/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to dracut-module/password-agent.c

  • Committer: Teddy Hogeborn
  • Date: 2021-03-21 20:46:40 UTC
  • Revision ID: teddy@recompile.se-20210321204640-lpsyen8jr9lw1jma
Some cleanup of GnuTLS interface

Rename opaque internal GnuTLS structures named *_int to also start
with underscore (_), as is the custom in Python programs.

Decode byte strings from UTF-8 where needed.  (Fixing, among other
things, all "DEBUG: GnuTLS" lines having a "b'" prefix in Python 3.)

Simplify calling C functions by:
1. Using the "_as_parameter_" attribute to store the ctypes object.
2. Creating and using helper classes to automatically create pointers
   or cast typed pointers to pointers to void.
3. Providing the "from_param()" method on relevant classes.

Remove "restype" attribute on C functions where "errcheck" attribute
is already set.

* mandos (gnutls.session_int): Rename to start with "_".
  (gnutls.openpgp_crt_int): - '' -
  (gnutls.Error.__init__): Decode byte string from gnutls.strerror().
  (gnutls.PointerTo): New helper class.
  (gnutls.CastToVoidPointer): - '' -
  (gnutls.With_from_param): - '' -
  (gnutls.Credentials): Inherit from "With_from_param" and store the
  ctypes object in the "_as_parameter_" attribute instead of
  "_c_object".
  (gnutls._error_code): Use "gnutls.E_SUCCESS" instead of the unadorned
  numerical constant "0".
  (gnutls._retry_on_error): - '' -
  (gnutls.priority_set_direct.argtypes): Use "ClientSession" instead
  of "session_t", and change all callers to match.
  (gnutls.init.argtypes): Use "PointerTo(ClientSession)" instead of
  "ctypes.POINTER(session_t)", and change all callers to match.
  (gnutls.set_default_priority.argtypes): Use "ClientSession" instead
  of "session_t", and change all callers to match.
  (gnutls.record_send.argtypes): - '' -
  (gnutls.certificate_allocate_credentials.argtypes): Use
  "PointerTo(Credentials)" instead of
  "ctypes.POINTER(certificate_credentials_t)", and change all callers
  to match.
  (gnutls.certificate_free_credentials.argtypes): Use "Credentials"
  instead of "certificate_credentials_t", and change all callers to
  match.
  (gnutls.handshake_set_private_extensions.argtypes): Use
  "ClientSession" instead of "session_t", and change all callers to
  match.
  (gnutls.credentials_set.argtypes): Use
  "CastToVoidPointer(Credentials)" instead of "ctypes.c_void_p", and
  change all callers to match.
  (gnutls.certificate_type_get.argtypes): Use "ClientSession" instead
  of "session_t", and change all callers to match.
  (gnutls.certificate_get_peers.argtypes): - '' -
  (gnutls.deinit.argtypes): - '' -
  (gnutls.handshake.argtypes): - '' -
  (gnutls.handshake.restype): Change from "_error_code" to
  "ctypes.c_int".
  (gnutls.transport_set_ptr.argtypes): Use "ClientSession" instead of
  "session_t", and change all callers to match.
  (gnutls.bye.argtypes): - '' -
  (gnutls.bye.restype): Change from "_error_code" to "ctypes.c_int".
  (gnutls.certificate_type_get2.argtypes): Use "ClientSession" instead
  of "session_t", and change all callers to match.
  (ClientHandler.handle): Decode "key_id" bytes to string before
  logging it in the debug log.
  (main.debug_gnutls): Decode GnuTLS log message from bytes to string
  before logging it in the debug log.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
/*
3
3
 * Mandos password agent - Simple password agent to run Mandos client
4
4
 *
5
 
 * Copyright © 2019 Teddy Hogeborn
6
 
 * Copyright © 2019 Björn Påhlsson
 
5
 * Copyright © 2019-2021 Teddy Hogeborn
 
6
 * Copyright © 2019-2021 Björn Påhlsson
7
7
 * 
8
8
 * This file is part of Mandos.
9
9
 * 
23
23
 * Contact the authors at <mandos@recompile.se>.
24
24
 */
25
25
 
