/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugin-runner.c

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
/*
3
3
 * Mandos plugin runner - Run Mandos plugins
4
4
 *
5
 
 * Copyright © 2008-2018 Teddy Hogeborn
6
 
 * Copyright © 2008-2018 Björn Påhlsson
7
 
 * 
8
 
 * This file is part of Mandos.
9
 
 * 
10
 
 * Mandos is free software: you can redistribute it and/or modify it
11
 
 * under the terms of the GNU General Public License as published by
12
 
 * the Free Software Foundation, either version 3 of the License, or
13
 
 * (at your option) any later version.
14
 
 * 
15
 
 * Mandos is distributed in the hope that it will be useful, but
 
5
 * Copyright © 2008-2014 Teddy Hogeborn
 
6
 * Copyright © 2008-2014 Björn Påhlsson
 
7
 * 
 
8
 * This program is free software: you can redistribute it and/or
 
9
 * modify it under the terms of the GNU General Public License as
 
10
 * published by the Free Software Foundation, either version 3 of the
 
11
 * License, or (at your option) any later version.
 
12
 * 
 
13
 * This program is distributed in the hope that it will be useful, but
16
14
 * WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
18
16
 * General Public License for more details.
19
17
 * 
20
18
 * You should have received a copy of the GNU General Public License
21
 
 * along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
19
 * along with this program.  If not, see
 
20
 * <http://www.gnu.org/licenses/>.
22
21
 * 
23
22
 * Contact the authors at <mandos@recompile.se>.
24
23
 */
38
37
#include <sys/select.h>         /* fd_set, select(), FD_ZERO(),
39
38
                                   FD_SET(), FD_ISSET(), FD_CLR */
40
39
#include <sys/wait.h>           /* wait(), waitpid(), WIFEXITED(),
41
 
                                   WEXITSTATUS(), WTERMSIG() */
 
40
                                   WEXITSTATUS(), WTERMSIG(),
 
41
                                   WCOREDUMP() */
42
42
#include <sys/stat.h>           /* struct stat, fstat(), S_ISREG() */
43
43
#include <iso646.h>             /* and, or, not */
44
44
#include <dirent.h>             /* struct dirent, scandirat() */
76
76
#define BUFFER_SIZE 256
77
77
 
78
78
#define PDIR "/lib/mandos/plugins.d"
79
 
#define PHDIR "/lib/mandos/plugin-helpers"
80
79
#define AFILE "/conf/conf.d/mandos/plugin-runner.conf"
81
80
 
82
81
const char *argp_program_version = "plugin-runner " VERSION;
348
347
 
349
348
int main(int argc, char *argv[]){
350
349
  char *plugindir = NULL;
351
 
  char *pluginhelperdir = NULL;
352
350
  char *argfile = NULL;
353
351
  FILE *conffp;
354
352
  struct dirent **direntries = NULL;
416
414
      .doc = "Group ID the plugins will run as", .group = 3 },
417
415
    { .name = "debug", .key = 132,
418
416
      .doc = "Debug mode", .group = 4 },
419
 
    { .name = "plugin-helper-dir", .key = 133,
420
 
      .arg = "DIRECTORY",
421
 
      .doc = "Specify a different plugin helper directory",
422
 
      .group = 2 },
423
417
    /*
424
418
     * These reproduce what we would get without ARGP_NO_HELP
425
419
     */
551
545
    case 132:                   /* --debug */
552
546
      debug = true;
553
547
      break;
554
 
    case 133:                   /* --plugin-helper-dir */
555
 
      free(pluginhelperdir);
556
 
      pluginhelperdir = strdup(arg);
557
 
      if(pluginhelperdir != NULL){
558
 
        errno = 0;
559
 
      }
560
 
      break;
561
548
      /*
562
549
       * These reproduce what we would get without ARGP_NO_HELP
563
550
       */
564
551
    case '?':                   /* --help */
565
552
      state->flags &= ~(unsigned int)ARGP_NO_EXIT; /* force exit */
566
553
      argp_state_help(state, state->out_stream, ARGP_HELP_STD_HELP);
567
 
      __builtin_unreachable();
568
554
    case -3:                    /* --usage */
569
555
      state->flags &= ~(unsigned int)ARGP_NO_EXIT; /* force exit */
570
556
      argp_state_help(state, state->out_stream,
571
557
                      ARGP_HELP_USAGE | ARGP_HELP_EXIT_OK);
572
 
