Branch data Line data Source code
1 : : /**
2 : : * @file fwknop.c
3 : : *
4 : : * @brief The fwknop client.
5 : : *
6 : : * Fwknop is developed primarily by the people listed in the file 'AUTHORS'.
7 : : * Copyright (C) 2009-2014 fwknop developers and contributors. For a full
8 : : * list of contributors, see the file 'CREDITS'.
9 : : *
10 : : * License (GNU General Public License):
11 : : *
12 : : * This program is free software; you can redistribute it and/or
13 : : * modify it under the terms of the GNU General Public License
14 : : * as published by the Free Software Foundation; either version 2
15 : : * of the License, or (at your option) any later version.
16 : : *
17 : : * This program is distributed in the hope that it will be useful,
18 : : * but WITHOUT ANY WARRANTY; without even the implied warranty of
19 : : * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
20 : : * GNU General Public License for more details.
21 : : *
22 : : * You should have received a copy of the GNU General Public License
23 : : * along with this program; if not, write to the Free Software
24 : : * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
25 : : * USA
26 : : */
27 : :
28 : : #include "fwknop.h"
29 : : #include "config_init.h"
30 : : #include "spa_comm.h"
31 : : #include "utils.h"
32 : : #include "getpasswd.h"
33 : :
34 : : #include <sys/stat.h>
35 : : #include <fcntl.h>
36 : :
37 : :
38 : : /* prototypes
39 : : */
40 : : static int get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
41 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len);
42 : : static void errmsg(const char *msg, const int err);
43 : : static int prev_exec(fko_cli_options_t *options, int argc, char **argv);
44 : : static int get_save_file(char *args_save_file);
45 : : static int show_last_command(const char * const args_save_file);
46 : : static int save_args(int argc, char **argv, const char * const args_save_file);
47 : : static int run_last_args(fko_cli_options_t *options,
48 : : const char * const args_save_file);
49 : : static int set_message_type(fko_ctx_t ctx, fko_cli_options_t *options);
50 : : static int set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options,
51 : : const char * const access_buf);
52 : : static int set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options,
53 : : char *access_buf);
54 : : static int get_rand_port(fko_ctx_t ctx);
55 : : int resolve_ip_https(fko_cli_options_t *options);
56 : : int resolve_ip_http(fko_cli_options_t *options);
57 : : static void clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
58 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
59 : : unsigned int exit_status);
60 : : static void zero_buf_wrapper(char *buf, int len);
61 : : static int is_hostname_str_with_port(const char *str,
62 : : char *hostname, size_t hostname_bufsize, int *port);
63 : : #if HAVE_LIBFIU
64 : : static int enable_fault_injections(fko_cli_options_t * const opts);
65 : : #endif
66 : :
67 : : #define NAT_ACCESS_STR_TEMPLATE "%s,%d" /*!< Template for a nat access string ip,port with sscanf*/
68 : : #define HOSTNAME_BUFSIZE 64 /*!< Maximum size of a hostname string */
69 : : #define CTX_DUMP_BUFSIZE 4096 /*!< Maximum size allocated to a FKO context dump */
70 : :
71 : : /**
72 : : * @brief Check whether a string is an ipv6 address or not
73 : : *
74 : : * @param str String to check for an ipv6 address.
75 : : *
76 : : * @return 1 if the string is an ipv6 address, 0 otherwise.
77 : : */
78 : : static int
79 : 0 : is_ipv6_str(char *str)
80 : : {
81 : 0 : return 0;
82 : : }
83 : :
84 : : /**
85 : : * @brief Check a string to find out if it is built as 'hostname,port'
86 : : *
87 : : * This function check if we can extract an hostname and a port from the string.
88 : : * If yes, we return 1, and both the hostname buffer and the port number are set
89 : : * accordingly.
90 : : *
91 : : * We could have used sscanf() here with a template "%[^,],%u", but this way we
92 : : * do not limit the size of the value copy in the hostname destination buffer.
93 : : * Limiting the string in the sscanf() can be done but would prevent any easy change
94 : : * for the hostname buffer size.
95 : : *
96 : : * @param str String to parse.
97 : : * @param hostname Buffer where to store the hostname value read from @str.
98 : : * @param hostname_bufsize Hostname buffer size.
99 : : * @param port Value of the port read from @str.
100 : : *
101 : : * @return 1 if the string is built as 'hostname,port', 0 otherwise.
102 : : */
103 : : static int
104 : 0 : is_hostname_str_with_port(const char *str, char *hostname, size_t hostname_bufsize, int *port)
105 : : {
106 : 0 : int valid = 0; /* Result of the function */
107 : 0 : char buf[MAX_LINE_LEN] = {0}; /* Copy of the buffer eg. "hostname,port" */
108 : : char *h; /* Pointer on the hostname string */
109 : : char *p; /* Ponter on the port string */
110 : :
111 : : memset(hostname, 0, hostname_bufsize);
112 : 0 : *port = 0;
113 : :
114 : : /* Replace the comma in the string with a NULL char to split the
115 : : * buffer in two strings (hostname and port) */
116 : 0 : strlcpy(buf, str, sizeof(buf));
117 : 0 : p = strchr(buf, ',');
118 : :
119 [ # # ]: 0 : if(p != NULL)
120 : : {
121 : 0 : *p++ = 0;
122 : 0 : h = buf;
123 : :
124 : 0 : *port = atoi(p);
125 : :
126 : : /* If the string does not match an ipv4 or ipv6 address we assume this
127 : : * is an hostname. We make sure the port is in the good range too */
128 [ # # ]: 0 : if ( (is_valid_ipv4_addr(buf) == 0)
129 [ # # ]: 0 : && (is_ipv6_str(buf) == 0)
130 [ # # ]: 0 : && ((*port > 0) && (*port < 65536)) )
131 : : {
132 : 0 : strlcpy(hostname, h, hostname_bufsize);
133 : 0 : valid = 1;
134 : : }
135 : :
136 : : /* The port is out of range or the ip is an ipv6 or ipv4 address */
137 : : else;
138 : : }
139 : :
140 : : /* No port found in the string, let's skip */
141 : : else;
142 : :
143 : 0 : return valid;
144 : : }
145 : :
146 : : int
147 : 2085 : main(int argc, char **argv)
148 : : {
149 : 2085 : fko_ctx_t ctx = NULL;
150 : 2085 : fko_ctx_t ctx2 = NULL;
151 : : int res;
152 : 2085 : char *spa_data=NULL, *version=NULL;
153 : 2085 : char access_buf[MAX_LINE_LEN] = {0};
154 : 2085 : char key[MAX_KEY_LEN+1] = {0};
155 : 2085 : char hmac_key[MAX_KEY_LEN+1] = {0};
156 : 2085 : int key_len = 0, orig_key_len = 0, hmac_key_len = 0, enc_mode;
157 : 2085 : int tmp_port = 0;
158 : : char dump_buf[CTX_DUMP_BUFSIZE];
159 : :
160 : : fko_cli_options_t options;
161 : :
162 : : memset(&options, 0x0, sizeof(fko_cli_options_t));
163 : :
164 : : /* Initialize the log module */
165 : 2085 : log_new();
166 : :
167 : : /* Handle command line
168 : : */
169 : 2085 : config_init(&options, argc, argv);
170 : :
171 : : #if HAVE_LIBFIU
172 : : /* Set any fault injection points early
173 : : */
174 : : if(! enable_fault_injections(&options))
175 : : clean_exit(ctx, &options, key, &key_len, hmac_key,
176 : : &hmac_key_len, EXIT_FAILURE);
177 : : #endif
178 : :
179 : : /* Handle previous execution arguments if required
180 : : */
181 [ - + ]: 566 : if(prev_exec(&options, argc, argv) != 1)
182 : 0 : clean_exit(ctx, &options, key, &key_len, hmac_key,
183 : : &hmac_key_len, EXIT_FAILURE);
184 : :
185 [ - + ]: 566 : if(options.show_last_command)
186 : 0 : clean_exit(ctx, &options, key, &key_len, hmac_key,
187 : : &hmac_key_len, EXIT_SUCCESS);
188 : :
189 : : /* Intialize the context
190 : : */
191 : 566 : res = fko_new(&ctx);
192 [ - + ]: 566 : if(res != FKO_SUCCESS)
193 : : {
194 : 0 : errmsg("fko_new", res);
195 : 0 : clean_exit(ctx, &options, key, &key_len, hmac_key,
196 : : &hmac_key_len, EXIT_FAILURE);
197 : : }
198 : :
199 : : /* Display version info and exit.