26
 
#define _GNU_SOURCE
27
 
#include <inttypes.h>           /* uintmax_t, PRIuMAX, PRIdMAX,
28
 
                                   intmax_t, uint32_t, SCNx32,
29
 
                                   SCNuMAX, SCNxMAX */
30
 
#include <stddef.h>             /* size_t */
 
26
#define _GNU_SOURCE             /* pipe2(), O_CLOEXEC, setresgid(),
 
27
                                   setresuid(), asprintf(), getline(),
 
28
                                   basename() */
 
29
#include <inttypes.h>           /* uintmax_t, strtoumax(), PRIuMAX,
 
30
                                   PRIdMAX, intmax_t, uint32_t,
 
31
                                   SCNx32, SCNuMAX, SCNxMAX */
 
32
#include <stddef.h>             /* size_t, NULL */
31
33
#include <sys/types.h>          /* pid_t, uid_t, gid_t, getuid(),
32
34
                                   getpid() */
33
35
#include <stdbool.h>            /* bool, true, false */
40
42
                                   NSIG, sigismember(), SA_ONSTACK,
41
43
                                   SIG_DFL, SIG_IGN, SIGINT, SIGQUIT,
42
44
                                   SIGHUP, SIGSTOP, SIG_UNBLOCK */
 
45
#include <unistd.h>             /* uid_t, gid_t, close(), pipe2(),
 
46
                                   fork(), _exit(), dup2(),
 
47
                                   STDOUT_FILENO, setresgid(),
 
48
                                   setresuid(), execv(), ssize_t,
 
49
                                   read(), dup3(), getuid(), dup(),
 
50
                                   STDERR_FILENO, pause(), write(),
 
51
                                   rmdir(), unlink(), getpid() */
43
52
#include <stdlib.h>             /* EXIT_SUCCESS, EXIT_FAILURE,
44
 
                                   malloc(), free(), strtoumax(),
45
 
                                   realloc(), setenv(), calloc(),
46
 
                                   mkdtemp(), mkostemp() */
 
53
                                   malloc(), free(), realloc(),
 
54
                                   setenv(), calloc(), mkdtemp(),
 
55
                                   mkostemp() */
47
56
#include <iso646.h>             /* not, or, and, xor */
48
57
#include <error.h>              /* error() */
49
58
#include <sysexits.h>           /* EX_USAGE, EX_OSERR, EX_OSFILE */
50
59
#include <errno.h>              /* errno, error_t, EACCES,
51
 
                                   ENAMETOOLONG, ENOENT, EEXIST,
52
 
                                   ECHILD, EPERM, ENOMEM, EAGAIN,
53
 
                                   EINTR, ENOBUFS, EADDRINUSE,
 
60
                                   ENAMETOOLONG, ENOENT, ENOTDIR,
 
61
                                   ENOMEM, EEXIST, ECHILD, EPERM,
 
62
                                   EAGAIN, EINTR, ENOBUFS, EADDRINUSE,
54
63
                                   ECONNREFUSED, ECONNRESET,
55
64
                                   ETOOMANYREFS, EMSGSIZE, EBADF,
56
65
                                   EINVAL */
57
66
#include <string.h>             /* strdup(), memcpy(),
58
67
                                   explicit_bzero(), memset(),
59
68
                                   strcmp(), strlen(), strncpy(),
60
 
                                   memcmp(), basename() */
 
69
                                   memcmp(), basename(), strerror() */
61
70
#include <argz.h>               /* argz_create(), argz_count(),
62
71
                                   argz_extract(), argz_next(),
63
72
                                   argz_add() */
73
82
                                   ARGP_ERR_UNKNOWN, ARGP_KEY_ARGS,
74
83
                                   struct argp, argp_parse(),
75
84
                                   ARGP_NO_EXIT */
76
 
