/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-script

  • Committer: teddy at recompile
  • Date: 2020-04-05 21:30:59 UTC
  • Revision ID: teddy@recompile.se-20200405213059-fb2a61ckqynrmatk
Fix file descriptor leak in mandos-client

When the local network has Mandos servers announcing themselves using
real, globally reachable, IPv6 addresses (i.e. not link-local
addresses), but there is no router on the local network providing IPv6
RA (Router Advertisement) packets, the client cannot reach the server
by normal means, since the client only has a link-local IPv6 address,
and has no usable route to reach the server's global IPv6 address.
(This is not a common situation, and usually only happens when the
router itself reboots and runs a Mandos client, since it cannot then
give RA packets to itself.)  The client code has a solution for
this, which consists of adding a temporary local route to reach the
address of the server during communication, and removing this
temporary route afterwards.

This solution with a temporary route works, but has a file descriptor
leak; it leaks one file descriptor for each addition and for each
removal of a route.  If one server requiring an added route is present
on the network, but no servers gives a password, making the client
retry after the default ten seconds, and we furthermore assume a
default 1024 open files limit, the client runs out of file descriptors
after about 90 minutes, after which time the client process will be
useless and fail to retrieve any passwords, necessitating manual
password entry via the keyboard.

Fix this by eliminating the file descriptor leak in the client.

* plugins.d/mandos-client.c (add_delete_local_route): Do
  close(devnull) also in parent process, also if fork() fails, and on
  any failure in child process.

Show diffs side-by-side

added added

removed removed

Lines of Context:
6
6
7
7
 
8
8
# This script should be installed as
9
 
# "/usr/share/initramfs-tools/scripts/local-top/mandos" which will
10
 
# eventually be "/scripts/local-top/mandos" in the initrd.img file.
 
9
# "/usr/share/initramfs-tools/scripts/init-premount/mandos" which will
 
10
# eventually be "/scripts/init-premount/mandos" in the initrd.img
 
11
# file.
11
12
 
12
 
# No initramfs pre-requirements; we must instead run BEFORE cryptroot.
13
 
# This is not a problem, since cryptroot forces itself to run LAST.
14
 
PREREQ=""
 
13
PREREQ="udev"
15
14
prereqs()
16
15
{
17
 
     echo "$PREREQ"
 
16
    echo "$PREREQ"
18
17
}
19
18
 
20
19
case $1 in
21
20
prereqs)
22
 
     prereqs
23
 
     exit 0
24
 
     ;;
 
21
        prereqs
 
22
        exit 0
 
23
        ;;
25
24
esac
26
25
 
 
26
. /scripts/functions
 
27
 
27
28
for param in `cat /proc/cmdline`; do
28
29
    case "$param" in
29
 
        mandos=off) exit 0;;
 
30
        ip=*) IPOPTS="${param#ip=}" ;;
 
31
        mandos=*)
 
32
            # Split option line on commas
 
33
            old_ifs="$IFS"
 
34
            IFS="$IFS,"
 
35
            for mpar in ${param#mandos=}; do
 
36
                IFS="$old_ifs"
 
37
                case "$mpar" in
 
38
                    off) exit 0 ;;
 
39
                    connect) connect="" ;;
 
40
                    connect:*) connect="${mpar#connect:}" ;;
 
41
                    *) log_warning_msg "$0: Bad option ${mpar}" ;;
 
42
                esac
 
43
            done
 
44
            unset mpar
 
45
            IFS="$old_ifs"
 
46
            unset old_ifs
 
47
            ;;
30
48
    esac
31
49
done
 
50
unset param
32
51
 
33
52
chmod a=rwxt /tmp
34
53
 
35
 
test -w /conf/conf.d/cryptroot
36
 
 
37
 
# Do not replace cryptroot file unless we need to.
38
 
replace_cryptroot=no
39
 
 
40
 
# Our keyscript
41
 
mandos=/lib/mandos/plugin-runner
42
 
 
43
 
# parse /conf/conf.d/cryptroot.  Format:
44
 
# target=sda2_crypt,source=/dev/sda2,key=none,keyscript=/foo/bar/baz
45
 
exec 3>/conf/conf.d/cryptroot.mandos
46
 
while read options; do
47
 
    newopts=""
48
 
    # Split option line on commas
49
 
    old_ifs="$IFS"
50
 
    IFS="$IFS,"
51
 
    for opt in $options; do
52
 
        # Find the keyscript option, if any
53
 
        case "$opt" in
54
 
            keyscript=*)
55
 
                keyscript="${opt#keyscript=}"
56
 
                newopts="$newopts,$opt"
57
 
                ;;
58
 
            "") : ;;
59
 
            *)
60
 
                newopts="$newopts,$opt"
 
54
# Get DEVICE from /conf/initramfs.conf and other files
 
55
. /conf/initramfs.conf
 
56
for conf in /conf/conf.d/*; do
 
57
    [ -f "${conf}" ] && . "${conf}"
 
58
done
 
59
if [ -e /conf/param.conf ]; then
 
60
    . /conf/param.conf
 
61
fi
 
62
 
 
63
# Override DEVICE from sixth field of ip= kernel option, if passed
 
64
case "$IPOPTS" in
 
65
    *:*:*:*:*:*)                # At least six fields
 
66
        # Remove the first five fields
 
67
        device="${IPOPTS#*:*:*:*:*:}"
 
68
        # Remove all fields except the first one
 
69
        DEVICE="${device%%:*}"
 
70
        ;;
 
71
esac
 
72
 
 
73
# Add device setting (if any) to plugin-runner.conf
 
74
if [ "${DEVICE+set}" = set ]; then
 
75
    # Did we get the device from an ip= option?
 