200 : : */
201 [ - + ]: 566 : if(options.version)
202 : : {
203 : 0 : fko_get_version(ctx, &version);
204 : :
205 : 0 : fprintf(stdout, "fwknop client %s, FKO protocol version %s\n",
206 : : MY_VERSION, version);
207 : :
208 : 0 : clean_exit(ctx, &options, key, &key_len,
209 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
210 : : }
211 : :
212 : : /* Set client timeout
213 : : */
214 [ + + ]: 566 : if(options.fw_timeout >= 0)
215 : : {
216 : 3 : res = fko_set_spa_client_timeout(ctx, options.fw_timeout);
217 [ - + ]: 3 : if(res != FKO_SUCCESS)
218 : : {
219 : 0 : errmsg("fko_set_spa_client_timeout", res);
220 : 0 : clean_exit(ctx, &options, key, &key_len,
221 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
222 : : }
223 : : }
224 : :
225 : : /* Set the SPA packet message type based on command line options
226 : : */
227 : 566 : res = set_message_type(ctx, &options);
228 [ - + ]: 566 : if(res != FKO_SUCCESS)
229 : : {
230 : 0 : errmsg("fko_set_spa_message_type", res);
231 : 0 : clean_exit(ctx, &options, key, &key_len,
232 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
233 : : }
234 : :
235 : : /* Adjust the SPA timestamp if necessary
236 : : */
237 [ + + ]: 566 : if(options.time_offset_plus > 0)
238 : : {
239 : 75 : res = fko_set_timestamp(ctx, options.time_offset_plus);
240 [ - + ]: 75 : if(res != FKO_SUCCESS)
241 : : {
242 : 0 : errmsg("fko_set_timestamp", res);
243 : 0 : clean_exit(ctx, &options, key, &key_len,
244 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
245 : : }
246 : : }
247 [ + + ]: 566 : if(options.time_offset_minus > 0)
248 : : {
249 : 428 : res = fko_set_timestamp(ctx, -options.time_offset_minus);
250 [ + + ]: 428 : if(res != FKO_SUCCESS)
251 : : {
252 : 1 : errmsg("fko_set_timestamp", res);
253 : 1 : clean_exit(ctx, &options, key, &key_len,
254 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
255 : : }
256 : : }
257 : :
258 [ - + ]: 565 : if(options.server_command[0] != 0x0)
259 : : {
260 : : /* Set the access message to a command that the server will
261 : : * execute
262 : : */
263 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
264 : : options.allow_ip_str, ",", options.server_command);
265 : : }
266 : : else
267 : : {
268 : : /* Resolve the client's public facing IP address if requestesd.
269 : : * if this fails, consider it fatal.
270 : : */
271 [ - + ]: 565 : if (options.resolve_ip_http_https)
272 : : {
273 [ # # ]: 0 : if(options.resolve_http_only)
274 : : {
275 [ # # ]: 0 : if(resolve_ip_http(&options) < 0)
276 : : {
277 : 0 : clean_exit(ctx, &options, key, &key_len,
278 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
279 : : }
280 : : }
281 : : else
282 : : {
283 : : /* Default to HTTPS */
284 [ # # ]: 0 : if(resolve_ip_https(&options) < 0)
285 : : {
286 : 0 : clean_exit(ctx, &options, key, &key_len,
287 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
288 : : }
289 : : }
290 : : }
291 : :
292 : : /* Set a message string by combining the allow IP and the
293 : : * port/protocol. The fwknopd server allows no port/protocol
294 : : * to be specified as well, so in this case append the string
295 : : * "none/0" to the allow IP.
296 : : */
297 [ - + ]: 565 : if(set_access_buf(ctx, &options, access_buf) != 1)
298 : 0 : clean_exit(ctx, &options, key, &key_len,
299 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
300 : : }
301 : 565 : res = fko_set_spa_message(ctx, access_buf);
302 [ + + ]: 565 : if(res != FKO_SUCCESS)
303 : : {
304 : 98 : errmsg("fko_set_spa_message", res);
305 : 98 : clean_exit(ctx, &options, key, &key_len,
306 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
307 : : }
308 : :
309 : : /* Set NAT access string
310 : : */
311 [ + - ][ - + ]: 467 : if (options.nat_local || options.nat_access_str[0] != 0x0)
312 : : {
313 : 0 : res = set_nat_access(ctx, &options, access_buf);
314 [ # # ]: 0 : if(res != FKO_SUCCESS)
315 : : {
316 : 0 : errmsg("fko_set_nat_access_str", res);
317 : 0 : clean_exit(ctx, &options, key, &key_len,
318 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
319 : : }
320 : : }
321 : :
322 : : /* Set username
323 : : */
324 [ + + ]: 467 : if(options.spoof_user[0] != 0x0)
325 : : {
326 : 378 : res = fko_set_username(ctx, options.spoof_user);
327 [ + + ]: 378 : if(res != FKO_SUCCESS)
328 : : {
329 : 25 : errmsg("fko_set_username", res);
330 : 25 : clean_exit(ctx, &options, key, &key_len,
331 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
332 : : }
333 : : }
334 : :
335 : : /* Set up for using GPG if specified.
336 : : */
337 [ + + ]: 442 : if(options.use_gpg)
338 : : {
339 : : /* If use-gpg-agent was not specified, then remove the GPG_AGENT_INFO
340 : : * ENV variable if it exists.
