/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2008-07-19 18:43:24 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080719184324-iwhoa5in75xa0u2u
* mandos-clients.conf ([foo]/dn, [foo]/password, [braxen_client]/dn,
                       [braxen_client]/password): Removed.
  ([foo]/fingerprint, [braxen_client]/fingerprint): New.
  ([foo]/checker): New.
  ([foo]/secfile): New.
  ([braxen_client]/secret): New.

* server.py: New "--debug" option to set debug flag.  Removed "cert",
             "key", "ca", "crl", and "cred" variables.  Added default
             value for "checker" config file setting.  Do not pass
             credentials to IPv6_TCPServer constructor.
  (debug): New global debug flag.  Used by most debugging output code.
  (Client.__init__): Keyword argument "dn" replaced by "fingerprint",
                     "password" renamed to "secret", and "passfile"
                     renamed to "secfile".  New keyword argument
                     "checker". All callers changed.
  (Client.dn): Removed.
  (Client.fingerprint): New.
  (Client.password): Renamed to "secret"; all users changed.
  (Client.passfile): Renamed to "secfile"; all users changed.
  (Client.timeout, Client.interval): Changed to be properties; now
                                     automatically updates the
                                     "_timeout_milliseconds" and
                                     "_interval_milliseconds" values.
  (Client.timeout_milliseconds): Renamed to "_timeout_milliseconds".
  (Client.interval_milliseconds): Renamed to "_interval_milliseconds".
  (Client.check_command): New.
  (Client.start_checker): Use the new "check_command" attribute.
  (peer_certificate, fingerprint): New functions.

  (tcp_handler.handle): Use ClientSession with empty credentials
                        object instead of ServerSession.  Set gnutls
                        priority string.  Do not verify peer.  Use
                        fingerprint instead of DN when searching for
                        clients.  Bug fix: Loop sending data so even large
                        secret data strings are sent.
  (IPv6_TCPServer.credentials): Removed.
  (if_nametoindex): Do not import ctypes since that is now imported
                    globally.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/sh
2
 
