/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.c

  • Committer: Teddy Hogeborn
  • Date: 2018-02-08 10:02:51 UTC
  • Revision ID: teddy@recompile.se-20180208100251-x7qq39sjsgk4r2sq
Update Debian watch file to version 4

* debian/watch (version): Change to "4".
  (opts/pgpsigurlmangle): Remove.
  (opts/pgpmode): New; set to "auto".
  (URL): Change to "https://ftp.recompile.se/pub/@PACKAGE@/@PACKAGE@@ANY_VERSION@(?:\.orig)?@ARCHIVE_EXT@".

Show diffs side-by-side

added added

removed removed

Lines of Context:
9
9
 * "browse_callback", and parts of "main".
10
10
 * 
11
11
 * Everything else is
12
 
 * Copyright © 2008-2016 Teddy Hogeborn
13
 
 * Copyright © 2008-2016 Björn Påhlsson
14
 
 * 
15
 
 * This program is free software: you can redistribute it and/or
16
 
 * modify it under the terms of the GNU General Public License as
17
 
 * published by the Free Software Foundation, either version 3 of the
18
 
 * License, or (at your option) any later version.
19
 
 * 
20
 
 * This program is distributed in the hope that it will be useful, but
 
12
 * Copyright © 2008-2017 Teddy Hogeborn
 
13
 * Copyright © 2008-2017 Björn Påhlsson
 
14
 * 
 
15
 * This file is part of Mandos.
 
16
 * 
 
17
 * Mandos is free software: you can redistribute it and/or modify it
 
18
 * under the terms of the GNU General Public License as published by
 
19
 * the Free Software Foundation, either version 3 of the License, or
 
20
 * (at your option) any later version.
 
21
 * 
 
22
 * Mandos is distributed in the hope that it will be useful, but
21
23
 * WITHOUT ANY WARRANTY; without even the implied warranty of
22
24
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
23
25
 * General Public License for more details.
24
26
 * 
25
27
 * You should have received a copy of the GNU General Public License
26
 
 * along with this program.  If not, see
27
 
 * <http://www.gnu.org/licenses/>.
 
28
 * along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
28
29
 * 
29
30
 * Contact the authors at <mandos@recompile.se>.
30
31
 */
47
48
                                   strtof(), abort() */
48
49
#include <stdbool.h>            /* bool, false, true */
49
50
#include <string.h>             /* strcmp(), strlen(), strerror(),
50
 
                                   asprintf(), strncpy() */
 
51
                                   asprintf(), strncpy(), strsignal()
 
52
                                */
51
53
#include <sys/ioctl.h>          /* ioctl */
52
54
#include <sys/types.h>          /* socket(), inet_pton(), sockaddr,
53
55
                                   sockaddr_in6, PF_INET6,
625
627
                     safer_gnutls_strerror(ret));
626
628
        dhparamsfilename = NULL;
627
629
      }
 
630
      free(params.data);
628
631
    } while(false);
629
632
  }
630
633
  if(dhparamsfilename == NULL){
817
820
 
818
821
/* Set effective uid to 0, return errno */
819
822
__attribute__((warn_unused_result))
820
 
error_t raise_privileges(void){
821
 
  error_t old_errno = errno;
822
 
  error_t ret_errno = 0;
 
823
int raise_privileges(void){
 
824
  int old_errno = errno;
 
825
  int ret = 0;
823
826
  if(seteuid(0) == -1){
824
 
    ret_errno = errno;
 
827
    ret = errno;
825
828
  }
826
829
  errno = old_errno;
827
 
  return ret_errno;
 
830
  return ret;
828
831
}
829
832
 
830
833
/* Set effective and real user ID to 0.  Return errno. */
831
834
__attribute__((warn_unused_result))
832
 
error_t raise_privileges_permanently(void){
833
 
  error_t old_errno = errno;
834
 
  error_t ret_errno = raise_privileges();
835
 
  if(ret_errno != 0){
 
835
int raise_privileges_permanently(void){
 
836
  int old_errno = errno;
 
837
  int ret = raise_privileges();
 
838
  if(ret != 0){
836
839
    errno = old_errno;
837
 
    return ret_errno;
 