341 : : */
342 : : #ifndef WIN32
343 [ + + ]: 3 : if(!options.use_gpg_agent)
344 : 2 : unsetenv("GPG_AGENT_INFO");
345 : : #endif
346 : :
347 : 3 : res = fko_set_spa_encryption_type(ctx, FKO_ENCRYPTION_GPG);
348 [ - + ]: 3 : if(res != FKO_SUCCESS)
349 : : {
350 : 0 : errmsg("fko_set_spa_encryption_type", res);
351 : 0 : clean_exit(ctx, &options, key, &key_len,
352 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
353 : : }
354 : :
355 : : /* Set gpg path if necessary
356 : : */
357 [ + + ]: 3 : if(strlen(options.gpg_exe) > 0)
358 : : {
359 : 1 : res = fko_set_gpg_exe(ctx, options.gpg_exe);
360 [ + - ]: 1 : if(res != FKO_SUCCESS)
361 : : {
362 : 1 : errmsg("fko_set_gpg_exe", res);
363 : 1 : clean_exit(ctx, &options, key, &key_len,
364 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
365 : : }
366 : : }
367 : :
368 : : /* If a GPG home dir was specified, set it here. Note: Setting
369 : : * this has to occur before calling any of the other GPG-related
370 : : * functions.
371 : : */
372 [ - + ]: 2 : if(strlen(options.gpg_home_dir) > 0)
373 : : {
374 : 0 : res = fko_set_gpg_home_dir(ctx, options.gpg_home_dir);
375 [ # # ]: 0 : if(res != FKO_SUCCESS)
376 : : {
377 : 0 : errmsg("fko_set_gpg_home_dir", res);
378 : 0 : clean_exit(ctx, &options, key, &key_len,
379 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
380 : : }
381 : : }
382 : :
383 : 2 : res = fko_set_gpg_recipient(ctx, options.gpg_recipient_key);
384 [ + - ]: 2 : if(res != FKO_SUCCESS)
385 : : {
386 : 2 : errmsg("fko_set_gpg_recipient", res);
387 : :
388 [ + - ]: 2 : if(IS_GPG_ERROR(res))
389 : 2 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
390 : 2 : clean_exit(ctx, &options, key, &key_len,
391 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
392 : : }
393 : :
394 [ # # ]: 0 : if(strlen(options.gpg_signer_key) > 0)
395 : : {
396 : 0 : res = fko_set_gpg_signer(ctx, options.gpg_signer_key);
397 [ # # ]: 0 : if(res != FKO_SUCCESS)
398 : : {
399 : 0 : errmsg("fko_set_gpg_signer", res);
400 : :
401 [ # # ]: 0 : if(IS_GPG_ERROR(res))
402 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
403 : 0 : clean_exit(ctx, &options, key, &key_len,
404 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
405 : : }
406 : : }
407 : :
408 : 0 : res = fko_set_spa_encryption_mode(ctx, FKO_ENC_MODE_ASYMMETRIC);
409 [ # # ]: 0 : if(res != FKO_SUCCESS)
410 : : {
411 : 0 : errmsg("fko_set_spa_encryption_mode", res);
412 : 0 : clean_exit(ctx, &options, key, &key_len,
413 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
414 : : }
415 : : }
416 : :
417 [ + + ][ + - ]: 439 : if(options.encryption_mode && !options.use_gpg)
418 : : {
419 : 383 : res = fko_set_spa_encryption_mode(ctx, options.encryption_mode);
420 [ - + ]: 383 : if(res != FKO_SUCCESS)
421 : : {
422 : 0 : errmsg("fko_set_spa_encryption_mode", res);
423 : 0 : clean_exit(ctx, &options, key, &key_len,
424 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
425 : : }
426 : : }
427 : :
428 : : /* Set Digest type.
429 : : */
430 [ + + ]: 439 : if(options.digest_type)
431 : : {
432 : 372 : res = fko_set_spa_digest_type(ctx, options.digest_type);
433 [ - + ]: 372 : if(res != FKO_SUCCESS)
434 : : {
435 : 0 : errmsg("fko_set_spa_digest_type", res);
436 : 0 : clean_exit(ctx, &options, key, &key_len,
437 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
438 : : }
439 : : }
440 : :
441 : : /* Acquire the necessary encryption/hmac keys
442 : : */
443 [ + + ]: 439 : if(get_keys(ctx, &options, key, &key_len, hmac_key, &hmac_key_len) != 1)
444 : 10 : clean_exit(ctx, &options, key, &key_len,
445 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
446 : :
447 : 429 : orig_key_len = key_len;
448 : :
449 [ - + ]: 429 : if(options.encryption_mode == FKO_ENC_MODE_CBC_LEGACY_IV
450 [ # # ]: 0 : && key_len > 16)
451 : : {
452 : 0 : log_msg(LOG_VERBOSITY_ERROR,
453 : : "WARNING: Encryption key in '-M legacy' mode must be <= 16 bytes");
454 : 0 : log_msg(LOG_VERBOSITY_ERROR,
455 : : "long - truncating before sending SPA packet. Upgrading remote");
456 : 0 : log_msg(LOG_VERBOSITY_ERROR,
457 : : "fwknopd is recommended.");
458 : 0 : key_len = 16;
459 : : }
460 : :
461 : : /* Finalize the context data (encrypt and encode the SPA data)
462 : : */
463 : 429 : res = fko_spa_data_final(ctx, key, key_len, hmac_key, hmac_key_len);
464 [ + + ]: 429 : if(res != FKO_SUCCESS)
465 : : {
466 : 17 : errmsg("fko_spa_data_final", res);
467 : :
468 [ - + ]: 17 : if(IS_GPG_ERROR(res))
469 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
470 : 17 : clean_exit(ctx, &options, key, &orig_key_len,
471 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
472 : : }
473 : :
474 : : /* Display the context data.
475 : : */
476 [ + - ]: 412 : if (options.verbose || options.test)
477 : : {
478 : 412 : res = dump_ctx_to_buffer(ctx, dump_buf, sizeof(dump_buf));
479 [ + - ]: 412 : if (res == FKO_SUCCESS)
480 : 412 : log_msg(LOG_VERBOSITY_NORMAL, "%s", dump_buf);
481 : : else
482 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s",
483 : : fko_errstr(res));
484 : : }
485 : :
486 : : /* Save packet data payload if requested.
487 : : */
488 [ - + ]: 412 : if (options.save_packet_file[0] != 0x0)
489 : 0 : write_spa_packet_data(ctx, &options);
490 : :
491 : : /* SPA packet random destination port handling
492 : : */
493 [ + + ]: 412 : if (options.rand_port)
494 : : {
495 : 5 : tmp_port = get_rand_port(ctx);
496 [ - + ]: 5 : if(tmp_port < 0)
497 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
498 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
499 : 5 : options.spa_dst_port = tmp_port;
500 : : }
501 : :
502 : : /* If we are using one the "raw" modes (normally because
503 : : * we're going to spoof the SPA packet source IP), then select
504 : : * a random source port unless the source port is already set
505 : : */
506 [ + - ]: 412 : if ((options.spa_proto == FKO_PROTO_TCP_RAW
507 : 412 : || options.spa_proto == FKO_PROTO_UDP_RAW
508 [ - + ]: 412 : || options.spa_proto == FKO_PROTO_ICMP)
509 [ # # ]: 0 : && !options.spa_src_port)
510 : : {
511 : 0 : tmp_port = get_rand_port(ctx);
512 [ # # ]: 0 : if(tmp_port < 0)
513 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
514 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
515 : 0 : options.spa_src_port = tmp_port;
516 : : }
517 : :
518 : 412 : res = send_spa_packet(ctx, &options);
519 [ - + ]: 412 : if(res < 0)
520 : : {
521 : 0 : log_msg(LOG_VERBOSITY_ERROR, "send_spa_packet: packet not sent.");
522 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
523 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
524 : : }
525 : : else
526 : : {
527 : 412 : log_msg(LOG_VERBOSITY_INFO, "send_spa_packet: bytes sent: %i", res);
528 : : }
529 : :
530 : : /* Run through a decode cycle in test mode (--DSS XXX: This test/decode
531 : : * portion should be moved elsewhere).