      __builtin_unreachable();
573
558
    case 'V':                   /* --version */
574
559
      fprintf(state->out_stream, "%s\n", argp_program_version);
575
560
      exit(EXIT_SUCCESS);
585
570
      if(arg[0] == '\0'){
586
571
        break;
587
572
      }
588
 
      /* FALLTHROUGH */
589
573
    default:
590
574
      return ARGP_ERR_UNKNOWN;
591
575
    }
617
601
    case 130:                   /* --userid */
618
602
    case 131:                   /* --groupid */
619
603
    case 132:                   /* --debug */
620
 
    case 133:                   /* --plugin-helper-dir */
621
604
    case '?':                   /* --help */
622
605
    case -3:                    /* --usage */
623
606
    case 'V':                   /* --version */
704
687
        custom_argc += 1;
705
688
        {
706
689
          char **new_argv = realloc(custom_argv, sizeof(char *)
707
 
                                    * ((size_t)custom_argc + 1));
 
690
                                    * ((unsigned int)
 
691
                                       custom_argc + 1));
708
692
          if(new_argv == NULL){
709
693
            error(0, errno, "realloc");
710
694
            exitstatus = EX_OSERR;
777
761
    goto fallback;
778
762
  }
779
763
  
780
 
  {
781
 
    char *pluginhelperenv;
782
 
    bool bret = true;
783
 
    ret = asprintf(&pluginhelperenv, "MANDOSPLUGINHELPERDIR=%s",
784
 
                   pluginhelperdir != NULL ? pluginhelperdir : PHDIR);
785
 
    if(ret != -1){
786
 
      bret = add_environment(getplugin(NULL), pluginhelperenv, true);
787
 
    }
788
 
    if(ret == -1 or not bret){
789
 
      error(0, errno, "Failed to set MANDOSPLUGINHELPERDIR"
790
 
            " environment variable to \"%s\" for all plugins\n",
791
 
            pluginhelperdir != NULL ? pluginhelperdir : PHDIR);
792
 
    }
793
 
    if(ret != -1){
794
 
      free(pluginhelperenv);
795
 
    }
796
 
  }
797
 
  
798
764
  if(debug){
799
 
    for(plugin *p = plugin_list; p != NULL; p = p->next){
 
765
    for(plugin *p = plugin_list; p != NULL; p=p->next){
800
766
      fprintf(stderr, "Plugin: %s has %d arguments\n",
801
767
              p->name ? p->name : "Global", p->argc - 1);
802
768
      for(char **a = p->argv; *a != NULL; a++){
811
777
  
812
778
  if(getuid() == 0){
813
779
    /* Work around Debian bug #633582:
814
 
       <https://bugs.debian.org/633582> */
 
780
       <http://bugs.debian.org/633582> */
815
781
    int plugindir_fd = open(/* plugindir or */ PDIR, O_RDONLY);
816
782
    if(plugindir_fd == -1){
817
783
      if(errno != ENOENT){
829
795
          }
830
796
        }
831
797
      }
832
 
      close(plugindir_fd);
 
798
      TEMP_FAILURE_RETRY(close(plugindir_fd));
833
799
    }
834
800
  }
835
801
  
894
860
    return 1;
895
861
  }
896
862
  
 
863
#ifdef __GLIBC__
 
864
#if __GLIBC_PREREQ(2, 15)
897
865
  int numplugins = scandirat(dir_fd, ".", &direntries, good_name,
898
866
                             alphasort);
 
867
#else  /* not __GLIBC_PREREQ(2, 15) */
 
868
  int numplugins = scandir(plugindir != NULL ? plugindir : PDIR,
 
869
                           &direntries, good_name, alphasort);
 
870
#endif  /* not __GLIBC_PREREQ(2, 15) */
 
871
#else   /* not __GLIBC__ */
 
872
  int numplugins = scandir(plugindir != NULL ? plugindir : PDIR,
 
873
                           &direntries, good_name, alphasort);
 
874
#endif  /* not __GLIBC__ */
899
875
  if(numplugins == -1){
900
876
    error(0, errno, "Could not scan plugin dir");
901
877
    direntries = NULL;
917
893
    ret = (int)TEMP_FAILURE_RETRY(fstat(plugin_fd, &st));
918
894
    if(ret == -1){
919
895
      error(0, errno, "stat");
920
 
      close(plugin_fd);
 
