/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: teddy at recompile
  • Date: 2020-04-05 21:30:59 UTC
  • Revision ID: teddy@recompile.se-20200405213059-fb2a61ckqynrmatk
Fix file descriptor leak in mandos-client

When the local network has Mandos servers announcing themselves using
real, globally reachable, IPv6 addresses (i.e. not link-local
addresses), but there is no router on the local network providing IPv6
RA (Router Advertisement) packets, the client cannot reach the server
by normal means, since the client only has a link-local IPv6 address,
and has no usable route to reach the server's global IPv6 address.
(This is not a common situation, and usually only happens when the
router itself reboots and runs a Mandos client, since it cannot then
give RA packets to itself.)  The client code has a solution for
this, which consists of adding a temporary local route to reach the
address of the server during communication, and removing this
temporary route afterwards.

This solution with a temporary route works, but has a file descriptor
leak; it leaks one file descriptor for each addition and for each
removal of a route.  If one server requiring an added route is present
on the network, but no servers gives a password, making the client
retry after the default ten seconds, and we furthermore assume a
default 1024 open files limit, the client runs out of file descriptors
after about 90 minutes, after which time the client process will be
useless and fail to retrieve any passwords, necessitating manual
password entry via the keyboard.

Fix this by eliminating the file descriptor leak in the client.

* plugins.d/mandos-client.c (add_delete_local_route): Do
  close(devnull) also in parent process, also if fork() fails, and on
  any failure in child process.

Show diffs side-by-side

added added

removed removed

Lines of Context:
initramfs-tools-hook
1
1
#!/bin/sh
2
2
 
3
 
#
4
 
# This is an example hook script.  It will be run by 'mkinitramfs'
5
 
# when it creates the image.  It's job is to decide which files to
6
 
# install, then install them into the staging area, where the
7
 
# initramfs is being created.  This happens when a new 'linux-image'
8
 
# package is installed, or when the administrator runs 'mkinitramfs'
9
 
# by hand to update an initramfs image.
10
 
#
11
 
# TODO: What about the case where you install something that should be
12
 
#       added to the initramfs, but the linux-image it relates to has
13
 
#       already been installed previously?  Does this happen often
14
 
#       enough that it needs to be handled?  How can it be handled?
15
 
#
16
 
#       * Think about the 'usplash'.  The initramfs will need to be
17
 
#        updated if a theme change or update is desired.  Maybe it
18
 
#        should not be totally automatic, but offered on upgrade
19
 
#        predicated on a user response to a debconf question?  That
20
 
#        issue needs to be explored and a solution specified.
21
 
#
22
 
#  * Do not assume that any needed subdirectories have been created
23
 
#       yet, but don't bail out if they are already there.
24
 
#
25
 
#  * All of the standard system tools are available, of course, since
26
 
#       this hook is running in the real system, not the initramfs.
27
 
#
28
 
#  * TODO: ... ?  Anything else to tell them in this bullet-list?
29
 
#
 
3
# This script will be run by 'mkinitramfs' when it creates the image.
 
4
# Its job is to decide which files to install, then install them into
 
5
# the staging area, where the initramfs is being created.  This
 
6
# happens when a new 'linux-image' package is installed, or when an
 
7
# administrator runs 'update-initramfs' by hand to update an initramfs
 
8
# image.
30
9
 
31
 
#
32
10
# The environment contains at least:
33
11
#
34
 
#  CONFDIR -- usually /etc/mkinitramfs, can be set on mkinitramfs
35
 
#                command line.
36
 
#
37
 
#  DESTDIR -- The staging directory where we are building the image.
38
 
#
39
 
# TODO: Decide what environment variables are meaningful and defined
40
 
#       in this context, then document them as part of the interface.
41
 
#
42
 
# TODO: May need a version_compare function for comparison of VERSION?
43
 
 
44
 
 
45
 
#
46
 
# List the soft prerequisites here.  This is a space separated list of
47
 
# names, of scripts that are in the same directory as this one, that
48
 
# must be run before this one can be.
49
 
#
 
12
#  DESTDIR -- The staging directory where the image is being built.
 