532 : : */
533 [ + - ]: 412 : if (options.test)
534 : : {
535 : : /************** Decoding now *****************/
536 : :
537 : : /* Now we create a new context based on data from the first one.
538 : : */
539 : 412 : res = fko_get_spa_data(ctx, &spa_data);
540 [ - + ]: 412 : if(res != FKO_SUCCESS)
541 : : {
542 : 0 : errmsg("fko_get_spa_data", res);
543 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
544 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
545 : : }
546 : :
547 : : /* Pull the encryption mode.
548 : : */
549 : 412 : res = fko_get_spa_encryption_mode(ctx, &enc_mode);
550 [ - + ]: 412 : if(res != FKO_SUCCESS)
551 : : {
552 : 0 : errmsg("fko_get_spa_encryption_mode", res);
553 [ # # ]: 0 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
554 : 0 : log_msg(LOG_VERBOSITY_ERROR,
555 : : "[*] Could not zero out sensitive data buffer.");
556 : 0 : ctx = NULL;
557 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
558 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
559 : : }
560 : :
561 : : /* If gpg-home-dir is specified, we have to defer decrypting if we
562 : : * use the fko_new_with_data() function because we need to set the
563 : : * gpg home dir after the context is created, but before we attempt
564 : : * to decrypt the data. Therefore we either pass NULL for the
565 : : * decryption key to fko_new_with_data() or use fko_new() to create
566 : : * an empty context, populate it with the encrypted data, set our
567 : : * options, then decode it.
568 : : *
569 : : * This also verifies the HMAC and truncates it if there are no
570 : : * problems.
571 : : */
572 : 412 : res = fko_new_with_data(&ctx2, spa_data, NULL,
573 : : 0, enc_mode, hmac_key, hmac_key_len, options.hmac_type);
574 [ + + ]: 412 : if(res != FKO_SUCCESS)
575 : : {
576 : 343 : errmsg("fko_new_with_data", res);
577 [ - + ]: 343 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
578 : 0 : log_msg(LOG_VERBOSITY_ERROR,
579 : : "[*] Could not zero out sensitive data buffer.");
580 : 343 : ctx2 = NULL;
581 : 343 : clean_exit(ctx, &options, key, &orig_key_len,
582 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
583 : : }
584 : :
585 : 69 : res = fko_set_spa_encryption_mode(ctx2, enc_mode);
586 [ - + ]: 69 : if(res != FKO_SUCCESS)
587 : : {
588 : 0 : errmsg("fko_set_spa_encryption_mode", res);
589 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
590 : 0 : log_msg(LOG_VERBOSITY_ERROR,
591 : : "[*] Could not zero out sensitive data buffer.");
592 : 0 : ctx2 = NULL;
593 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
594 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
595 : : }
596 : :
597 : : /* See if we are using gpg and if we need to set the GPG home dir.
598 : : */
599 [ - + ]: 69 : if(options.use_gpg)
600 : : {
601 [ # # ]: 0 : if(strlen(options.gpg_home_dir) > 0)
602 : : {
603 : 0 : res = fko_set_gpg_home_dir(ctx2, options.gpg_home_dir);
604 [ # # ]: 0 : if(res != FKO_SUCCESS)
605 : : {
606 : 0 : errmsg("fko_set_gpg_home_dir", res);
607 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
608 : 0 : log_msg(LOG_VERBOSITY_ERROR,
609 : : "[*] Could not zero out sensitive data buffer.");
610 : 0 : ctx2 = NULL;
611 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
612 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
613 : : }
614 : : }
615 : : }
616 : :
617 : : /* Decrypt
618 : : */
619 : 69 : res = fko_decrypt_spa_data(ctx2, key, key_len);
620 : :
621 [ + - ]: 69 : if(res != FKO_SUCCESS)
622 : : {
623 : 69 : errmsg("fko_decrypt_spa_data", res);
624 : :
625 [ - + ]: 69 : if(IS_GPG_ERROR(res)) {
626 : : /* we most likely could not decrypt the gpg-encrypted data
627 : : * because we don't have access to the private key associated
628 : : * with the public key we used for encryption. Since this is
629 : : * expected, return 0 instead of an error condition (so calling
630 : : * programs like the fwknop test suite don't interpret this as
631 : : * an unrecoverable error), but print the error string for
632 : : * debugging purposes. The test suite does run a series of
633 : : * tests that use a single key pair for encryption and
634 : : * authentication, so decryption become possible for these
635 : : * tests. */
636 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s\n%s", fko_gpg_errstr(ctx2),
637 : : "No access to recipient private key?");
638 : : }
639 [ - + ]: 69 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
640 : 0 : log_msg(LOG_VERBOSITY_ERROR,
641 : : "[*] Could not zero out sensitive data buffer.");
642 : 69 : ctx2 = NULL;
643 : 69 : clean_exit(ctx, &options, key, &orig_key_len,
644 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
645 : : }
646 : :
647 : 0 : res = dump_ctx_to_buffer(ctx2, dump_buf, sizeof(dump_buf));
648 [ # # ]: 0 : if (res == FKO_SUCCESS)
649 : 0 : log_msg(LOG_VERBOSITY_NORMAL, "\nDump of the Decoded Data\n%s", dump_buf);
650 : : else
651 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
652 : :
653 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
654 : 0 : log_msg(LOG_VERBOSITY_ERROR,
655 : : "[*] Could not zero out sensitive data buffer.");
656 : 0 : ctx2 = NULL;
657 : : }
658 : :
659 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
660 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
661 : :
662 : : return EXIT_SUCCESS; /* quiet down a gcc warning */
663 : : }
664 : :
665 : : void
666 : 566 : free_configs(fko_cli_options_t *opts)
667 : : {
668 [ - + ]: 566 : if (opts->resolve_url != NULL)
669 : 0 : free(opts->resolve_url);
670 [ - + ]: 566 : if (opts->wget_bin != NULL)
671 : 0 : free(opts->wget_bin);
672 : 566 : zero_buf_wrapper(opts->key, MAX_KEY_LEN+1);
673 : 566 : zero_buf_wrapper(opts->key_base64, MAX_B64_KEY_LEN+1);
674 : 566 : zero_buf_wrapper(opts->hmac_key, MAX_KEY_LEN+1);
675 : 566 : zero_buf_wrapper(opts->hmac_key_base64, MAX_B64_KEY_LEN+1);
676 : 566 : zero_buf_wrapper(opts->gpg_recipient_key, MAX_GPG_KEY_ID);
677 : 566 : zero_buf_wrapper(opts->gpg_signer_key, MAX_GPG_KEY_ID);
678 : 566 : zero_buf_wrapper(opts->gpg_home_dir, MAX_PATH_LEN);
679 : 566 : zero_buf_wrapper(opts->server_command, MAX_LINE_LEN);
680 : 566 : }
681 : :
682 : : static int
683 : 5 : get_rand_port(fko_ctx_t ctx)
684 : : {
685 : 5 : char *rand_val = NULL;
686 : 5 : char port_str[MAX_PORT_STR_LEN+1] = {0};
687 : : int tmpint, is_err;
688 : 5 : int port = 0;
689 : 5 : int res = 0;
690 : :
691 : 5 : res = fko_get_rand_value(ctx, &rand_val);
692 [ - + ]: 5 : if(res != FKO_SUCCESS)
693 : : {
694 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
695 : 0 : return -1;
696 : : }
697 : :
698 : 5 : strlcpy(port_str, rand_val, sizeof(port_str));
699 : :
700 : 5 : tmpint = strtol_wrapper(port_str, 0, -1, NO_EXIT_UPON_ERR, &is_err);
701 [ - + ]: 5 : if(is_err != FKO_SUCCESS)
702 : : {
703 : 0 : log_msg(LOG_VERBOSITY_ERROR,
704 : : "[*] get_rand_port(), could not convert rand_val str '%s', to integer",
705 : : rand_val);
706 : 0 : return -1;
707 : : }
708 : :
709 : : /* Convert to a random value between 1024 and 65535
710 : : */
711 : 5 : port = (MIN_HIGH_PORT + (tmpint % (MAX_PORT - MIN_HIGH_PORT)));
712 : :
713 : : /* Force libfko to calculate a new random value since we don't want to
714 : : * give anyone a hint (via the port value) about the contents of the
715 : : * encrypted SPA data.