840
    return ret;
838
841
  }
839
842
  if(setuid(0) == -1){
840
 
    ret_errno = errno;
 
843
    ret = errno;
841
844
  }
842
845
  errno = old_errno;
843
 
  return ret_errno;
 
846
  return ret;
844
847
}
845
848
 
846
849
/* Set effective user ID to unprivileged saved user ID */
847
850
__attribute__((warn_unused_result))
848
 
error_t lower_privileges(void){
849
 
  error_t old_errno = errno;
850
 
  error_t ret_errno = 0;
 
851
int lower_privileges(void){
 
852
  int old_errno = errno;
 
853
  int ret = 0;
851
854
  if(seteuid(uid) == -1){
852
 
    ret_errno = errno;
 
855
    ret = errno;
853
856
  }
854
857
  errno = old_errno;
855
 
  return ret_errno;
 
858
  return ret;
856
859
}
857
860
 
858
861
/* Lower privileges permanently */
859
862
__attribute__((warn_unused_result))
860
 
error_t lower_privileges_permanently(void){
861
 
  error_t old_errno = errno;
862
 
  error_t ret_errno = 0;
 
863
int lower_privileges_permanently(void){
 
864
  int old_errno = errno;
 
865
  int ret = 0;
863
866
  if(setuid(uid) == -1){
864
 
    ret_errno = errno;
 
867
    ret = errno;
865
868
  }
866
869
  errno = old_errno;
867
 
  return ret_errno;
 
870
  return ret;
868
871
}
869
872
 
870
873
/* Helper function to add_local_route() and delete_local_route() */
1077
1080
    bool match = false;
1078
1081
    {
1079
1082
      char *interface = NULL;
1080
 
      while((interface=argz_next(mc->interfaces, mc->interfaces_size,
1081
 
                                 interface))){
 
1083
      while((interface = argz_next(mc->interfaces,
 
1084
                                   mc->interfaces_size,
 
1085
                                   interface))){
1082
1086
        if(if_nametoindex(interface) == (unsigned int)if_index){
1083
1087
          match = true;
1084
1088
          break;
1237
1241
           with an explicit route added with the server's address.
1238
1242
           
1239
1243
           Avahi bug reference:
1240
 
           http://lists.freedesktop.org/archives/avahi/2010-February/001833.html
 
1244
           https://lists.freedesktop.org/archives/avahi/2010-February/001833.html
1241
1245
           https://bugs.debian.org/587961
1242
1246
        */
1243
1247
        if(debug){
1423
1427
                                               &decrypted_buffer, mc);
1424
1428
    if(decrypted_buffer_size >= 0){
1425
1429
      
 
1430
      clearerr(stdout);
1426
1431
      written = 0;
1427
1432
      while(written < (size_t) decrypted_buffer_size){
1428
1433
        if(quit_now){
1444
1449
        }
1445
1450
        written += (size_t)ret;
1446
1451
      }
 
1452
      ret = fflush(stdout);
 
1453
      if(ret != 0){
 
1454
        int e = errno;
 
1455
        if(debug){
 
1456
          fprintf_plus(stderr, "Error writing encrypted data: %s\n",
 
1457
                       strerror(errno));
 
1458
        }
 
1459
        errno = e;
 
1460
        goto mandos_end;
 
1461
      }
1447
1462
      retval = 0;
1448
1463
    }
1449
1464
  }
1480
1495
  return retval;
1481
1496
}
1482
1497
 
1483
 
__attribute__((nonnull))
1484
1498
static void resolve_callback(AvahiSServiceResolver *r,
1485
1499
                             AvahiIfIndex interface,
1486
1500
                             AvahiProtocol proto,
1623
1637
__attribute__((nonnull, warn_unused_result))
1624
1638
bool get_flags(const char *ifname, struct ifreq *ifr){
1625
1639
  int ret;
1626
 
  error_t ret_errno;
 
1640
  int old_errno;
1627
1641
  
1628
1642
  int s = socket(PF_INET6, SOCK_DGRAM, IPPROTO_IP);
1629
1643
  if(s < 0){
1630
 
    ret_errno = errno;
 