#include <unistd.h>             /* uid_t, gid_t, close(), pipe2(),
77
 
                                   fork(), _exit(), dup2(),
78
 
                                   STDOUT_FILENO, setresgid(),
79
 
                                   setresuid(), execv(), ssize_t,
80
 
                                   read(), dup3(), getuid(), dup(),
81
 
                                   STDERR_FILENO, pause(), write(),
82
 
                                   rmdir(), unlink(), getpid() */
 
85
#include <stdint.h>             /* SIZE_MAX, uint32_t */
83
86
#include <sys/mman.h>           /* munlock(), mlock() */
84
87
#include <fcntl.h>              /* O_CLOEXEC, O_NONBLOCK, fcntl(),
85
88
                                   F_GETFD, F_GETFL, FD_CLOEXEC,
86
89
                                   open(), O_WRONLY, O_NOCTTY,
87
 
                                   O_RDONLY */
 
90
                                   O_RDONLY, O_NOFOLLOW */
88
91
#include <sys/wait.h>           /* waitpid(), WNOHANG, WIFEXITED(),
89
92
                                   WEXITSTATUS() */
90
93
#include <limits.h>             /* PIPE_BUF, NAME_MAX, INT_MAX */
91
94
#include <sys/inotify.h>        /* inotify_init1(), IN_NONBLOCK,
92
95
                                   IN_CLOEXEC, inotify_add_watch(),
93
96
                                   IN_CLOSE_WRITE, IN_MOVED_TO,
94
 
                                   IN_DELETE, struct inotify_event */
 
97
                                   IN_MOVED_FROM, IN_DELETE,
 
98
                                   IN_EXCL_UNLINK, IN_ONLYDIR,
 
99
                                   struct inotify_event */
95
100
#include <fnmatch.h>            /* fnmatch(), FNM_FILE_NAME */
96
 
#include <stdio.h>              /* asprintf(), FILE, fopen(),
97
 
                                   getline(), sscanf(), feof(),
98
 
                                   ferror(), fclose(), stderr,
99
 
                                   rename(), fdopen(), fprintf(),
100
 
                                   fscanf() */
 
101
#include <stdio.h>              /* asprintf(), FILE, stderr, fopen(),
 
102
                                   fclose(), getline(), sscanf(),
 
103
                                   feof(), ferror(), rename(),
 
104
                                   fdopen(), fprintf(), fscanf() */
101
105
#include <glib.h>    /* GKeyFile, g_key_file_free(), g_key_file_new(),
102
106
                        GError, g_key_file_load_from_file(),
103
107
                        G_KEY_FILE_NONE, TRUE, G_FILE_ERROR_NOENT,
108
112
                        g_assert_null(), g_assert_false(),
109
113
                        g_assert_cmpint(), g_assert_cmpuint(),
110
114
                        g_test_skip(), g_assert_cmpstr(),
111
 
                        g_test_init(), g_test_add(), g_test_run(),
112
 
                        GOptionContext, g_option_context_new(),
 
115
                        g_test_message(), g_test_init(), g_test_add(),
 
116
                        g_test_run(), GOptionContext,
 
117
                        g_option_context_new(),
113
118
                        g_option_context_set_help_enabled(), FALSE,
114
119
                        g_option_context_set_ignore_unknown_options(),
115
120
                        gboolean, GOptionEntry, G_OPTION_ARG_NONE,
146
151
  mono_microsecs next_run;
147
152
} __attribute__((designated_init)) task_queue;
148
153
 
149
 
/* "func_type" - A function type for task functions
 
154
/* "task_func" - A function type for task functions
150
155
 
151
156
   I.e. functions for the code which runs when a task is run, all have
152
157
   this type */
649
654
 
650
655
__attribute__((nonnull, warn_unused_result))
651
656
bool add_to_queue(task_queue *const queue, const task_context task){
 
657
  if((queue->length + 1) > (SIZE_MAX / sizeof(task_context))){
 
658
    /* overflow */
 
659
    error(0, ENOMEM, "Failed to allocate %" PRIuMAX
 
660
          " tasks for queue->tasks", (uintmax_t)(queue->length + 1));
 