716 : : */
717 : 5 : res = fko_set_rand_value(ctx, NULL);
718 [ - + ]: 5 : if(res != FKO_SUCCESS)
719 : : {
720 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
721 : 0 : return -1;
722 : : }
723 : :
724 : : return port;
725 : : }
726 : :
727 : : /* See if the string is of the format "<ipv4 addr>:<port>",
728 : : */
729 : : static int
730 : 0 : ipv4_str_has_port(char *str)
731 : : {
732 : : int o1, o2, o3, o4, p;
733 : :
734 : : /* Force the ':' (if any) to a ','
735 : : */
736 : 0 : char *ndx = strchr(str, ':');
737 [ # # ]: 0 : if(ndx != NULL)
738 : 0 : *ndx = ',';
739 : :
740 : : /* Check format and values.
741 : : */
742 [ # # ]: 0 : if((sscanf(str, "%u.%u.%u.%u,%u", &o1, &o2, &o3, &o4, &p)) == 5
743 [ # # ][ # # ]: 0 : && o1 >= 0 && o1 <= 255
744 [ # # ][ # # ]: 0 : && o2 >= 0 && o2 <= 255
745 [ # # ][ # # ]: 0 : && o3 >= 0 && o3 <= 255
746 [ # # ][ # # ]: 0 : && o4 >= 0 && o4 <= 255
747 [ # # ][ # # ]: 0 : && p > 0 && p < 65536)
748 : : {
749 : : return 1;
750 : : }
751 : :
752 : 0 : return 0;
753 : : }
754 : :
755 : : /* Set access buf
756 : : */
757 : : static int
758 : 565 : set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options, char *access_buf)
759 : : {
760 : 565 : char *ndx = NULL, tmp_nat_port[MAX_PORT_STR_LEN+1] = {0};
761 : 565 : int nat_port = 0;
762 : :
763 [ + + ]: 565 : if(options->access_str[0] != 0x0)
764 : : {
765 [ - + ]: 525 : if (options->nat_rand_port)
766 : : {
767 : 0 : nat_port = get_rand_port(ctx);
768 : 0 : options->nat_port = nat_port;
769 : : }
770 [ - + ]: 525 : else if (options->nat_port)
771 : 0 : nat_port = options->nat_port;
772 : :
773 [ - + ]: 525 : if(nat_port > 0 && nat_port <= MAX_PORT)
774 : : {
775 : : /* Replace the access string port with the NAT port since the
776 : : * NAT port is manually specified (--nat-port) or derived from
777 : : * random data (--nat-rand-port). In the NAT modes, the fwknopd
778 : : * server uses the port in the access string as the one to NAT,
779 : : * and access is granted via this translated port to whatever is
780 : : * specified with --nat-access <IP:port> (so this service is the
781 : : * utlimate target of the incoming connection after the SPA
782 : : * packet is sent).
783 : : */
784 : 0 : ndx = strchr(options->access_str, '/');
785 [ # # ]: 0 : if(ndx == NULL)
786 : : {
787 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
788 : 0 : return 0;
789 : : }
790 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s",
791 : 0 : options->allow_ip_str, ",");
792 : :
793 : : /* This adds in the protocol + '/' char
794 : : */
795 : 0 : strlcat(access_buf, options->access_str,
796 : 0 : strlen(access_buf) + (ndx - options->access_str) + 2);
797 : :
798 [ # # ]: 0 : if (strchr(ndx+1, '/') != NULL)
799 : : {
800 : 0 : log_msg(LOG_VERBOSITY_ERROR,
801 : : "[*] NAT for multiple ports/protocols not yet supported.");
802 : 0 : return 0;
803 : : }
804 : :
805 : : /* Now add the NAT port
806 : : */
807 : : snprintf(tmp_nat_port, MAX_PORT_STR_LEN+1, "%d", nat_port);
808 : 0 : strlcat(access_buf, tmp_nat_port,
809 : 0 : strlen(access_buf)+MAX_PORT_STR_LEN+1);
810 : : }
811 : : else
812 : : {
813 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
814 : 525 : options->allow_ip_str, ",", options->access_str);
815 : : }
816 : : }
817 : : else
818 : : {
819 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
820 : 40 : options->allow_ip_str, ",", "none/0");
821 : : }
822 : : return 1;
823 : : }
824 : :
825 : : /* Set NAT access string
826 : : */
827 : : static int
828 : 0 : set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options, const char * const access_buf)
829 : : {
830 : 0 : char nat_access_buf[MAX_LINE_LEN] = {0};
831 : 0 : char tmp_access_port[MAX_PORT_STR_LEN+1] = {0}, *ndx = NULL;
832 : 0 : int access_port = 0, i = 0, is_err = 0;
833 : 0 : char dst_ip_str[INET_ADDRSTRLEN] = {0};
834 : 0 : char hostname[HOSTNAME_BUFSIZE] = {0};
835 : 0 : int port = 0;
836 : : struct addrinfo hints;
837 : :
838 : : memset(&hints, 0 , sizeof(hints));
839 : :
840 : 0 : ndx = strchr(options->access_str, '/');
841 [ # # ]: 0 : if(ndx == NULL)
842 : : {
843 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
844 : 0 : return FKO_ERROR_INVALID_DATA;
845 : : }
846 : 0 : ndx++;
847 : :
848 [ # # ][ # # ]: 0 : while(*ndx != '\0' && isdigit(*ndx) && i < MAX_PORT_STR_LEN)
[ # # ]
849 : : {
850 : 0 : tmp_access_port[i] = *ndx;
851 : 0 : ndx++;
852 : 0 : i++;
853 : : }
854 : 0 : tmp_access_port[i] = '\0';
855 : :
856 : 0 : access_port = strtol_wrapper(tmp_access_port, 1,
857 : : MAX_PORT, NO_EXIT_UPON_ERR, &is_err);
858 [ # # ]: 0 : if(is_err != FKO_SUCCESS)
859 : : {
860 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value '%d' for -A arg.",
861 : : access_port);
862 : 0 : return FKO_ERROR_INVALID_DATA;
863 : : }
864 : :
865 [ # # ][ # # ]: 0 : if (options->nat_local && options->nat_access_str[0] == 0x0)
866 : : {
867 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
868 : 0 : options->spa_server_str, access_port);
869 : : }
870 : :
871 [ # # ][ # # ]: 0 : if (nat_access_buf[0] == 0x0 && options->nat_access_str[0] != 0x0)
872 : : {
873 [ # # ]: 0 : if (ipv4_str_has_port(options->nat_access_str))
874 : : {
875 : : snprintf(nat_access_buf, MAX_LINE_LEN, "%s",
876 : 0 : options->nat_access_str);
877 : : }
878 : : else
879 : : {
880 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
881 : 0 : options->nat_access_str, access_port);
882 : : }
883 : : }
884 : :
885 : : /* Check if there is a hostname to resolve as an ip address in the NAT access buffer */
886 [ # # ]: 0 : if (is_hostname_str_with_port(nat_access_buf, hostname, sizeof(hostname), &port))
887 : : {
888 : : /* Speed up the name resolution by forcing ipv4 (AF_INET).