13
 
 
14
# No initramfs pre-requirements
50
15
PREREQ="cryptroot"
51
16
 
52
17
prereqs()
62
27
        ;;
63
28
esac
64
29
 
65
 
 
66
 
# You can do anything you need to from here on.
67
 
#
68
 
 
69
 
# Source the optional 'hook-functions' scriptlet, if you need the
70
 
# functions defined within it.  Read it to see what is available to
71
 
# you.  It contains functions for copying dynamically linked program
72
 
# binaries, and kernel modules into the DESTDIR.
73
 
#
74
30
. /usr/share/initramfs-tools/hook-functions
75
31
 
 
32
for d in /usr/lib \
 
33
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
 
34
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
 
35
    if [ -d "$d"/mandos ]; then
 
36
        libdir="$d"
 
37
        break
 
38
    fi
 
39
done
 
40
if [ -z "$libdir" ]; then
 
41
    # Mandos not found
 
42
    exit 1
 
43
fi
 
44
 
 
45
for d in /etc/keys/mandos /etc/mandos/keys; do
 
46
    if [ -d "$d" ]; then
 
47
        keydir="$d"
 
48
        break
 
49
    fi
 
50
done
 
51
if [ -z "$keydir" ]; then
 
52
    # Mandos key directory not found
 
53
    exit 1
 
54
fi
 
55
 
 
56
set `{ getent passwd _mandos \
 
57
    || getent passwd nobody \
 
58
    || echo ::65534:65534:::; } \
 
59
    | cut --delimiter=: --fields=3,4 --only-delimited \
 
60
    --output-delimiter=" "`
 
61
mandos_user="$1"
 
62
mandos_group="$2"
 
63
 
 
64
# The Mandos network client uses the network
76
65
auto_add_modules net
77
 
# force_load tg3
 
66
# The Mandos network client uses IPv6
78
67
force_load ipv6
79
68
 
 
69
# These are directories inside the initrd
80
70
CONFDIR="/conf/conf.d/mandos"
81
 
DESTCONFDIR="${DESTDIR}${CONFDIR}"
82
 
mkdir --parents "${DESTCONFDIR}"
83
 
PLUGINDIR="${CONFDIR}/plugins.d"
84
 
mkdir --parents "${DESTDIR}${PLUGINDIR}"
85
 
 
86
 
# We don't need to copy_exec mandos-client, hooks/cryptroot will do
87
 
# that.  That will not copy the plugins, however, so we do that here.
88
 
 
89
 
# The standard plugins
90
 
for file in /usr/lib/mandos/plugins.d/*; do
 
71
MANDOSDIR="/lib/mandos"
 
72
PLUGINDIR="${MANDOSDIR}/plugins.d"
 
73
PLUGINHELPERDIR="${MANDOSDIR}/plugin-helpers"
 
74
HOOKDIR="${MANDOSDIR}/network-hooks.d"
 
75
 
 
76
# Make directories
 
77
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
 
78
        "${DESTDIR}${MANDOSDIR}" "${DESTDIR}${HOOKDIR}"
 
79
install --owner=${mandos_user} --group=${mandos_group} --directory \
 
80
        --mode=u=rwx "${DESTDIR}${PLUGINDIR}" \
 
81
        "${DESTDIR}${PLUGINHELPERDIR}"
 
82
 
 
83
copy_exec "$libdir"/mandos/mandos-to-cryptroot-unlock "${MANDOSDIR}"
 
84
 
 
85
# Copy the Mandos plugin runner
 
86
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
 
87
 
 
88
# Copy the plugins
 
89
 
 
90
# Copy the packaged plugins
 
91
for file in "$libdir"/mandos/plugins.d/*; do
91
92
    base="`basename \"$file\"`"
92
93
    # Is this plugin overridden?
93
94
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
94
95
        continue
95
96
    fi
96
97
    case "$base" in
97
 
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-new|*.dpkg-divert) : ;;
98
 
        *) copy_exec "$file" "${PLUGINDIR}";;
99
 
    esac
100
 
done
101
 
 
102
 
# Any user-supplied plugins
 
98
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
99
            : ;;
 
100
        "*") echo "W: Mandos client plugin directory is empty." >&2 ;;
 
101
        *) copy_exec "$file" "${PLUGINDIR}" ;;
 
102
    esac
 
103
done
 
104
 
 
105
# Copy the packaged plugin helpers
 
106
for file in "$libdir"/mandos/plugin-helpers/*; do
 
107
    base="`basename \"$file\"`"
 
108
    # Is this plugin overridden?
 
