/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2008-09-19 16:04:11 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080919160411-9xeasm77gx5xpfqo
* Makefile (install-server): Only do update-rc.d if $(DESTDIR) is
                             empty.

* debian/control (Source: mandos): Do not depend on "docbook";
                                   "docbook-xsl" is enough.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/mandos-client.postinst
1
 
#!/bin/sh
 
1
#!/bin/bash -e
2
2
# This script can be called in the following ways:
3
3
#
4
4
# After the package was installed:
17
17
 
18
18
. /usr/share/debconf/confmodule
19
19
 
20
 
set -e
21
 
 
22
 
# Update the initial RAM file system image
 
20
# Update the initial RAM filesystem image
23
21
update_initramfs()
24
22
{
25
 
    update-initramfs -u -k all
26
 
    
27
 
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
28
 
        # Make old initrd.img files unreadable too, in case they were
29
 
        # created with mandos-client 1.0.8 or older.
30
 
        find /boot -maxdepth 1 -type f -name "initrd.img-*.bak" \
31
 
            -print0 | xargs --null --no-run-if-empty chmod o-r
32
 
    fi
 
23
        if type update-initramfs >/dev/null 2>&1; then
 
24
                update-initramfs -u
 
25
        fi
33
26
}
34
27
 
35
28
# Add user and group
36
29
add_mandos_user(){
37
 
    # Rename old "mandos" user and group
38
 
    if dpkg --compare-versions "$2" lt "1.0.3-1"; then
39
 
        case "`getent passwd mandos`" in
40
 
            *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
41
 
                usermod --login _mandos mandos
42
 
                groupmod --new-name _mandos mandos
43
 
                return
44
 
                ;;
45
 
        esac
46
 
    fi
47
 
    # Create new user and group
48
 
    if ! getent passwd _mandos >/dev/null; then
49
 
        adduser --system --force-badname --quiet --home /nonexistent \
50
 
            --no-create-home --group --disabled-password \
51
 
            --gecos "Mandos password system" _mandos
52
 
    fi
53
 
}
54
 
 
55
 
# Create client key pairs
56
 
create_keys(){
57
 
    # If the OpenPGP key files do not exist, generate all keys using
58
 
    # mandos-keygen
59
 
    if ! [ -r /etc/keys/mandos/pubkey.txt \
60
 
              -a -r /etc/keys/mandos/seckey.txt ]; then
61
 
        mandos-keygen
62
 
        gpg-connect-agent KILLAGENT /bye || :
63
 
        return 0
64
 
    fi
65
 
 
66
 
    # Remove any bad TLS keys by 1.8.0-1
67
 
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
68
 
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
69
 
        # Is the key bad?
70
 
        if ! certtool --password='' \
71
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
72
 
             --outfile=/dev/null --pubkey-info --no-text \
73
 
             2>/dev/null; then
74
 
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
75
 
                  2>/dev/null || :
76
 
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
77
 
        fi
78
 
    fi
79
 
 
80
 
    # If the TLS keys already exists, do nothing
81
 
    if [ -r /etc/keys/mandos/tls-privkey.pem \
82
 
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
83
 
        return 0
84
 
    fi
85
 
 
86
 
    # Try to create the TLS keys
87
 
 
88
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
89
 
 
90
 
    if certtool --generate-privkey --password='' \
91
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
92
 
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
93
 
 
94
 
        local umask=$(umask)
95
 
        umask 077
96
 
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
97
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
98
 
 
99
 
        # First try certtool from GnuTLS
100
 
        if ! certtool --password='' \
101
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
102
 
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
103
 
             --no-text 2>/dev/null; then
104
 
            # Otherwise try OpenSSL
105
 
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
106
 
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
107
 
                rm --force /etc/keys/mandos/tls-pubkey.pem
108
 
                # None of the commands succeded; give up
109
 
                umask $umask
110
 
                return 1
111
 
            fi
112
 
        fi
113
 
        umask $umask
114
 
 
115
 
        key_id=$(mandos-keygen --passfile=/dev/null \
116
 
                     | grep --regexp="^key_id[ =]")
117
 
 
118
 
        db_version 2.0
119
 
        db_fset mandos-client/key_id seen false
120
 
        db_reset mandos-client/key_id
121
 
        db_subst mandos-client/key_id key_id $key_id
122
 
        db_input critical mandos-client/key_id || true
123
 
        db_go
124
 
        db_stop
125
 
    else
126
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
127
 
    fi
128
 
}
129
 
 
130
 
create_dh_params(){
131
 
    if [ -r /etc/keys/mandos/dhparams.pem ]; then
132
 
        return 0
133
 
    fi
134
 
    # Create a Diffe-Hellman parameters file
135
 
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
136
 
    # First try certtool from GnuTLS
137
 
    if ! certtool --generate-dh-params --sec-param high \
138
 
         --outfile "$DHFILE"; then
139
 
        # Otherwise try OpenSSL
140
 
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
141
 
             -pkeyopt dh_paramgen_prime_len:3072; then
142
 
            # None of the commands succeded; give up
143
 
            rm -- "$DHFILE"
144
 
            return 1
145
 
        fi
146
 
    fi
147
 
    sed --in-place --expression='0,/^-----BEGIN DH PARAMETERS-----$/d' \
148
 
        "$DHFILE"
149
 
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
150
 
            "$DHFILE"
151
 
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
152
 
    rm -- "$DHFILE"
 
30
    if ! getent passwd mandos >/dev/null; then
 
31
        adduser --disabled-password  --quiet --system \
 
32
            --home /var/run/mandos --no-create-home \
 
33
            --gecos "Mandos password daemon" --group mandos
 
34
    fi
 
35
}
 
36
 
 
37
# Create client key pair
 
38
create_key(){
 
39
        if type mandos-keygen >/dev/null 2>&1; then
 
40
            mandos-keygen
 
41
        fi
153
42
}
154
43
 
155
44
case "$1" in
156
45
    configure)
157
 
        add_mandos_user "$@"
158
 
        create_keys "$@"
159
 
        create_dh_params "$@" || :
160
 
        update_initramfs "$@"
161
 
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then
162
 
            PLUGINHELPERDIR=/usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null)/mandos/plugin-helpers
163
 
            if ! dpkg-statoverride --list "$PLUGINHELPERDIR" \
164
 
                 >/dev/null 2>&1; then
165
 
                chmod u=rwx,go= -- "$PLUGINHELPERDIR"
166
 
            fi
167
 
            if ! dpkg-statoverride --list /etc/mandos/plugin-helpers \
168
 
                 >/dev/null 2>&1; then
169
 
                chmod u=rwx,go= -- /etc/mandos/plugin-helpers
170
 
            fi
171
 
        fi
 
46
        add_mandos_user
 
47
        create_key
 
48
        update_initramfs
172
49
        ;;
173
50
    abort-upgrade|abort-deconfigure|abort-remove)
174
51
        ;;
175
52
 
176
53
    *)
177
 
        echo "$0 called with unknown argument '$1'" 1>&2
 
54
        echo "$0 called with unknown argument \`$1'" 1>&2
178
55
        exit 1
179
56
        ;;
180
57
esac