889 : : * A NULL pointer could be used instead if there is no constraint.
890 : : * Maybe when ipv6 support will be enable the structure could initialize the
891 : : * family to either AF_INET or AF_INET6 */
892 : 0 : hints.ai_family = AF_INET;
893 : :
894 [ # # ]: 0 : if (resolve_dest_adr(hostname, &hints, dst_ip_str, sizeof(dst_ip_str)) != 0)
895 : : {
896 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Unable to resolve %s as an ip address",
897 : : hostname);
898 : 0 : return FKO_ERROR_INVALID_DATA;
899 : : }
900 : :
901 : 0 : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
902 : : dst_ip_str, port);
903 : : }
904 : :
905 : : /* Nothing to resolve */
906 : : else;
907 : :
908 [ # # ]: 0 : if(options->nat_rand_port)
909 : : {
910 : : /* Must print to stdout what the random port is since
911 : : * if not then the user will not which port will be
912 : : * opened/NAT'd on the fwknopd side
913 : : */
914 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
915 : : "[+] Randomly assigned port '%d' on: '%s' will grant access to: '%s'",
916 : : options->nat_port, access_buf, nat_access_buf);
917 : : }
918 : :
919 : 0 : return fko_set_spa_nat_access(ctx, nat_access_buf);
920 : : }
921 : :
922 : : static int
923 : 566 : prev_exec(fko_cli_options_t *options, int argc, char **argv)
924 : : {
925 : 566 : char args_save_file[MAX_PATH_LEN] = {0};
926 : 566 : int res = 1;
927 : :
928 [ - + ]: 566 : if(options->args_save_file[0] != 0x0)
929 : : {
930 : 0 : strlcpy(args_save_file, options->args_save_file, sizeof(args_save_file));
931 : : }
932 : : else
933 : : {
934 [ - + ]: 566 : if (get_save_file(args_save_file) != 1)
935 : : {
936 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Unable to determine args save file");
937 : 0 : return 0;
938 : : }
939 : : }
940 : :
941 [ - + ]: 566 : if(options->run_last_command)
942 : 0 : res = run_last_args(options, args_save_file);
943 [ - + ]: 566 : else if(options->show_last_command)
944 : 0 : res = show_last_command(args_save_file);
945 [ + - ]: 566 : else if (!options->no_save_args)
946 : 566 : res = save_args(argc, argv, args_save_file);
947 : :
948 : 566 : return res;
949 : : }
950 : :
951 : : /* Show the last command that was executed
952 : : */
953 : : static int
954 : 0 : show_last_command(const char * const args_save_file)
955 : : {
956 : 0 : char args_str[MAX_LINE_LEN] = {0};
957 : 0 : FILE *args_file_ptr = NULL;
958 : :
959 [ # # ]: 0 : if(verify_file_perms_ownership(args_save_file) != 1)
960 : : return 0;
961 : :
962 [ # # ]: 0 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL) {
963 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
964 : : args_save_file);
965 : 0 : return 0;
966 : : }
967 : :
968 [ # # ]: 0 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL) {
969 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
970 : : "Last fwknop client command line: %s", args_str);
971 : : } else {
972 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
973 : : "Could not read line from file: %s", args_save_file);
974 : 0 : fclose(args_file_ptr);
975 : 0 : return 0;
976 : : }
977 : 0 : fclose(args_file_ptr);
978 : :
979 : 0 : return 1;
980 : : }
981 : :
982 : : /* Get the command line arguments from the previous invocation
983 : : */
984 : : static int
985 : 0 : run_last_args(fko_cli_options_t *options, const char * const args_save_file)
986 : : {
987 : 0 : FILE *args_file_ptr = NULL;
988 : 0 : int argc_new = 0, args_broken = 0;
989 : 0 : char args_str[MAX_LINE_LEN] = {0};
990 : : char *argv_new[MAX_CMDLINE_ARGS]; /* should be way more than enough */
991 : :
992 : : memset(argv_new, 0x0, sizeof(argv_new));
993 : :
994 [ # # ]: 0 : if(verify_file_perms_ownership(args_save_file) != 1)
995 : : return 0;
996 : :
997 [ # # ]: 0 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL)
998 : : {
999 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1000 : : args_save_file);
1001 : 0 : return 0;
1002 : : }
1003 [ # # ]: 0 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL)
1004 : : {
1005 : 0 : args_str[MAX_LINE_LEN-1] = '\0';
1006 [ # # ]: 0 : if (options->verbose)
1007 : 0 : log_msg(LOG_VERBOSITY_NORMAL, "Executing: %s", args_str);
1008 [ # # ]: 0 : if(strtoargv(args_str, argv_new, &argc_new, options) != 1)
1009 : : {
1010 : 0 : args_broken = 1;
1011 : : }
1012 : : }
1013 : 0 : fclose(args_file_ptr);
1014 : :
1015 [ # # ]: 0 : if(args_broken)
1016 : : return 0;
1017 : :
1018 : : /* Reset the options index so we can run through them again.