 
3
 
# This script will be run by 'mkinitramfs' when it creates the image.
4
 
# Its job is to decide which files to install, then install them into
5
 
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
7
 
# administrator runs 'update-initramfs' by hand to update an initramfs
8
 
# image.
9
 
 
10
 
# The environment contains at least:
11
 
#
12
 
#  DESTDIR -- The staging directory where the image is being built.
13
 
 
14
 
# No initramfs pre-requirements
15
 
PREREQ="cryptroot"
16
 
 
17
 
prereqs()
18
 
{
19
 
        echo "$PREREQ"
20
 
}
21
 
 
22
 
case $1 in
23
 
# get pre-requisites
24
 
prereqs)
25
 
        prereqs
26
 
        exit 0
27
 
        ;;
28
 
esac
29
 
 
30
 
. /usr/share/initramfs-tools/hook-functions
31
 
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
35
 
        break
36
 
    fi
37
 
done
38
 
if [ -z "$prefix" ]; then
39
 
    # Mandos not found
40
 
    exit 1
41
 
fi
42
 
 
43
 
for d in /etc/keys/mandos /etc/mandos/keys; do
44
 
    if [ -d "$d" ]; then
45
 
        keydir="$d"
46
 
        break
47
 
    fi
48
 
done
49
 
if [ -z "$keydir" ]; then
50
 
    # Mandos key directory not found
51
 
    exit 1
52
 
fi
53
 
 
54
 
mandos_user="`{ getent passwd _mandos \
55
 
                || getent passwd mandos \
56
 
                || getent passwd nobody \
57
 
                || echo ::65534::::; } \
58
 
        | awk --field-separator=: '{ print $3 }'`" 
59
 
mandos_group="`{ getent group _mandos \
60
 
                || getent group mandos \
61
 
                || getent group nogroup \
62
 
                || echo ::65534:; } \
63
 
        | awk --field-separator=: '{ print $3 }'`"
64
 
 
65
 
# The Mandos network client uses the network
66
 
auto_add_modules net
67
 
# The Mandos network client uses IPv6
68
 
force_load ipv6
69
 
 
70
 
# These are directories inside the initrd
71
 
CONFDIR="/conf/conf.d/mandos"
72
 
MANDOSDIR="/lib/mandos"
73
 
PLUGINDIR="${MANDOSDIR}/plugins.d"
74
 
 
75
 
# Make directories
76
 
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
77
 
        "${DESTDIR}${MANDOSDIR}"
78
 
install --owner=${mandos_user} --group=${mandos_group} --directory \
79
 
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
80
 
 
81
 
# Copy the Mandos plugin runner
82
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
83
 
 
84
 
# Copy the plugins
85
 
 
86
 
# Copy the packaged plugins
87
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
88
 
    base="`basename \"$file\"`"
89
 
    # Is this plugin overridden?
90
 
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
91
 
        continue
92
 
    fi
93
 
    case "$base" in
94
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert) : ;;
95
 
        "*") :;;
96
 
        *) copy_exec "$file" "${PLUGINDIR}";;
97
 
    esac
98
 
done
99
 
 
100
 
# Copy any user-supplied plugins
101
 
for file in /etc/mandos/plugins.d/*; do
102
 
    base="`basename \"$file\"`"
103
 
    case "$base" in
104
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert) : ;;
105
 
        "*") :;;
106
 
        *) copy_exec "$file" "${PLUGINDIR}";;
107
 
    esac
108
 
done
109
 
 
110
 
# GPGME needs /usr/bin/gpg
111
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
112
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
113
 
                2>/dev/null`" ]; then
114
 
    copy_exec /usr/bin/gpg
115
 
fi
116
 
 
117
 
# Config files
118
 
for file in /etc/mandos/*; do
119
 
    if [ -d "$file" ]; then
120
 
        continue
121
 
    fi
122
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
123
 
done
124
 
 
125
 
if [ ${mandos_user} != 65534 ]; then
126
 
    PLUGINRUNNERCONF="${DESTDIR}${CONFDIR}/plugin-runner.conf"
127
 
    echo "--userid=${mandos_user}" >> "$PLUGINRUNNERCONF"
128
 
fi
129
 
 
130
 
if [ ${mandos_group} != 65534 ]; then
131
 
    PLUGINRUNNERCONF="${DESTDIR}${CONFDIR}/plugin-runner.conf"
132
 
    echo "--groupid=${mandos_group}" >> "$PLUGINRUNNERCONF"
133
 
fi
134
 
 
135
 
# Key files 
136
 
for file in  "$keydir"/*; do
137
 
    if [ -d "$file" ]; then
138
 
        continue
139
 
    fi
140
 
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
141
 
    chown ${mandos_user}:${mandos_group} \
142
 
        "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
143
 
done
144
 
 
145
 
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
146
 
# its plugin directory and its config file.  However, since almost all
147
 
# files in initrd have been created with umask 027, this opening of
148
 
# permissions is needed.
149
 
150
 
# (The umask is not really intended to affect the files inside the
151
 
# initrd; it is intended to affect the initrd.img file itself, since
152
 
# it now contains secret key files.  There is, however, no other way
153
 
# to set the permission of the initrd.img file without a race
154
 
# condition.  This umask is set by "initramfs-tools-hook-conf",
155
 
# installed as "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
156
 
157
 
for full in "${MANDOSDIR}" "${CONFDIR}"; do
158
 
    while [ "$full" != "/" ]; do
159
 
        chmod a+rX "${DESTDIR}$full"
160
 
        full="`dirname \"$full\"`"
161
 
    done
162
 
done
163
 
 
164
 
# Reset some other things to sane permissions which we have
165
 
# inadvertently affected with our umask setting.
166
 
for dir in / /bin /etc /keyscripts /sbin /scripts /usr /usr/bin; do
167
 
    if [ -d "${DESTDIR}$dir" ]; then
168
 
        chmod a+rX "${DESTDIR}$dir"
169
 
    fi
170
 
done
171
 
for dir in /lib /usr/lib; do
172
 
    find "${DESTDIR}$dir" \! -perm -u+rw,g+r -prune -or -print0 \
173
 
        | xargs --null --no-run-if-empty chmod a+rX
174
 
done