/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2018-08-15 09:26:02 UTC
  • Revision ID: teddy@recompile.se-20180815092602-xoyb5s6gf8376i7u
http://bugs.debian.org/894495
mandos-client: Set system clock if necessary

* plugins.d/mandos-client.c (init_gpgme/import_key): If the system
  clock is not set, or set to january 1970, set the system clock to
  the more plausible value that is the mtime of the key file.  This is
  required by GnuPG to be able to import the keys.  (We can't pass the
  --ignore-time-conflict or the --ignore-valid-from options though
  GPGME.)

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/mandos-client.postinst
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
18
 
. /usr/share/debconf/confmodule
19
 
 
20
18
set -e
21
19
 
22
20
# Update the initial RAM file system image
52
50
    fi
53
51
}
54
52
 
55
 
# Create client key pairs
56
 
create_keys(){
57
 
    # If the OpenPGP key files do not exist, generate all keys using
58
 
    # mandos-keygen
59
 
    if ! [ -r /etc/keys/mandos/pubkey.txt \
60
 
              -a -r /etc/keys/mandos/seckey.txt ]; then
61
 
        mandos-keygen
62
 
        gpg-connect-agent KILLAGENT /bye || :
63
 
        return 0
64
 
    fi
65
 
 
66
 
    # Remove any bad TLS keys by 1.8.0-1
67
 
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
68
 
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
69
 
        # Is the key bad?
70
 
        if ! certtool --password='' \
71
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
72
 
             --outfile=/dev/null --pubkey-info --no-text \
73
 
             2>/dev/null; then
74
 
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
75
 
                  2>/dev/null || :
76
 
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
77
 
        fi
78
 
    fi
79
 
 
80
 
    # If the TLS keys already exists, do nothing
81
 
    if [ -r /etc/keys/mandos/tls-privkey.pem \
82
 
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
83
 
        return 0
84
 
    fi
85
 
 
86
 
    # Try to create the TLS keys
87
 
 
88
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
89
 
 
90
 
    if certtool --generate-privkey --password='' \
91
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
92
 
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
93
 
 
94
 
        local umask=$(umask)
95
 
        umask 077
96
 
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
97
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
98
 
 
99
 
        # First try certtool from GnuTLS
100
 
        if ! certtool --password='' \
101
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
102
 
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
103
 
             --no-text 2>/dev/null; then
104
 
            # Otherwise try OpenSSL
105
 
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
106
 
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
107
 
                rm --force /etc/keys/mandos/tls-pubkey.pem
108
 
                # None of the commands succeded; give up
109
 
                umask $umask
110
 
                return 1
111
 
            fi
112
 
        fi
113
 
        umask $umask
114
 
 
115
 
        key_id=$(mandos-keygen --passfile=/dev/null \
116
 
                     | grep --regexp="^key_id[ =]")
117
 
 
118
 
        db_version 2.0
119
 
        db_fset mandos-client/key_id seen false
120
 
        db_reset mandos-client/key_id
121
 
        db_subst mandos-client/key_id key_id $key_id
122
 
        db_input critical mandos-client/key_id || true
123
 
        db_go
124
 
        db_stop
125
 
    else
126
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
127
 
    fi
 
53
# Create client key pair
 
54
create_key(){
 
55
    if [ -r /etc/keys/mandos/pubkey.txt \
 
56
        -a -r /etc/keys/mandos/seckey.txt ]; then
 
57
        return 0
 
58
    fi
 
59
    mandos-keygen
 
60
    gpg-connect-agent KILLAGENT /bye || :
128
61
}
129
62
 
130
63
create_dh_params(){
155
88
case "$1" in
156
89
    configure)
157
90
        add_mandos_user "$@"
158
 
        create_keys "$@"
 
91
        create_key "$@"
159
92
        create_dh_params "$@" || :
160
93
        update_initramfs "$@"
161
94
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then