Branch data Line data Source code
1 : : /**
2 : : * @file fwknop.c
3 : : *
4 : : * @brief The fwknop client.
5 : : *
6 : : * Fwknop is developed primarily by the people listed in the file 'AUTHORS'.
7 : : * Copyright (C) 2009-2014 fwknop developers and contributors. For a full
8 : : * list of contributors, see the file 'CREDITS'.
9 : : *
10 : : * License (GNU General Public License):
11 : : *
12 : : * This program is free software; you can redistribute it and/or
13 : : * modify it under the terms of the GNU General Public License
14 : : * as published by the Free Software Foundation; either version 2
15 : : * of the License, or (at your option) any later version.
16 : : *
17 : : * This program is distributed in the hope that it will be useful,
18 : : * but WITHOUT ANY WARRANTY; without even the implied warranty of
19 : : * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
20 : : * GNU General Public License for more details.
21 : : *
22 : : * You should have received a copy of the GNU General Public License
23 : : * along with this program; if not, write to the Free Software
24 : : * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
25 : : * USA
26 : : */
27 : :
28 : : #include "fwknop.h"
29 : : #include "config_init.h"
30 : : #include "spa_comm.h"
31 : : #include "utils.h"
32 : : #include "getpasswd.h"
33 : :
34 : : #include <sys/stat.h>
35 : : #include <fcntl.h>
36 : :
37 : :
38 : : /* prototypes
39 : : */
40 : : static int get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
41 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len);
42 : : static void errmsg(const char *msg, const int err);
43 : : static int prev_exec(fko_cli_options_t *options, int argc, char **argv);
44 : : static int get_save_file(char *args_save_file);
45 : : static int show_last_command(const char * const args_save_file);
46 : : static int save_args(int argc, char **argv, const char * const args_save_file);
47 : : static int run_last_args(fko_cli_options_t *options,
48 : : const char * const args_save_file);
49 : : static int set_message_type(fko_ctx_t ctx, fko_cli_options_t *options);
50 : : static int set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options,
51 : : const char * const access_buf);
52 : : static int set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options,
53 : : char *access_buf);
54 : : static int get_rand_port(fko_ctx_t ctx);
55 : : int resolve_ip_https(fko_cli_options_t *options);
56 : : int resolve_ip_http(fko_cli_options_t *options);
57 : : static void clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
58 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
59 : : unsigned int exit_status);
60 : : static void zero_buf_wrapper(char *buf, int len);
61 : : static int is_hostname_str_with_port(const char *str,
62 : : char *hostname, size_t hostname_bufsize, int *port);
63 : : #if HAVE_LIBFIU
64 : : static void enable_fault_injections(fko_cli_options_t * const opts);
65 : : #endif
66 : :
67 : : #define NAT_ACCESS_STR_TEMPLATE "%s,%d" /*!< Template for a nat access string ip,port with sscanf*/
68 : : #define HOSTNAME_BUFSIZE 64 /*!< Maximum size of a hostname string */
69 : : #define CTX_DUMP_BUFSIZE 4096 /*!< Maximum size allocated to a FKO context dump */
70 : :
71 : : /**
72 : : * @brief Check whether a string is an ipv6 address or not
73 : : *
74 : : * @param str String to check for an ipv6 address.
75 : : *
76 : : * @return 1 if the string is an ipv6 address, 0 otherwise.
77 : : */
78 : : static int
79 : 10 : is_ipv6_str(char *str)
80 : : {
81 : 5 : return 0;
82 : : }
83 : :
84 : : /**
85 : : * @brief Check a string to find out if it is built as 'hostname,port'
86 : : *
87 : : * This function check if we can extract an hostname and a port from the string.
88 : : * If yes, we return 1, and both the hostname buffer and the port number are set
89 : : * accordingly.
90 : : *
91 : : * We could have used sscanf() here with a template "%[^,],%u", but this way we
92 : : * do not limit the size of the value copy in the hostname destination buffer.
93 : : * Limiting the string in the sscanf() can be done but would prevent any easy change
94 : : * for the hostname buffer size.
95 : : *
96 : : * @param str String to parse.
97 : : * @param hostname Buffer where to store the hostname value read from @str.
98 : : * @param hostname_bufsize Hostname buffer size.
99 : : * @param port Value of the port read from @str.
100 : : *
101 : : * @return 1 if the string is built as 'hostname,port', 0 otherwise.