896
      TEMP_FAILURE_RETRY(close(plugin_fd));
921
897
      free(direntries[i]);
922
898
      continue;
923
899
    }
932
908
                plugindir != NULL ? plugindir : PDIR,
933
909
                direntries[i]->d_name);
934
910
      }
935
 
      close(plugin_fd);
 
911
      TEMP_FAILURE_RETRY(close(plugin_fd));
936
912
      free(direntries[i]);
937
913
      continue;
938
914
    }
940
916
    plugin *p = getplugin(direntries[i]->d_name);
941
917
    if(p == NULL){
942
918
      error(0, errno, "getplugin");
943
 
      close(plugin_fd);
 
919
      TEMP_FAILURE_RETRY(close(plugin_fd));
944
920
      free(direntries[i]);
945
921
      continue;
946
922
    }
949
925
        fprintf(stderr, "Ignoring disabled plugin \"%s\"\n",
950
926
                direntries[i]->d_name);
951
927
      }
952
 
      close(plugin_fd);
 
928
      TEMP_FAILURE_RETRY(close(plugin_fd));
953
929
      free(direntries[i]);
954
930
      continue;
955
931
    }
995
971
    if(pipefd[0] >= FD_SETSIZE){
996
972
      fprintf(stderr, "pipe()[0] (%d) >= FD_SETSIZE (%d)", pipefd[0],
997
973
              FD_SETSIZE);
998
 
      close(pipefd[0]);
999
 
      close(pipefd[1]);
 
974
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
975
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1000
976
      exitstatus = EX_OSERR;
1001
977
      free(direntries[i]);
1002
978
      goto fallback;
1006
982
    ret = set_cloexec_flag(pipefd[0]);
1007
983
    if(ret < 0){
1008
984
      error(0, errno, "set_cloexec_flag");
1009
 
      close(pipefd[0]);
1010
 
      close(pipefd[1]);
 
985
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
986
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1011
987
      exitstatus = EX_OSERR;
1012
988
      free(direntries[i]);
1013
989
      goto fallback;
1015
991
    ret = set_cloexec_flag(pipefd[1]);
1016
992
    if(ret < 0){
1017
993
      error(0, errno, "set_cloexec_flag");
1018
 
      close(pipefd[0]);
1019
 
      close(pipefd[1]);
 
994
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
995
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1020
996
      exitstatus = EX_OSERR;
1021
997
      free(direntries[i]);
1022
998
      goto fallback;
1041
1017
      error(0, errno, "fork");
1042
1018
      TEMP_FAILURE_RETRY(sigprocmask(SIG_UNBLOCK,
1043
1019
                                     &sigchld_action.sa_mask, NULL));
1044
 
      close(pipefd[0]);
1045
 
      close(pipefd[1]);
 
1020
      TEMP_FAILURE_RETRY(close(pipefd[0]));
 
1021
      TEMP_FAILURE_RETRY(close(pipefd[1]));
1046
1022
      exitstatus = EX_OSERR;
1047
1023
      free(direntries[i]);
1048
1024
      goto fallback;
1076
1052
      /* no return */
1077
1053
    }
1078
1054
    /* Parent process */
1079
 
    close(pipefd[1]);           /* Close unused write end of pipe */
1080
 
    close(plugin_fd);
 
1055
    TEMP_FAILURE_RETRY(close(pipefd[1])); /* Close unused write end of
 
1056
                                             pipe */
 
1057
    TEMP_FAILURE_RETRY(close(plugin_fd));
1081
1058
    plugin *new_plugin = getplugin(direntries[i]->d_name);
1082
1059
    if(new_plugin == NULL){
1083
1060
      error(0, errno, "getplugin");
1095
1072
    
1096
1073
    new_plugin->pid = pid;
1097
1074
    new_plugin->fd = pipefd[0];
1098
 
 
1099
 
    if(debug){
1100
 
      fprintf(stderr, "Plugin %s started (PID %" PRIdMAX ")\n",
1101
 
              new_plugin->name, (intmax_t) (new_plugin->pid));
1102
 
    }
1103
 
 
 
1075
    
1104
1076
    /* Unblock SIGCHLD so signal handler can be run if this process
1105
1077
       has already completed */
1106
1078
    ret = (int)TEMP_FAILURE_RETRY(sigprocmask(SIG_UNBLOCK,
1112
1084
      goto fallback;
1113
1085
    }
1114
1086
    
1115
 
    FD_SET(new_plugin->fd, &rfds_all);
 