1644
    old_errno = errno;
1631
1645
    perror_plus("socket");
1632
 
    errno = ret_errno;
 
1646
    errno = old_errno;
1633
1647
    return false;
1634
1648
  }
1635
1649
  strncpy(ifr->ifr_name, ifname, IF_NAMESIZE);
1637
1651
  ret = ioctl(s, SIOCGIFFLAGS, ifr);
1638
1652
  if(ret == -1){
1639
1653
    if(debug){
1640
 
      ret_errno = errno;
 
1654
      old_errno = errno;
1641
1655
      perror_plus("ioctl SIOCGIFFLAGS");
1642
 
      errno = ret_errno;
 
1656
      errno = old_errno;
1643
1657
    }
1644
1658
    return false;
1645
1659
  }
2071
2085
}
2072
2086
 
2073
2087
__attribute__((nonnull, warn_unused_result))
2074
 
error_t bring_up_interface(const char *const interface,
2075
 
                           const float delay){
2076
 
  error_t old_errno = errno;
 
2088
int bring_up_interface(const char *const interface,
 
2089
                       const float delay){
 
2090
  int old_errno = errno;
2077
2091
  int ret;
2078
2092
  struct ifreq network;
2079
2093
  unsigned int if_index = if_nametoindex(interface);
2089
2103
  }
2090
2104
  
2091
2105
  if(not interface_is_up(interface)){
2092
 
    error_t ret_errno = 0, ioctl_errno = 0;
 
2106
    int ret_errno = 0;
 
2107
    int ioctl_errno = 0;
2093
2108
    if(not get_flags(interface, &network)){
2094
2109
      ret_errno = errno;
2095
2110
      fprintf_plus(stderr, "Failed to get flags for interface "
2182
2197
  
2183
2198
  /* Sleep checking until interface is running.
2184
2199
     Check every 0.25s, up to total time of delay */
2185
 
  for(int i=0; i < delay * 4; i++){
 
2200
  for(int i = 0; i < delay * 4; i++){
2186
2201
    if(interface_is_running(interface)){
2187
2202
      break;
2188
2203
    }
2198
2213
}
2199
2214
 
2200
2215
__attribute__((nonnull, warn_unused_result))
2201
 
error_t take_down_interface(const char *const interface){
2202
 
  error_t old_errno = errno;
 
2216
int take_down_interface(const char *const interface){
 
2217
  int old_errno = errno;
2203
2218
  struct ifreq network;
2204
2219
  unsigned int if_index = if_nametoindex(interface);
2205
2220
  if(if_index == 0){
2208
2223
    return ENXIO;
2209
2224
  }
2210
2225
  if(interface_is_up(interface)){
2211
 
    error_t ret_errno = 0, ioctl_errno = 0;
 
2226
    int ret_errno = 0;
 
2227
    int ioctl_errno = 0;
2212
2228
    if(not get_flags(interface, &network) and debug){
2213
2229
      ret_errno = errno;
2214
2230
      fprintf_plus(stderr, "Failed to get flags for interface "
2464
2480
                         .args_doc = "",
2465
2481
                         .doc = "Mandos client -- Get and decrypt"
2466
2482
                         " passwords from a Mandos server" };
2467
 
    ret = argp_parse(&argp, argc, argv,
2468
 
                     ARGP_IN_ORDER | ARGP_NO_HELP, 0, NULL);
2469
 
    switch(ret){
 
2483
    ret_errno = argp_parse(&argp, argc, argv,
 
2484
                           ARGP_IN_ORDER | ARGP_NO_HELP, 0, NULL);
 
2485
    switch(ret_errno){
2470
2486
    case 0:
2471
2487
      break;
2472
2488
    case ENOMEM:
2473
2489
    default:
2474
 
      errno = ret;
 
2490
      errno = ret_errno;
2475
2491
      perror_plus("argp_parse");
2476
2492
      exitcode = EX_OSERR;
2477
2493
      goto end;
2483
2499
  