109
    if [ -e "/etc/mandos/plugin-helpers/$base" ]; then
 
110
        continue
 
111
    fi
 
112
    case "$base" in
 
113
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
114
            : ;;
 
115
        "*") : ;;
 
116
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
117
    esac
 
118
done
 
119
 
 
120
# Copy any user-supplied plugins
103
121
for file in /etc/mandos/plugins.d/*; do
104
122
    base="`basename \"$file\"`"
105
123
    case "$base" in
106
 
        *~|.*|*.dpkg-old|*.dpkg-new|*.dpkg-divert) : ;;
107
 
        *) copy_exec "$file" "${PLUGINDIR}";;
108
 
    esac
109
 
done
110
 
 
111
 
# GPGME needs /usr/bin/gpg
112
 
if [ -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* 2>/dev/null`" ]; then
113
 
    copy_exec /usr/bin/gpg
 
124
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
125
            : ;;
 
126
        "*") : ;;
 
127
        *) copy_exec "$file" "${PLUGINDIR}" ;;
 
128
    esac
 
129
done
 
130
 
 
131
# Copy any user-supplied plugin helpers
 
132
for file in /etc/mandos/plugin-helpers/*; do
 
133
    base="`basename \"$file\"`"
 
134
    case "$base" in
 
135
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
136
            : ;;
 
137
        "*") : ;;
 
138
        *) copy_exec "$file" "${PLUGINHELPERDIR}" ;;
 
139
    esac
 
140
done
 
141
 
 
142
# Get DEVICE from initramfs.conf and other files
 
143
. /etc/initramfs-tools/initramfs.conf
 
144
for conf in /etc/initramfs-tools/conf.d/*; do
 
145
    if [ -n "`basename \"$conf\" \
 
146
        | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
 
147
        | grep -v '\.dpkg-.*$'`" ]; then
 
148
        [ -f "${conf}" ] && . "${conf}"
 
149
    fi
 
150
done
 
151
export DEVICE
 
152
 
 
153
# Copy network hooks
 
154
for hook in /etc/mandos/network-hooks.d/*; do
 
155
    case "`basename \"$hook\"`" in
 
156
        "*") continue ;;
 
157
        *[!A-Za-z0-9_.-]*) continue ;;
 
158
        *) test -d "$hook" || copy_exec "$hook" "${HOOKDIR}" ;;
 
159
    esac
 
160
    if [ -x "$hook" ]; then
 
161
        # Copy any files needed by the network hook
 
162
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
 
163
            VERBOSITY=0 "$hook" files | while read -r file target; do
 
164
            if [ ! -e "${file}" ]; then
 
165
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
 
166
            fi
 
167
            if [ -z "${target}" ]; then
 
168
                copy_exec "$file"
 
169
            else
 
170
                copy_exec "$file" "$target"
 
171
            fi
 
172
        done
 
173
        # Copy and load any modules needed by the network hook
 
174
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=modules \
 
175
            VERBOSITY=0 "$hook" modules | while read -r module; do
 
176
            force_load "$module"
 
177
        done
 
178
    fi
 
179
done
 
180
 
 
181
# GPGME needs GnuPG
 
182
gpg=/usr/bin/gpg
 
183
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
 
184
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
 
185
    if [ -e /usr/bin/gpgconf ]; then
 
186
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
 
187
            copy_exec /usr/bin/gpgconf
 
188
        fi
 
189
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
 
190
        gpgagent="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg-agent:[^:]*://p'`"
 
191
        # Newer versions of GnuPG 2 requires the gpg-agent binary
 
192
        if [ -e "$gpgagent" ] && [ ! -e "${DESTDIR}$gpgagent" ]; then
 
193
            copy_exec "$gpgagent"
 
194
        fi
 
195
    fi
 
196
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
 
197
    gpg=/usr/bin/gpg2
 
198
fi
 
199
if [ ! -e "${DESTDIR}$gpg" ]; then
 
200
    copy_exec "$gpg"
 
201
fi
 
202
unset gpg
 
203
unset libgpgme11_version
 
204
 
 
205
# Config files
 
206
for file in /etc/mandos/plugin-runner.conf; do
 
207
    if [ -d "$file" ]; then
 
208
        continue
 
209
    fi
 
210
    cp --archive --sparse=always "$file" "${DESTDIR}${CONFDIR}"
 