1019 : : */
1020 : 0 : optind = 0;
1021 : :
1022 : 0 : config_init(options, argc_new, argv_new);
1023 : :
1024 : : /* Since we passed in our own copies, free up malloc'd memory
1025 : : */
1026 : 0 : free_argv(argv_new, &argc_new);
1027 : :
1028 : 0 : return 1;
1029 : : }
1030 : :
1031 : : static int
1032 : 566 : get_save_file(char *args_save_file)
1033 : : {
1034 : 566 : char *homedir = NULL;
1035 : 566 : int rv = 0;
1036 : :
1037 : : #ifdef WIN32
1038 : : homedir = getenv("USERPROFILE");
1039 : : #else
1040 : 566 : homedir = getenv("HOME");
1041 : : #endif
1042 [ + - ]: 566 : if (homedir != NULL) {
1043 : : snprintf(args_save_file, MAX_PATH_LEN, "%s%c%s",
1044 : : homedir, PATH_SEP, ".fwknop.run");
1045 : 566 : rv = 1;
1046 : : }
1047 : :
1048 : 566 : return rv;
1049 : : }
1050 : :
1051 : : /* Save our command line arguments
1052 : : */
1053 : : static int
1054 : 566 : save_args(int argc, char **argv, const char * const args_save_file)
1055 : : {
1056 : 566 : char args_str[MAX_LINE_LEN] = {0};
1057 : 566 : int i = 0, args_str_len = 0, args_file_fd = -1;
1058 : :
1059 : 566 : args_file_fd = open(args_save_file, O_WRONLY|O_CREAT|O_TRUNC, S_IRUSR|S_IWUSR);
1060 [ + - ]: 566 : if (args_file_fd == -1) {
1061 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1062 : : args_save_file);
1063 : 0 : return 0;
1064 : : }
1065 : : else {
1066 [ + + ]: 5094 : for (i=0; i < argc; i++) {
1067 : 4528 : args_str_len += strlen(argv[i]);
1068 [ - + ]: 4528 : if (args_str_len >= MAX_PATH_LEN) {
1069 : 0 : log_msg(LOG_VERBOSITY_ERROR, "argument string too long, exiting.");
1070 : 0 : close(args_file_fd);
1071 : 0 : return 0;
1072 : : }
1073 : 4528 : strlcat(args_str, argv[i], sizeof(args_str));
1074 : 4528 : strlcat(args_str, " ", sizeof(args_str));
1075 : : }
1076 : 566 : strlcat(args_str, "\n", sizeof(args_str));
1077 [ - + ]: 566 : if(write(args_file_fd, args_str, strlen(args_str))
1078 : 566 : != strlen(args_str)) {
1079 : 0 : log_msg(LOG_VERBOSITY_WARNING,
1080 : : "warning, did not write expected number of bytes to args save file");
1081 : : }
1082 : 566 : close(args_file_fd);
1083 : : }
1084 : 566 : return 1;
1085 : : }
1086 : :
1087 : : /* Set the SPA packet message type
1088 : : */
1089 : : static int
1090 : 566 : set_message_type(fko_ctx_t ctx, fko_cli_options_t *options)
1091 : : {
1092 : : short message_type;
1093 : :
1094 [ + - ]: 566 : if(options->server_command[0] != 0x0)
1095 : : {
1096 : : message_type = FKO_COMMAND_MSG;
1097 : : }
1098 [ - + ]: 566 : else if(options->nat_local)
1099 : : {
1100 [ # # ]: 0 : if (options->fw_timeout >= 0)
1101 : : message_type = FKO_CLIENT_TIMEOUT_LOCAL_NAT_ACCESS_MSG;
1102 : : else
1103 : 0 : message_type = FKO_LOCAL_NAT_ACCESS_MSG;
1104 : : }
1105 [ - + ]: 566 : else if(options->nat_access_str[0] != 0x0)
1106 : : {
1107 [ # # ]: 0 : if (options->fw_timeout >= 0)
1108 : : message_type = FKO_CLIENT_TIMEOUT_NAT_ACCESS_MSG;
1109 : : else
1110 : 0 : message_type = FKO_NAT_ACCESS_MSG;
1111 : : }
1112 : : else
1113 : : {
1114 [ + + ]: 566 : if (options->fw_timeout >= 0)
1115 : : message_type = FKO_CLIENT_TIMEOUT_ACCESS_MSG;
1116 : : else
1117 : 563 : message_type = FKO_ACCESS_MSG;
1118 : : }
1119 : :
1120 : 566 : return fko_set_spa_message_type(ctx, message_type);
1121 : : }
1122 : :
1123 : : /* Prompt for and receive a user password.
1124 : : */
1125 : : static int
1126 : 439 : get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
1127 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len)
1128 : : {
1129 : 439 : char *key_tmp = NULL, *hmac_key_tmp = NULL;
1130 : 439 : int use_hmac = 0, res = 0;
1131 : :
1132 : : memset(key, 0x0, MAX_KEY_LEN+1);
1133 : : memset(hmac_key, 0x0, MAX_KEY_LEN+1);
1134 : :
1135 [ + + ]: 439 : if(options->have_key)
1136 : : {
1137 : 426 : strlcpy(key, options->key, MAX_KEY_LEN+1);
1138 : 426 : *key_len = strlen(key);
1139 : : }
1140 [ + + ]: 13 : else if(options->have_base64_key)
1141 : : {
1142 : 9 : *key_len = fko_base64_decode(options->key_base64,
1143 : 9 : (unsigned char *) options->key);
1144 [ + + ]: 9 : if(*key_len > 0 && *key_len < MAX_KEY_LEN)
1145 : : {
1146 : 8 : memcpy(key, options->key, *key_len);
1147 : : }
1148 : : else
1149 : : {
1150 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid key length: '%d', must be in [1,%d]",
1151 : : *key_len, MAX_KEY_LEN);
1152 : 1 : return 0;
1153 : : }
1154 : : }
1155 : : else
1156 : : {
1157 : : /* If --get-key file was specified grab the key/password from it.