2484
2500
  {
2485
2501
    /* Work around Debian bug #633582:
2486
 
       <http://bugs.debian.org/633582> */
 
2502
       <https://bugs.debian.org/633582> */
2487
2503
    
2488
2504
    /* Re-raise privileges */
2489
 
    ret_errno = raise_privileges();
2490
 
    if(ret_errno != 0){
2491
 
      errno = ret_errno;
 
2505
    ret = raise_privileges();
 
2506
    if(ret != 0){
 
2507
      errno = ret;
2492
2508
      perror_plus("Failed to raise privileges");
2493
2509
    } else {
2494
2510
      struct stat st;
2558
2574
      }
2559
2575
      
2560
2576
      /* Lower privileges */
2561
 
      ret_errno = lower_privileges();
2562
 
      if(ret_errno != 0){
2563
 
        errno = ret_errno;
 
2577
      ret = lower_privileges();
 
2578
      if(ret != 0){
 
2579
        errno = ret;
2564
2580
        perror_plus("Failed to lower privileges");
2565
2581
      }
2566
2582
    }
2894
2910
    
2895
2911
    /* Allocate a new server */
2896
2912
    mc.server = avahi_server_new(avahi_simple_poll_get(simple_poll),
2897
 
                                 &config, NULL, NULL, &ret_errno);
 
2913
                                 &config, NULL, NULL, &ret);
2898
2914
    
2899
2915
    /* Free the Avahi configuration data */
2900
2916
    avahi_server_config_free(&config);
2903
2919
  /* Check if creating the Avahi server object succeeded */
2904
2920
  if(mc.server == NULL){
2905
2921
    fprintf_plus(stderr, "Failed to create Avahi server: %s\n",
2906
 
                 avahi_strerror(ret_errno));
 
2922
                 avahi_strerror(ret));
2907
2923
    exitcode = EX_UNAVAILABLE;
2908
2924
    goto end;
2909
2925
  }
2944
2960
 end:
2945
2961
  
2946
2962
  if(debug){
2947
 
    fprintf_plus(stderr, "%s exiting\n", argv[0]);
 
2963
    if(signal_received){
 
2964
      fprintf_plus(stderr, "%s exiting due to signal %d: %s\n",
 
2965
                   argv[0], signal_received,
 
2966
                   strsignal(signal_received));
 
2967
    } else {
 
2968
      fprintf_plus(stderr, "%s exiting\n", argv[0]);
 
2969
    }
2948
2970
  }
2949
2971
  
2950
2972
  /* Cleanup things */
2989
3011
  
2990
3012
  /* Re-raise privileges */
2991
3013
  {
2992
 
    ret_errno = raise_privileges();
2993
 
    if(ret_errno != 0){
2994
 
      errno = ret_errno;
 
3014
    ret = raise_privileges();
 
3015
    if(ret != 0){
 
3016
      errno = ret;
2995
3017
      perror_plus("Failed to raise privileges");
2996
3018
    } else {
2997
3019
      
3002
3024
      /* Take down the network interfaces which were brought up */
3003
3025
      {
3004
3026
        char *interface = NULL;
3005
 
        while((interface=argz_next(interfaces_to_take_down,
3006
 
                                   interfaces_to_take_down_size,
3007
 
                                   interface))){
3008
 
          ret_errno = take_down_interface(interface);
3009
 
          if(ret_errno != 0){
3010
 
            errno = ret_errno;
 
3027
        while((interface = argz_next(interfaces_to_take_down,
 
3028
                                     interfaces_to_take_down_size,
 
3029
                                     interface))){
 
3030
          ret = take_down_interface(interface);
 
3031
          if(ret != 0){
 
3032
            errno = ret;
3011
3033
            perror_plus("Failed to take down interface");
3012
3034
          }
3013
3035
        }
3018
3040
      }
3019
3041
    }
3020
3042
    
3021
 
    ret_errno = lower_privileges_permanently();
3022
 
    if(ret_errno != 0){
3023
 
      errno = ret_errno;
 
3043
    ret = lower_privileges_permanently();
 
3044
    if(ret != 0){
 
3045
      errno = ret;
3024
3046
      perror_plus("Failed to lower privileges permanently");
3025
3047
    }
3026
3048
  }