/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2024-09-08 02:18:57 UTC
  • Revision ID: teddy@recompile.se-20240908021857-821e09dd4mp37h9k
Be more tolerant when a client is misconfigured in clients.conf

* mandos (Client/config_parser): If a client config section in
  clients.conf lacks both a fingerprint= and a key_id= setting, show
  an error and skip that client instead of crashing.

Show diffs side-by-side

added added

removed removed

Lines of Context:
22
22
# Update the initial RAM file system image
23
23
update_initramfs()
24
24
{
25
 
    update-initramfs -u -k all
 
25
    if command -v update-initramfs >/dev/null; then
 
26
        update-initramfs -k all -u
 
27
    elif command -v dracut >/dev/null; then
 
28
        dracut_version="`dpkg-query --showformat='${Version}' --show dracut`"
 
29
        if dpkg --compare-versions "$dracut_version" lt 043-1 \
 
30
                && bash -c '. /etc/dracut.conf; . /etc/dracut.conf.d/*; [ "$hostonly" != yes ]'; then
 
31
            echo 'Dracut is not configured to use hostonly mode!' >&2
 
32
            return 1
 
33
        fi
 
34
        # Logic taken from dracut.postinst
 
35
        for kernel in /boot/vmlinu[xz]-*; do
 
36
            kversion="${kernel#/boot/vmlinu[xz]-}"
 
37
            # Dracut preserves old permissions of initramfs image
 
38
            # files, so we adjust permissions before creating new
 
39
            # initramfs image containing secret keys.
 
40
            if [ -e /boot/initrd.img-"$kversion" ]; then
 
41
                chmod go-r /boot/initrd.img-"$kversion"
 
42
            else
 
43
                # An initrd image has not yet been created for this
 
44
                # kernel, possibly because this new kernel is about to
 
45
                # be, but has not yet been, installed.  In this case,
 
46
                # we create an empty file with the right permissions
 
47
                # so that Dracut will preserve those permissions when
 
48
                # it creates the real, new initrd image for this
 
49
                # kernel.
 
50
                install --mode=u=rw /dev/null \
 
51
                        /boot/initrd.img-"$kversion"
 
52
            fi
 
53
            if [ "$kversion" != "*" ]; then
 
54
                /etc/kernel/postinst.d/dracut "$kversion"
 
55
            fi
 
56
        done
 
57
    fi
26
58
    
27
59
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
28
60
        # Make old initrd.img files unreadable too, in case they were
63
95
        return 0
64
96
    fi
65
97
 
 
98
    # Remove any bad TLS keys by 1.8.0-1
 
99
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
 
100
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
 
101
        # Is the key bad?
 
102
        if ! certtool --password='' \
 
103
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
104
             --outfile=/dev/null --pubkey-info --no-text \
 
105
             2>/dev/null; then
 
106
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
 
107
                  2>/dev/null || :
 
108
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
 
109
        fi
 
110
    fi
 
111
 
66
112
    # If the TLS keys already exists, do nothing
67
113
    if [ -r /etc/keys/mandos/tls-privkey.pem \
68
114
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
69
115
        return 0
70
116
    fi
71
117
 
72
 
    # If this is an upgrade from an old installation, the TLS keys
73
 
    # will not exist; create them.
74
 
 
75
 
    # First try certtool from GnuTLS
76
 
    if ! certtool --generate-privkey --password='' \
77
 
         --outfile /etc/keys/mandos/tls-privkey.pem \
78
 
         --sec-param ultra --key-type=ed25519 --pkcs8 --no-text \
79
 
         2>/dev/null; then
80
 
        # Otherwise try OpenSSL
81
 
        if ! openssl genpkey -algorithm X25519 \
82
 
             -out /etc/keys/mandos/tls-privkey.pem; then
83
 
            rm --force /etc/keys/mandos/tls-privkey.pem
84
 
            # None of the commands succeded; give up
85
 
            return 1
86
 
        fi
87
 
    fi
88
 
 
89
 
    local umask=$(umask)
90
 
    umask 077
91
 
    # First try certtool from GnuTLS
92
 
    if ! certtool --password='' \
93
 
         --load-privkey=/etc/keys/mandos/tls-privkey.pem \
94
 
         --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
95
 
         --no-text 2>/dev/null; then
96
 
        # Otherwise try OpenSSL
97
 
        if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
98
 
             -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
99
 
            rm --force /etc/keys/mandos/tls-pubkey.pem
100
 
            # None of the commands succeded; give up
101
 
            umask $umask
102
 
            return 1
103
 
        fi
104
 
    fi
105
 
    umask $umask
106
 
 
107
 
    key_id=$(mandos-keygen --passfile=/dev/null \
108
 
                 | grep --regexp="^key_id[ =]")
109
 
 
110
 
    db_version 2.0
111
 
    db_fset mandos-client/key_id seen false
112
 
    db_reset mandos-client/key_id
113
 
    db_subst mandos-client/key_id key_id $key_id
114
 
    db_input critical mandos-client/key_id || true
115
 
    db_go
116
 
    db_stop
 
118
    # Try to create the TLS keys
 
119
 
 
120
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
 
121
 
 
122
    if certtool --generate-privkey --password='' \
 
123
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
 
124
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
 
125
 
 
126
        local umask=$(umask)
 
127
        umask 077
 
128
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
 
129
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
130
 
 
131
        # First try certtool from GnuTLS
 
132
        if ! certtool --password='' \
 
133
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
 
134
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
 
135
             --no-text 2>/dev/null; then
 
136
            # Otherwise try OpenSSL
 
137
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
 
138
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
 
139
                rm --force /etc/keys/mandos/tls-pubkey.pem
 
140
                # None of the commands succeded; give up
 
141
                umask $umask
 
142
                return 1
 
143
            fi
 
144
        fi
 
145
        umask $umask
 
146
 
 
147
        key_id=$(mandos-keygen --passfile=/dev/null \
 
148
                     | grep --regexp="^key_id[ =]")
 
149
 
 
150
        db_version 2.0
 
151
        db_fset mandos-client/key_id seen false
 
152
        db_reset mandos-client/key_id
 
153
        db_subst mandos-client/key_id key_id $key_id
 
154
        db_input critical mandos-client/key_id || true
 
155
        db_go
 
156
        db_stop
 
157
    else
 
158
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
 
159
    fi
117
160
}
118
161
 
119
162
create_dh_params(){