1158 : : */
1159 [ + + ]: 4 : if(options->get_key_file[0] != 0x0)
1160 : : {
1161 [ - + ]: 2 : if(get_key_file(key, key_len, options->get_key_file, ctx, options) != 1)
1162 : : {
1163 : : return 0;
1164 : : }
1165 : : }
1166 [ - + ]: 2 : else if(options->use_gpg)
1167 : : {
1168 [ # # ]: 0 : if(options->use_gpg_agent)
1169 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
1170 : : "[+] GPG mode set, signing passphrase acquired via gpg-agent");
1171 [ # # ]: 0 : else if(options->gpg_no_signing_pw)
1172 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
1173 : : "[+] GPG mode set, signing passphrase not required");
1174 [ # # ]: 0 : else if(strlen(options->gpg_signer_key))
1175 : : {
1176 : 0 : key_tmp = getpasswd("Enter passphrase for signing: ", options->input_fd);
1177 [ # # ]: 0 : if(key_tmp == NULL)
1178 : : {
1179 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1180 : 0 : return 0;
1181 : : }
1182 : 0 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1183 : 0 : *key_len = strlen(key);
1184 : : }
1185 : : }
1186 : : else
1187 : : {
1188 : 2 : key_tmp = getpasswd("Enter encryption key: ", options->input_fd);
1189 : :
1190 [ - + ]: 2 : if(key_tmp == NULL)
1191 : : {
1192 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1193 : 0 : return 0;
1194 : : }
1195 : 2 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1196 : 2 : *key_len = strlen(key);
1197 : : }
1198 : : }
1199 : :
1200 [ + + ]: 436 : if(options->have_hmac_key)
1201 : : {
1202 : 242 : strlcpy(hmac_key, options->hmac_key, MAX_KEY_LEN+1);
1203 : 242 : *hmac_key_len = strlen(hmac_key);
1204 : 242 : use_hmac = 1;
1205 : : }
1206 [ + + ]: 194 : else if(options->have_hmac_base64_key)
1207 : : {
1208 : 114 : *hmac_key_len = fko_base64_decode(options->hmac_key_base64,
1209 : 114 : (unsigned char *) options->hmac_key);
1210 [ + + ]: 114 : if(*hmac_key_len > MAX_KEY_LEN || *hmac_key_len < 0)
1211 : : {
1212 : 5 : log_msg(LOG_VERBOSITY_ERROR,
1213 : : "[*] Invalid decoded key length: '%d', must be in [0,%d]",
1214 : : *hmac_key_len, MAX_KEY_LEN);
1215 : 5 : return 0;
1216 : : }
1217 : 109 : memcpy(hmac_key, options->hmac_key, *hmac_key_len);
1218 : 109 : use_hmac = 1;
1219 : : }
1220 [ + + ]: 80 : else if (options->use_hmac)
1221 : : {
1222 : : /* If --get-key file was specified grab the key/password from it.
1223 : : */
1224 [ - + ]: 7 : if(options->get_hmac_key_file[0] != 0x0)
1225 : : {
1226 [ # # ]: 0 : if(get_key_file(hmac_key, hmac_key_len,
1227 : 0 : options->get_hmac_key_file, ctx, options) != 1)
1228 : : {
1229 : : return 0;
1230 : : }
1231 : : use_hmac = 1;
1232 : : }
1233 : : else
1234 : : {
1235 : 7 : hmac_key_tmp = getpasswd("Enter HMAC key: ", options->input_fd);
1236 : :
1237 [ - + ]: 7 : if(hmac_key_tmp == NULL)
1238 : : {
1239 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1240 : 0 : return 0;
1241 : : }
1242 : :
1243 : 7 : strlcpy(hmac_key, hmac_key_tmp, MAX_KEY_LEN+1);
1244 : 7 : *hmac_key_len = strlen(hmac_key);
1245 : 7 : use_hmac = 1;
1246 : : }
1247 : : }
1248 : :
1249 [ + + ]: 431 : if (use_hmac)
1250 : : {
1251 [ - + ]: 358 : if(*hmac_key_len < 0 || *hmac_key_len > MAX_KEY_LEN)
1252 : : {
1253 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid HMAC key length: '%d', must be in [0,%d]",
1254 : : *hmac_key_len, MAX_KEY_LEN);
1255 : 0 : return 0;
1256 : : }
1257 : :
1258 : : /* Make sure the same key is not used for both encryption and the HMAC
1259 : : */
1260 [ + + ]: 358 : if(*hmac_key_len == *key_len)
1261 : : {
1262 [ + + ]: 98 : if(memcmp(hmac_key, key, *key_len) == 0)
1263 : : {
1264 : 2 : log_msg(LOG_VERBOSITY_ERROR,
1265 : : "[*] The encryption passphrase and HMAC key should not be identical, no SPA packet sent. Exiting.");
1266 : 2 : return 0;
1267 : : }
1268 : : }
1269 : :
1270 : 356 : res = fko_set_spa_hmac_type(ctx, options->hmac_type);
1271 [ - + ]: 356 : if(res != FKO_SUCCESS)
1272 : : {
1273 : 0 : errmsg("fko_set_spa_hmac_type", res);
1274 : 0 : return 0;
1275 : : }
1276 : : }
1277 : :
1278 : : return 1;
1279 : : }
1280 : :
1281 : : /* Display an FKO error message.
1282 : : */
1283 : : void
1284 : 556 : errmsg(const char *msg, const int err) {
1285 : 556 : log_msg(LOG_VERBOSITY_ERROR, "%s: %s: Error %i - %s",
1286 : : MY_NAME, msg, err, fko_errstr(err));
1287 : 556 : }
1288 : :
1289 : : static void
1290 : 5660 : zero_buf_wrapper(char *buf, int len)
1291 : : {
1292 : :
1293 [ + + ]: 5660 : if(buf == NULL || len == 0)
1294 : : return;
1295 : :
1296 [ - + ]: 5328 : if(zero_buf(buf, len) == FKO_ERROR_ZERO_OUT_DATA)
1297 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1298 : : "[*] Could not zero out sensitive data buffer.");
1299 : :
1300 : : return;
1301 : : }
1302 : :
1303 : : #if HAVE_LIBFIU
1304 : : static int
1305 : : enable_fault_injections(fko_cli_options_t * const opts)
1306 : : {
1307 : : int rv = 1;
1308 : : if(opts->fault_injection_tag[0] != 0x0)
1309 : : {
1310 : : if(opts->verbose)
1311 : : log_msg(LOG_VERBOSITY_NORMAL, "[+] Enable fault injection tag: %s",
1312 : : opts->fault_injection_tag);
1313 : : if(fiu_init(0) != 0)
1314 : : {
1315 : : log_msg(LOG_VERBOSITY_WARNING, "[*] Unable to set fault injection tag: %s",
1316 : : opts->fault_injection_tag);
1317 : : rv = 0;
1318 : : }
1319 : : if(fiu_enable(opts->fault_injection_tag, 1, NULL, 0) != 0)
1320 : : {
1321 : : log_msg(LOG_VERBOSITY_WARNING, "[*] Unable to set fault injection tag: %s",
1322 : : opts->fault_injection_tag);
1323 : : rv = 0;
1324 : : }
1325 : : }
1326 : : return rv;
1327 : : }
1328 : : #endif
1329 : :
1330 : : /* free up memory and exit
1331 : : */
1332 : : static void
1333 : 566 : clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
1334 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
1335 : : unsigned int exit_status)
1336 : : {
1337 : : #if HAVE_LIBFIU
1338 : : if(opts->fault_injection_tag[0] != 0x0)
1339 : : fiu_disable(opts->fault_injection_tag);
1340 : : #endif
1341 : :
1342 [ - + ]: 566 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
1343 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1344 : : "[*] Could not zero out sensitive data buffer.");
1345 : 566 : ctx = NULL;
1346 : 566 : free_configs(opts);
1347 : 566 : zero_buf_wrapper(key, *key_len);
1348 : 566 : zero_buf_wrapper(hmac_key, *hmac_key_len);
1349 : 566 : *key_len = 0;
1350 : 566 : *hmac_key_len = 0;
1351 : 566 : exit(exit_status);
1352 : : }
1353 : :
1354 : : /***EOF***/
|