76
    if [ "${device+set}" = set ]; then
 
77
        # Let ip= option override local config; append:
 
78
        cat <<-EOF >>/conf/conf.d/mandos/plugin-runner.conf
 
79
        
 
80
        --options-for=mandos-client:--interface=${DEVICE}
 
81
EOF
 
82
    else
 
83
        # Prepend device setting so any later options would override:
 
84
        sed -i -e \
 
85
            '1i--options-for=mandos-client:--interface='"${DEVICE}" \
 
86
            /conf/conf.d/mandos/plugin-runner.conf
 
87
    fi
 
88
fi
 
89
unset device
 
90
 
 
91
# If we are connecting directly, run "configure_networking" (from
 
92
# /scripts/functions); it needs IPOPTS and DEVICE
 
93
if [ "${connect+set}" = set ]; then
 
94
    set +e                      # Required by library functions
 
95
    configure_networking
 
96
    set -e
 
97
    if [ -n "$connect" ]; then
 
98
        cat <<-EOF >>/conf/conf.d/mandos/plugin-runner.conf
 
99
        
 
100
        --options-for=mandos-client:--connect=${connect}
 
101
EOF
 
102
    fi
 
103
fi
 
104
 
 
105
if [ -r /conf/conf.d/cryptroot ]; then
 
106
    test -w /conf/conf.d
 
107
 
 
108
    # Do not replace cryptroot file unless we need to.
 
109
    replace_cryptroot=no
 
110
 
 
111
    # Our keyscript
 
112
    mandos=/lib/mandos/plugin-runner
 
113
    test -x "$mandos"
 
114
 
 
115
    # parse /conf/conf.d/cryptroot.  Format:
 
116
    # target=sda2_crypt,source=/dev/sda2,rootdev,key=none,keyscript=/foo/bar/baz
 
117
    # Is the root device specially marked?
 
118
    changeall=yes
 
119
    while read -r options; do
 
120
        case "$options" in
 
121
            rootdev,*|*,rootdev,*|*,rootdev)
 
122
                # If the root device is specially marked, don't change all
 
123
                # lines in crypttab by default.
 
124
                changeall=no
61
125
                ;;
62
126
        esac
63
 
    done
64
 
    IFS="$old_ifs"
65
 
    unset old_ifs
66
 
    # If there was no keyscript option, add one.
67
 
    if [ -z "$keyscript" ]; then
68
 
        replace_cryptroot=yes
69
 
        newopts="$newopts,keyscript=$mandos"
 
127
    done < /conf/conf.d/cryptroot
 
128
 
 
129
    exec 3>/conf/conf.d/cryptroot.mandos
 
130
    while read -r options; do
 
131
        newopts=""
 
132
        keyscript=""
 
133
        changethis="$changeall"
 
134
        # Split option line on commas
 
135
        old_ifs="$IFS"
 
136
        IFS="$IFS,"
 
137
        for opt in $options; do
 
138
            # Find the keyscript option, if any
 
139
            case "$opt" in
 
140
                keyscript=*)
 
141
                    keyscript="${opt#keyscript=}"
 
142
                    newopts="$newopts,$opt"
 
143
                    ;;
 
144
                "") : ;;
 
145
                # Always use Mandos on the root device, if marked
 
146
                rootdev)
 
147
                    changethis=yes
 
148
                    newopts="$newopts,$opt"
 
149
                    ;;
 
150
                # Don't use Mandos on resume device, if marked
 
151
                resumedev)
 
152
                    changethis=no
 
153
                    newopts="$newopts,$opt"
 
154
                    ;;
 
155
                *)
 
156
                    newopts="$newopts,$opt"
 
157
                    ;;
 
158
            esac
 
159
        done
 
160
        IFS="$old_ifs"
 
161
        unset old_ifs
 
162
        # If there was no keyscript option, add one.
 
163
        if [ "$changethis" = yes ] && [ -z "$keyscript" ]; then
 
164
            replace_cryptroot=yes
 
165
            newopts="$newopts,keyscript=$mandos"
 
166
        fi
 
167
        newopts="${newopts#,}"
 
168
        echo "$newopts" >&3
 
169
    done < /conf/conf.d/cryptroot
 
170
    exec 3>&-
 
171
 
 
172
    # If we need to, replace the old cryptroot file with the new file.
 
173
    if [ "$replace_cryptroot" = yes ]; then
 
174
        mv /conf/conf.d/cryptroot /conf/conf.d/cryptroot.mandos-old
 
175
        mv /conf/conf.d/cryptroot.mandos /conf/conf.d/cryptroot
 
176
    else
 
177
        rm -f /conf/conf.d/cryptroot.mandos
70
178
    fi
71
 
    newopts="${newopts#,}"
72
 
    echo "$newopts" >&3
73
 
done < /conf/conf.d/cryptroot
74
 
exec 3>&-
75
 
 
76
 
# If we need to, replace the old cryptroot file with the new file.
77
 
if [ "$replace_cryptroot" = yes ]; then
78
 
    mv /conf/conf.d/cryptroot /conf/conf.d/cryptroot.mandos-old
79
 
    mv /conf/conf.d/cryptroot.mandos /conf/conf.d/cryptroot
80
 
else
81
 
    rm /conf/conf.d/cryptroot.mandos
 
179
elif [ -x /usr/bin/cryptroot-unlock ]; then
 
180
    setsid /lib/mandos/mandos-to-cryptroot-unlock &
82
181
fi