211
done
 
212
 
 
213
if [ ${mandos_user} != 65534 ]; then
 
214
    sed --in-place --expression="1i--userid=${mandos_user}" \
 
215
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
 
216
fi
 
217
 
 
218
if [ ${mandos_group} != 65534 ]; then
 
219
    sed --in-place --expression="1i--groupid=${mandos_group}" \
 
220
        "${DESTDIR}${CONFDIR}/plugin-runner.conf"
114
221
fi
115
222
 
116
223
# Key files
117
 
for file in /etc/mandos/*; do
 
224
for file in "$keydir"/*; do
118
225
    if [ -d "$file" ]; then
119
226
        continue
120
227
    fi
121
 
    cp --archive --sparse=always "$file" "${DESTCONFDIR}"
 
228
    case "$file" in
 
229
        *~|.*|\#*\#|*.dpkg-old|*.dpkg-bak|*.dpkg-new|*.dpkg-divert)
 
230
            : ;;
 
231
        "*") : ;;
 
232
        *)
 
233
            cp --archive --sparse=always "$file" \
 
234
               "${DESTDIR}${CONFDIR}"
 
235
            chown ${mandos_user}:${mandos_group} \
 
236
                  "${DESTDIR}${CONFDIR}/`basename \"$file\"`"
 
237
            ;;
 
238
    esac
122
239
done
123
 
# Create key ring files
124
 
gpg --no-random-seed-file --quiet --batch --no-tty \
125
 
    --no-default-keyring --no-options --homedir "${DESTCONFDIR}" \
126
 
    --no-permission-warning --import-options import-minimal \
127
 
    --import "${DESTCONFDIR}/seckey.txt"
128
 
chown nobody "${DESTCONFDIR}/secring.gpg"
 
240
# Use Diffie-Hellman parameters file if available
 
241
if [ -e "${DESTDIR}${CONFDIR}"/dhparams.pem ]; then
 
242
    sed --in-place \
 
243
        --expression="1i--options-for=mandos-client:--dh-params=${CONFDIR}/dhparams.pem" \
 
244
        "${DESTDIR}/${CONFDIR}/plugin-runner.conf"
 
245
fi
129
246
 
130
 
# /keyscripts/mandos-client will drop priviliges, but needs access to
131
 
# its plugin directory.  However, since almost all files in initrd
132
 
# have been created with umask 027, this opening of permissions is needed.
 
247
# /lib/mandos/plugin-runner will drop priviliges, but needs access to
 
248
# its plugin directory and its config file.  However, since almost all
 
249
# files in initrd have been created with umask 027, this opening of
 
250
# permissions is needed.
133
251
134
252
# (The umask is not really intended to affect the files inside the
135
 
# initrd, but the initrd.img file itself, since it now contains secret
136
 
# key files.  There is, however, no other way to set the permission of
137
 
# the initrd.img file without a race condition. This umask is set by
138
 
# "/usr/share/initramfs-tools/conf-hooks.d/mandos".)
 
253
# initrd; it is intended to affect the initrd.img file itself, since
 
254
# it now contains secret key files.  There is, however, no other way
 
255
# to set the permission of the initrd.img file without a race
 
256
# condition.  This umask is set by "initramfs-tools-conf", installed
 
257
# as "/usr/share/initramfs-tools/conf.d/mandos-conf".)
139
258
140
 
full="${PLUGINDIR}"
141
 
while [ "$full" != "/" ]; do
142
 
    chmod a+rX "${DESTDIR}$full"
143
 
    full="`dirname \"$full\"`"
 
259
for full in "${MANDOSDIR}" "${CONFDIR}"; do
 
260
    while [ "$full" != "/" ]; do
 
261
        chmod a+rX "${DESTDIR}$full"
 
262
        full="`dirname \"$full\"`"
 
263
    done
144
264
done
 
265
 
 
266
# Reset some other things to sane permissions which we have
 
267
# inadvertently affected with our umask setting.
145
268
for dir in / /bin /etc /keyscripts /sbin /scripts /usr /usr/bin; do
146
 
    chmod a+rX "${DESTDIR}$dir"
 
269
    if [ -d "${DESTDIR}$dir" ]; then
 
270
        chmod a+rX "${DESTDIR}$dir"
 
271
    fi
147
272
done
148
 
for dir in /lib /usr/lib; do
149
 
    chmod --recursive a+rX "${DESTDIR}$dir"
 
273
for dir in "${DESTDIR}"/lib* "${DESTDIR}"/usr/lib*; do
 
274
    if [ -d "$dir" ]; then
 
275
        find "$dir" \! -perm -u+rw,g+r -prune -or \! -type l -print0 \
 
276
            | xargs --null --no-run-if-empty chmod a+rX --
 
277
    fi
150
278
done