661
    errno = ENOMEM;
 
662
    return false;
 
663
  }
652
664
  const size_t needed_size = sizeof(task_context)*(queue->length + 1);
653
665
  if(needed_size > (queue->allocated)){
654
666
    task_context *const new_tasks = realloc(queue->tasks,
859
871
  }
860
872
  close(pipefds[1]);
861
873
 
 
874
  if(pid == -1){
 
875
    error(0, errno, "Failed to fork()");
 
876
    close(pipefds[0]);
 
877
    return false;
 
878
  }
 
879
 
862
880
  if(not add_to_queue(queue, (task_context){
863
881
        .func=wait_for_mandos_client_exit,
864
882
        .pid=pid,
1178
1196
  bool *const password_is_read = task.password_is_read;
1179
1197
 
1180
1198
  /* We use the GLib "Key-value file parser" functions to parse the
1181
 
     question file.  See <https://www.freedesktop.org/wiki/Software
1182
 
     /systemd/PasswordAgents/> for specification of contents */
 
1199
     question file.  See <https://systemd.io/PASSWORD_AGENTS/> for
 
1200
     specification of contents */
1183
1201
  __attribute__((nonnull))
1184
1202
    void cleanup_g_key_file(GKeyFile **key_file){
1185
1203
    if(*key_file != NULL){
1475
1493
         not. You may but don't have to include a final NUL byte in
1476
1494
         your message.
1477
1495
 
1478
 
         — <https://www.freedesktop.org/wiki/Software/systemd/
1479
 
         PasswordAgents/> (Wed 08 Oct 2014 02:14:28 AM UTC)
 
1496
         — <https://systemd.io/PASSWORD_AGENTS/> (Tue, 15 Sep 2020
 
1497
         14:24:20 GMT)
1480
1498
      */
1481
1499
      send_buffer[0] = '+';     /* Prefix with "+" */
1482
1500
      /* Always add an extra NUL */
1487
1505
      errno = 0;
1488
1506
      ssize_t ssret = send(fd, send_buffer, send_buffer_length,
1489
1507
                           MSG_NOSIGNAL);
1490
 
      const error_t saved_errno = errno;
 
1508
      const error_t saved_errno = (ssret < 0) ? errno : 0;
1491
1509
#if defined(__GLIBC_PREREQ) and __GLIBC_PREREQ(2, 25)
1492
1510
      explicit_bzero(send_buffer, send_buffer_length);
1493
1511
#else
1511
1529
          /* Retry, below */
1512
1530
          break;
1513
1531
        case EMSGSIZE:
1514
 
          error(0, 0, "Password of size %" PRIuMAX " is too big",
1515
 
                (uintmax_t)password->length);
 
1532
          error(0, saved_errno, "Password of size %" PRIuMAX
 
1533
                " is too big", (uintmax_t)password->length);
1516
1534
#if __GNUC__ < 7
1517
1535
          /* FALLTHROUGH */
1518
1536
#else
1520
1538
#endif
1521
1539
        case 0:
1522
1540
          if(ssret >= 0 and ssret < (ssize_t)send_buffer_length){
1523
 
            error(0, 0, "Password only partially sent to socket");
 
1541
            error(0, 0, "Password only partially sent to socket %s: %"
 
1542
                  PRIuMAX " out of %" PRIuMAX " bytes sent", filename,
 
1543
                  (uintmax_t)ssret, (uintmax_t)send_buffer_length);
1524
1544
          }
1525
1545
#if __GNUC__ < 7
1526
1546
          /* FALLTHROUGH */
1882
1902
  g_assert_true(queue->tasks[0].func == dummy_func);
1883
1903
}
1884
1904
 
 
1905
static void test_add_to_queue_overflow(__attribute__((unused))
 
1906
                                       test_fixture *fixture,
 
1907
                                       __attribute__((unused))
 
1908
                                       gconstpointer user_data){
 
1909
  __attribute__((cleanup(cleanup_queue)))
 
1910
    task_queue *queue = create_queue();
 
1911
  g_assert_nonnull(queue);
 