1087
#if defined (__GNUC__) and defined (__GLIBC__)
 
1088
#if not __GLIBC_PREREQ(2, 16)
 
1089
#pragma GCC diagnostic push
 
1090
#pragma GCC diagnostic ignored "-Wsign-conversion"
 
1091
#endif
 
1092
#endif
 
1093
    FD_SET(new_plugin->fd, &rfds_all); /* Spurious warning from
 
1094
                                          -Wconversion in GNU libc
 
1095
                                          before 2.16 */
 
1096
#if defined (__GNUC__) and defined (__GLIBC__)
 
1097
#if not __GLIBC_PREREQ(2, 16)
 
1098
#pragma GCC diagnostic pop
 
1099
#endif
 
1100
#endif
1116
1101
    
1117
1102
    if(maxfd < new_plugin->fd){
1118
1103
      maxfd = new_plugin->fd;
1121
1106
  
1122
1107
  free(direntries);
1123
1108
  direntries = NULL;
1124
 
  close(dir_fd);
 
1109
  TEMP_FAILURE_RETRY(close(dir_fd));
1125
1110
  dir_fd = -1;
1126
1111
  free_plugin(getplugin(NULL));
1127
1112
  
1167
1152
                      (intmax_t) (proc->pid),
1168
1153
                      WTERMSIG(proc->status),
1169
1154
                      strsignal(WTERMSIG(proc->status)));
 
1155
            } else if(WCOREDUMP(proc->status)){
 
1156
              fprintf(stderr, "Plugin %s [%" PRIdMAX "] dumped"
 
1157
                      " core\n", proc->name, (intmax_t) (proc->pid));
1170
1158
            }
1171
1159
          }
1172
1160
          
1173
1161
          /* Remove the plugin */
1174
 
          FD_CLR(proc->fd, &rfds_all);
 
1162
#if defined (__GNUC__) and defined (__GLIBC__)
 
1163
#if not __GLIBC_PREREQ(2, 16)
 
1164
#pragma GCC diagnostic push
 
1165
#pragma GCC diagnostic ignored "-Wsign-conversion"
 
1166
#endif
 
1167
#endif
 
1168
          FD_CLR(proc->fd, &rfds_all); /* Spurious warning from
 
1169
                                          -Wconversion in GNU libc
 
1170
                                          before 2.16 */
 
1171
#if defined (__GNUC__) and defined (__GLIBC__)
 
1172
#if not __GLIBC_PREREQ(2, 16)
 
1173
#pragma GCC diagnostic pop
 
1174
#endif
 
1175
#endif
1175
1176
          
1176
1177
          /* Block signal while modifying process_list */
1177
1178
          ret = (int)TEMP_FAILURE_RETRY(sigprocmask
1217
1218
      }
1218
1219
      
1219
1220
      /* This process has not completed.  Does it have any output? */
1220
 
      if(proc->eof or not FD_ISSET(proc->fd, &rfds)){
 
1221
#if defined (__GNUC__) and defined (__GLIBC__)
 
1222
#if not __GLIBC_PREREQ(2, 16)
 
1223
#pragma GCC diagnostic push
 
1224
#pragma GCC diagnostic ignored "-Wsign-conversion"
 
1225
#endif
 
1226
#endif
 
1227
      if(proc->eof or not FD_ISSET(proc->fd, &rfds)){ /* Spurious
 
1228
                                                         warning from
 
1229
                                                         -Wconversion
 
1230
                                                         in GNU libc
 
1231
                                                         before
 
1232
                                                         2.16 */
 
1233
#if defined (__GNUC__) and defined (__GLIBC__)
 
1234
#if not __GLIBC_PREREQ(2, 16)
 
1235
#pragma GCC diagnostic pop
 
1236
#endif
 
1237
#endif
1221
1238
        /* This process had nothing to say at this time */
1222
1239
        proc = proc->next;
1223
1240
        continue;
1293
1310
  free(direntries);
1294
1311
  
1295
1312
  if(dir_fd != -1){
1296
 
    close(dir_fd);
 
1313
    TEMP_FAILURE_RETRY(close(dir_fd));
1297
1314
  }
1298
1315
  
1299
1316
  /* Kill the processes */
1319
1336
  free_plugin_list();
1320
1337
  
1321
1338
  free(plugindir);
1322
 
  free(pluginhelperdir);
1323
1339
  free(argfile);
1324
1340
  
1325
1341
  return exitstatus;