /etc/mandos/plugin-helpers/*; do
 
133
    base="`basename \"$file\"`"
 
134
    case "$base" in
 
135
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
136
            : ;;
 
137
        "*") : ;;
 
138
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
139
    esac
 
140
done
 
141
 
 
142
# Get DEVICE from initramfs.conf and other files
 
143
. /etc/initramfs-tools/initramfs.conf
 
144
for conf in /etc/initramfs-tools/conf.d/*; do
 
145
    if [ -n `basename \"$conf\" | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
 
146
        | grep -v '\.dpkg-.*$'` ]; then
 
147
        [ -f "${conf}" ] && . "${conf}"
 
148
    fi
 
149
done
 
150
export DEVICE
 
151
 
110
152
# Copy network hooks
111
153
for hook in /etc/mandos/network-hooks.d/*; do
112
154
    case "`basename \"$hook\"`" in
117
159
    if [ -x "$hook" ]; then
118
160
        # Copy any files needed by the network hook
119
161
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
120
 
            VERBOSITY=0 "$hook" files | while read file target; do
 
162
            VERBOSITY=0 "$hook" files | while read -r file target; do
 
163
            if [ ! -e "${file}" ]; then
 
164
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
 
165
            fi
121
166
            if [ -z "${target}" ]; then
122
167
                copy_exec "$file"
123
168
            else
126
171
        done
127
172
        # Copy and load any modules needed by the network hook
128
173
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=modules \
129
 
            VERBOSITY=0 "$hook" modules | while read module; do
130
 
            if [ -z "${target}" ]; then
131
 
                force_load "$module"
132
 
            fi
 
174
            VERBOSITY=0 "$hook" modules | while read -r module; do
 
175
            force_load "$module"
133
176
        done
134
177
    fi
135
178
done
136
179
 
137
 
# GPGME needs /usr/bin/gpg
138
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
139
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
140
 
                2>/dev/null`" ]; then
141
 
    copy_exec /usr/bin/gpg
142
 
fi
 
180
# GPGME needs GnuPG
 
181
gpg=/usr/bin/gpg
 
182
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
 
183
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
 
184
    if [ -e /usr/bin/gpgconf ]; then
 
185
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
 
186
            copy_exec /usr/bin/gpgconf
 
187
        fi
 
188
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
 
189
        gpgagent="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg-agent:[^:]*://p'`"
 
190
        # Newer versions of GnuPG 2 requires the gpg-agent binary
 
191
        if [ -e "$gpgagent" ] && [ ! -e "${DESTDIR}$gpgagent" ]; then
 
192
            copy_exec "$gpgagent"
 
193
        fi
 
194
    fi
 
195
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
 
196
    gpg=/usr/bin/gpg2
 
197
fi
 
198
if [ ! -e "${DESTDIR}$gpg" ]; then
 
199
    copy_exec "$gpg"
 
200
fi
 
201
unset gpg
 
202
unset libgpgme11_version
143
203
 
144
204
# Config files
145
205
for file in /etc/mandos/plugin-runner.conf; do
164
224
    if [ -d "$file" ]; then
165
225
        continue
166
226
    fi
167
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
168
 
    chown ${mandos_user}:${mandos_group} \
169
 
        "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
227
    case "$file" in
 
228
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
229
            : ;;
 
230
        "*") : ;;
 
231
        *)
 
232
            cp --archive --sparse=always "$file" \
 
233
               "${DESTDIR}${CONFDIR}"
 
234
            chown ${mandos_user}:${mandos_group} \
 
235
                  "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
236
            ;;
 
237
    esac
170
238
done
 
239
# Use Diffie-Hellman parameters file if available
 
240
if [ -e "${DESTDIR}${CONFDIR}"/dhparams.pem ]; then
 
241
    sed --in-place \
 
242
        --expression="1i--options-for=mandos-client:--dh-params=${CONFDIR}/dhparams.pem" \
 
243
        "${DESTDIR}/${CONFDIR}/plugin-runner.conf"
 
244
fi
171
245
 
172
246
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
173
247
# its plugin directory and its config file.  However, since almost all
178
252
# initrd; it is intended to affect the initrd.img file itself, since
179
253
# it now contains secret key files.  There is, however, no other way
180
254
# to set the permission of the initrd.img file without a race
181
 
# condition.  This umask is set by "initramfs-tools-hook-conf",
182
 
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
 
255
# condition.  This umask is set by "initramfs-tools-conf", installed
 
256
# as "/usr/share/initramfs-tools/conf.d/mandos-conf".)
183
257
184
258
for full in "${MANDOSDIR}" "${CONFDIR}"; do
185
259
    while [ "$full" != "/" ]; do
197
271
done
198
272
for dir in "${DESTDIR}"/lib* "${DESTDIR}"/usr/lib*; do
199
273
    if [ -d "$dir" ]; then
200
 
        find "$dir" \! -perm -u+rw,g+r -prune -or -print0 \
201
 
            | xargs --null --no-run-if-empty chmod a+rX
 
274
        find "$dir" \! -perm -u+rw,g+r -prune -or \! -type l -print0 \
 
275
            | xargs --null --no-run-if-empty chmod a+rX --
202
276
    fi
203
277
done