1912
  g_assert_true(queue->length == 0);
 
1913
  queue->length = SIZE_MAX / sizeof(task_context); /* fake max size */
 
1914
 
 
1915
  FILE *real_stderr = stderr;
 
1916
  FILE *devnull = fopen("/dev/null", "we");
 
1917
  g_assert_nonnull(devnull);
 
1918
  stderr = devnull;
 
1919
  const bool ret = add_to_queue(queue,
 
1920
                                (task_context){ .func=dummy_func });
 
1921
  g_assert_true(errno == ENOMEM);
 
1922
  g_assert_false(ret);
 
1923
  stderr = real_stderr;
 
1924
  g_assert_cmpint(fclose(devnull), ==, 0);
 
1925
  queue->length = 0;            /* Restore real size */
 
1926
}
 
1927
 
1885
1928
static void dummy_func(__attribute__((unused))
1886
1929
                       const task_context task,
1887
1930
                       __attribute__((unused))
2158
2201
    }
2159
2202
    exit(EXIT_SUCCESS);
2160
2203
  }
 
2204
  if(pid == -1){
 
2205
    error(EXIT_FAILURE, errno, "Failed to fork()");
 
2206
  }
 
2207
 
2161
2208
  int status;
2162
2209
  waitpid(pid, &status, 0);
2163
2210
  if(WIFEXITED(status) and (WEXITSTATUS(status) == EXIT_SUCCESS)){
5765
5812
  char write_data[PIPE_BUF];
5766
5813
  {
5767
5814
    /* Construct test password buffer */
5768
 
    /* Start with + since that is what the real procotol uses */
 
5815
    /* Start with + since that is what the real protocol uses */
5769
5816
    write_data[0] = '+';
5770
5817
    /* Set a special character at string end just to mark the end */
5771
5818
    write_data[sizeof(write_data)-2] = 'y';
5923
5970
  char *const filename = strdup("/nonexistent/socket");
5924
5971
  __attribute__((cleanup(string_set_clear)))
5925
5972
    string_set cancelled_filenames = {};
5926
 
  const size_t oversized = 1024*1024; /* Limit seems to be 212960 */
5927
 
  __attribute__((cleanup(cleanup_buffer)))
5928
 
    buffer password = {
5929
 
    .data=malloc(oversized),
5930
 
    .length=oversized,
5931
 
    .allocated=oversized,
 
5973
  int socketfds[2];
 
5974
 
 
5975
  /* Find a message size which triggers EMSGSIZE */
 
5976
  __attribute__((cleanup(cleanup_string)))
 
5977
    char *message_buffer = NULL;
 
5978
  size_t message_size = PIPE_BUF + 1;
 
5979
  for(ssize_t ssret = 0; ssret >= 0; message_size += 1024){
 
5980
    if(message_size >= 1024*1024*1024){ /* 1 GiB */
 
5981
      g_test_skip("Skipping EMSGSIZE test: Will not try 1GiB");
 
5982
      return;
 
5983
    }
 
5984
    message_buffer = realloc(message_buffer, message_size);
 
5985
    if(message_buffer == NULL){
 
5986
      g_test_skip("Skipping EMSGSIZE test");
 
5987
      g_test_message("Failed to malloc() %" PRIuMAX " bytes",
 
5988
                     (uintmax_t)message_size);
 
5989
      return;
 
5990
    }
 
5991
    /* Fill buffer with 'x' */
 
5992
    memset(message_buffer, 'x', message_size);
 
5993
    /* Create a new socketpair for each message size to avoid having
 
5994
       to empty the pipe by reading the message to a separate buffer
 
5995
    */
 
5996
    g_assert_cmpint(socketpair(PF_LOCAL, SOCK_DGRAM
 
5997
                               | SOCK_NONBLOCK | SOCK_CLOEXEC, 0,
 
5998
                               socketfds), ==, 0);
 
5999
    ssret = send(socketfds[1], message_buffer, message_size,
 
6000
                 MSG_NOSIGNAL);
 
6001
    error_t saved_errno = errno;
 
