/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-script

  • Committer: Teddy Hogeborn
  • Date: 2018-08-15 09:26:02 UTC
  • Revision ID: teddy@recompile.se-20180815092602-xoyb5s6gf8376i7u
mandos-client: Set system clock if necessary

* plugins.d/mandos-client.c (init_gpgme/import_key): If the system
  clock is not set, or set to january 1970, set the system clock to
  the more plausible value that is the mtime of the key file.  This is
  required by GnuPG to be able to import the keys.  (We can't pass the
  --ignore-time-conflict or the --ignore-valid-from options though
  GPGME.)

Show diffs side-by-side

added added

removed removed

Lines of Context:
6
6
7
7
 
8
8
# This script should be installed as
9
 
# "/usr/share/initramfs-tools/scripts/local-top/mandos" which will
10
 
# eventually be "/scripts/local-top/mandos" in the initrd.img file.
 
9
# "/usr/share/initramfs-tools/scripts/init-premount/mandos" which will
 
10
# eventually be "/scripts/init-premount/mandos" in the initrd.img
 
11
# file.
11
12
 
12
 
# No initramfs pre-requirements; we must instead run BEFORE cryptroot.
13
 
# This is not a problem, since cryptroot forces itself to run LAST.
14
 
PREREQ=""
 
13
PREREQ="udev"
15
14
prereqs()
16
15
{
17
 
     echo "$PREREQ"
 
16
    echo "$PREREQ"
18
17
}
19
18
 
20
19
case $1 in
21
20
prereqs)
22
 
     prereqs
23
 
     exit 0
24
 
     ;;
 
21
        prereqs
 
22
        exit 0
 
23
        ;;
25
24
esac
26
25
 
 
26
. /scripts/functions
 
27
 
27
28
for param in `cat /proc/cmdline`; do
28
29
    case "$param" in
29
 
        mandos=off) exit 0;;
 
30
        ip=*) IPOPTS="${param#ip=}" ;;
 
31
        mandos=*)
 
32
            # Split option line on commas
 
33
            old_ifs="$IFS"
 
34
            IFS="$IFS,"
 
35
            for mpar in ${param#mandos=}; do
 
36
                IFS="$old_ifs"
 
37
                case "$mpar" in
 
38
                    off) exit 0 ;;
 
39
                    connect) connect="" ;;
 
40
                    connect:*) connect="${mpar#connect:}" ;;
 
41
                    *) log_warning_msg "$0: Bad option ${mpar}" ;;
 
42
                esac
 
43
            done
 
44
            unset mpar
 
45
            IFS="$old_ifs"
 
46
            unset old_ifs
 
47
            ;;
30
48
    esac
31
49
done
 
50
unset param
32
51
 
33
52
chmod a=rwxt /tmp
34
53
 
35
 
test -w /conf/conf.d/cryptroot
 
54
test -r /conf/conf.d/cryptroot
 
55
test -w /conf/conf.d
 
56
 
 
57
# Get DEVICE from /conf/initramfs.conf and other files
 
58
. /conf/initramfs.conf
 
59
for conf in /conf/conf.d/*; do
 
60
    [ -f "${conf}" ] && . "${conf}"
 
61
done
 
62
if [ -e /conf/param.conf ]; then
 
63
    . /conf/param.conf
 
64
fi
 
65
 
 
66
# Override DEVICE from sixth field of ip= kernel option, if passed
 
67
case "$IPOPTS" in
 
68
    *:*:*:*:*:*)                # At least six fields
 
69
        # Remove the first five fields
 
70
        device="${IPOPTS#*:*:*:*:*:}"
 
71
        # Remove all fields except the first one
 
72
        DEVICE="${device%%:*}"
 
73
        ;;
 
74
esac
 
75
 
 
76
# Add device setting (if any) to plugin-runner.conf
 
77
if [ "${DEVICE+set}" = set ]; then
 
78
    # Did we get the device from an ip= option?
 
79
    if [ "${device+set}" = set ]; then
 
80
        # Let ip= option override local config; append:
 
81
        cat <<-EOF >>/conf/conf.d/mandos/plugin-runner.conf
 
82
        
 
83
        --options-for=mandos-client:--interface=${DEVICE}
 
84
EOF
 
85
    else
 
86
        # Prepend device setting so any later options would override:
 
87
        sed -i -e \
 
88
            '1i--options-for=mandos-client:--interface='"${DEVICE}" \
 
89
            /conf/conf.d/mandos/plugin-runner.conf
 
90
    fi
 
91
fi
 
92
unset device
 
93
 
 
94
# If we are connecting directly, run "configure_networking" (from
 
95
# /scripts/functions); it needs IPOPTS and DEVICE
 
96
if [ "${connect+set}" = set ]; then
 
97
    set +e                      # Required by library functions
 
98
    configure_networking
 
99
    set -e
 
100
    if [ -n "$connect" ]; then
 
101
        cat <<-EOF >>/conf/conf.d/mandos/plugin-runner.conf
 
102
        
 
103
        --options-for=mandos-client:--connect=${connect}
 
104
EOF
 
105
    fi
 
106
fi
36
107
 
37
108
# Do not replace cryptroot file unless we need to.
38
109
replace_cryptroot=no
39
110
 
40
111
# Our keyscript
41
112
mandos=/lib/mandos/plugin-runner
 
113
test -x "$mandos"
42
114
 
43
115
# parse /conf/conf.d/cryptroot.  Format:
44
 
# target=sda2_crypt,source=/dev/sda2,key=none,keyscript=/foo/bar/baz
 
116
# target=sda2_crypt,source=/dev/sda2,rootdev,key=none,keyscript=/foo/bar/baz
 
117
# Is the root device specially marked?
 
118
changeall=yes
 
119
while read -r options; do
 
120
    case "$options" in
 
121
        rootdev,*|*,rootdev,*|*,rootdev)
 
122
            # If the root device is specially marked, don't change all
 
123
            # lines in crypttab by default.
 
124
            changeall=no
 
125
            ;;
 
126
    esac
 
127
done < /conf/conf.d/cryptroot
 
128
 
45
129
exec 3>/conf/conf.d/cryptroot.mandos
46
 
while read options; do
 
130
while read -r options; do
47
131
    newopts=""
 
132
    keyscript=""
 
133
    changethis="$changeall"
48
134
    # Split option line on commas
49
135
    old_ifs="$IFS"
50
136
    IFS="$IFS,"
56
142
                newopts="$newopts,$opt"
57
143
                ;;
58
144
            "") : ;;
 
145
            # Always use Mandos on the root device, if marked
 
146
            rootdev)
 
147
                changethis=yes
 
148
                newopts="$newopts,$opt"
 
149
                ;;
 
150
            # Don't use Mandos on resume device, if marked
 
151
            resumedev)
 
152
                changethis=no
 
153
                newopts="$newopts,$opt"
 
154
                ;;
59
155
            *)
60
156
                newopts="$newopts,$opt"
61
157
                ;;
64
160
    IFS="$old_ifs"
65
161
    unset old_ifs
66
162
    # If there was no keyscript option, add one.
67
 
    if [ -z "$keyscript" ]; then
 
163
    if [ "$changethis" = yes ] && [ -z "$keyscript" ]; then
68
164
        replace_cryptroot=yes
69
165
        newopts="$newopts,keyscript=$mandos"
70
166
    fi