6002
    g_assert_cmpint(close(socketfds[0]), ==, 0);
 
6003
    g_assert_cmpint(close(socketfds[1]), ==, 0);
 
6004
 
 
6005
    if(ssret < 0){
 
6006
      if(saved_errno != EMSGSIZE) {
 
6007
        g_test_skip("Skipping EMSGSIZE test");
 
6008
        g_test_message("Error on send(%" PRIuMAX " bytes): %s",
 
6009
                       (uintmax_t)message_size,
 
6010
                       strerror(saved_errno));
 
6011
        return;
 
6012
      }
 
6013
      break;
 
6014
    } else if(ssret != (ssize_t)message_size){
 
6015
      g_test_skip("Skipping EMSGSIZE test");
 
6016
      g_test_message("Partial send(): %" PRIuMAX " of %" PRIdMAX
 
6017
                     " bytes", (uintmax_t)ssret,
 
6018
                     (intmax_t)message_size);
 
6019
      return;
 
6020
    }
 
6021
  }
 
6022
  g_test_message("EMSGSIZE triggered by %" PRIdMAX " bytes",
 
6023
                 (intmax_t)message_size);
 
6024
 
 
6025
  buffer password = {
 
6026
    .data=message_buffer,
 
6027
    .length=message_size - 2,   /* Compensate for added '+' and NUL */
 
6028
    .allocated=message_size,
5932
6029
  };
5933
 
  g_assert_nonnull(password.data);
5934
6030
  if(mlock(password.data, password.allocated) != 0){
5935
6031
    g_assert_true(errno == EPERM or errno == ENOMEM);
5936
6032
  }
5937
 
  /* Construct test password buffer */
5938
 
  /* Start with + since that is what the real procotol uses */
5939
 
  password.data[0] = '+';
5940
 
  /* Set a special character at string end just to mark the end */
5941
 
  password.data[oversized-3] = 'y';
5942
 
  /* Set NUL at buffer end, as suggested by the protocol */
5943
 
  password.data[oversized-2] = '\0';
5944
 
  /* Fill rest of password with 'x' */
5945
 
  memset(password.data+1, 'x', oversized-3);
5946
6033
 
5947
6034
  __attribute__((cleanup(cleanup_queue)))
5948
6035
    task_queue *queue = create_queue();
5949
6036
  g_assert_nonnull(queue);
5950
 
  int socketfds[2];
5951
6037
  g_assert_cmpint(socketpair(PF_LOCAL, SOCK_DGRAM
5952
6038
                             | SOCK_NONBLOCK | SOCK_CLOEXEC, 0,
5953
6039
                             socketfds), ==, 0);
7860
7946
  test_add("/parse_arguments/mixed", test_parse_arguments_mixed);
7861
7947
  test_add("/queue/create", test_create_queue);
7862
7948
  test_add("/queue/add", test_add_to_queue);
 
7949
  test_add("/queue/add/overflow", test_add_to_queue_overflow);
7863
7950
  test_add("/queue/has_question/empty",
7864
7951
           test_queue_has_question_empty);
7865
7952
  test_add("/queue/has_question/false",
8090
8177
  g_option_context_set_help_enabled(context, FALSE);
8091
8178
  g_option_context_set_ignore_unknown_options(context, TRUE);
8092
8179
 
8093
 
  gboolean run_tests = FALSE;
 
8180
  gboolean should_run_tests = FALSE;
8094
8181
  GOptionEntry entries[] = {
8095
8182
    { "test", 0, 0, G_OPTION_ARG_NONE,
8096
 
      &run_tests, "Run tests", NULL },
 
8183
      &should_run_tests, "Run tests", NULL },
8097
8184
    { NULL }
8098
8185
  };
8099
8186
  g_option_context_add_main_entries(context, entries, NULL);
8106
8193
  }
8107
8194
 
8108
8195
  g_option_context_free(context);
8109
 
  return run_tests != FALSE;
 
8196
  return should_run_tests != FALSE;
8110
8197
}