102 : : */
103 : : static int
104 : 36 : is_hostname_str_with_port(const char *str, char *hostname, size_t hostname_bufsize, int *port)
105 : : {
106 : 36 : int valid = 0; /* Result of the function */
107 : 36 : char buf[MAX_LINE_LEN] = {0}; /* Copy of the buffer eg. "hostname,port" */
108 : : char *h; /* Pointer on the hostname string */
109 : : char *p; /* Ponter on the port string */
110 : :
111 : : memset(hostname, 0, hostname_bufsize);
112 : 36 : *port = 0;
113 : :
114 : : /* Replace the comma in the string with a NULL char to split the
115 : : * buffer in two strings (hostname and port) */
116 : 36 : strlcpy(buf, str, sizeof(buf));
117 : 36 : p = strchr(buf, ',');
118 : :
119 [ + - ]: 36 : if(p != NULL)
120 : : {
121 : 36 : *p++ = 0;
122 : 36 : h = buf;
123 : :
124 : 36 : *port = atoi(p);
125 : :
126 : : /* If the string does not match an ipv4 or ipv6 address we assume this
127 : : * is an hostname. We make sure the port is in the good range too */
128 [ + + ]: 36 : if ( (is_valid_ipv4_addr(buf) == 0)
129 [ + - ]: 5 : && (is_ipv6_str(buf) == 0)
130 [ + - ]: 5 : && ((*port > 0) && (*port < 65536)) )
131 : : {
132 : 5 : strlcpy(hostname, h, hostname_bufsize);
133 : 5 : valid = 1;
134 : : }
135 : :
136 : : /* The port is out of range or the ip is an ipv6 or ipv4 address */
137 : : else;
138 : : }
139 : :
140 : : /* No port found in the string, let's skip */
141 : : else;
142 : :
143 : 36 : return valid;
144 : : }
145 : :
146 : : int
147 : 2527 : main(int argc, char **argv)
148 : : {
149 : 2527 : fko_ctx_t ctx = NULL;
150 : 2527 : fko_ctx_t ctx2 = NULL;
151 : : int res;
152 : 2527 : char *spa_data=NULL, *version=NULL;
153 : 2527 : char access_buf[MAX_LINE_LEN] = {0};
154 : 2527 : char key[MAX_KEY_LEN+1] = {0};
155 : 2527 : char hmac_key[MAX_KEY_LEN+1] = {0};
156 : 2527 : int key_len = 0, orig_key_len = 0, hmac_key_len = 0, enc_mode;
157 : 2527 : int tmp_port = 0;
158 : : char dump_buf[CTX_DUMP_BUFSIZE];
159 : :
160 : : fko_cli_options_t options;
161 : :
162 : : memset(&options, 0x0, sizeof(fko_cli_options_t));
163 : :
164 : : /* Initialize the log module */
165 : 2527 : log_new();
166 : :
167 : : /* Handle command line
168 : : */
169 : 2527 : config_init(&options, argc, argv);
170 : :
171 : : #if HAVE_LIBFIU
172 : : /* Set any fault injection points early
173 : : */
174 : 2365 : enable_fault_injections(&options);
175 : : #endif
176 : :
177 : : /* Handle previous execution arguments if required
178 : : */
179 [ + + ]: 2365 : if(prev_exec(&options, argc, argv) != 1)
180 : 5 : clean_exit(ctx, &options, key, &key_len, hmac_key,
181 : : &hmac_key_len, EXIT_FAILURE);
182 : :
183 [ + + ]: 2359 : if(options.show_last_command)
184 : 1 : clean_exit(ctx, &options, key, &key_len, hmac_key,
185 : : &hmac_key_len, EXIT_SUCCESS);
186 : :
187 : : /* Intialize the context
188 : : */
189 : 2358 : res = fko_new(&ctx);
190 [ + + ]: 2358 : if(res != FKO_SUCCESS)
191 : : {
192 : 143 : errmsg("fko_new", res);
193 : 143 : clean_exit(ctx, &options, key, &key_len, hmac_key,
194 : : &hmac_key_len, EXIT_FAILURE);
195 : : }
196 : :
197 : : /* Display version info and exit.
198 : : */
199 [ + + ]: 2215 : if(options.version)
200 : : {
201 : 1 : fko_get_version(ctx, &version);
202 : :
203 : 1 : fprintf(stdout, "fwknop client %s, FKO protocol version %s\n",
204 : : MY_VERSION, version);
205 : :
206 : 1 : clean_exit(ctx, &options, key, &key_len,
207 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
208 : : }
209 : :
210 : : /* Set client timeout
211 : : */
212 [ + + ]: 2214 : if(options.fw_timeout >= 0)
213 : : {
214 : 18 : res = fko_set_spa_client_timeout(ctx, options.fw_timeout);
215 [ - + ]: 18 : if(res != FKO_SUCCESS)
216 : : {
217 : 0 : errmsg("fko_set_spa_client_timeout", res);
218 : 0 : clean_exit(ctx, &options, key, &key_len,
219 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
220 : : }
221 : : }
222 : :
223 : : /* Set the SPA packet message type based on command line options
224 : : */
225 : 2214 : res = set_message_type(ctx, &options);
226 [ - + ]: 2214 : if(res != FKO_SUCCESS)
227 : : {
228 : 0 : errmsg("fko_set_spa_message_type", res);
229 : 0 : clean_exit(ctx, &options, key, &key_len,
230 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
231 : : }
232 : :
233 : : /* Adjust the SPA timestamp if necessary
234 : : */
235 [ + + ]: 2214 : if(options.time_offset_plus > 0)
236 : : {
237 : 5 : res = fko_set_timestamp(ctx, options.time_offset_plus);
238 [ - + ]: 5 : if(res != FKO_SUCCESS)
239 : : {
240 : 0 : errmsg("fko_set_timestamp", res);
241 : 0 : clean_exit(ctx, &options, key, &key_len,
242 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
243 : : }
244 : : }
245 [ + + ]: 2214 : if(options.time_offset_minus > 0)
246 : : {
247 : 8 : res = fko_set_timestamp(ctx, -options.time_offset_minus);
248 [ - + ]: 8 : if(res != FKO_SUCCESS)
249 : : {
250 : 0 : errmsg("fko_set_timestamp", res);
251 : 0 : clean_exit(ctx, &options, key, &key_len,
252 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
253 : : }
254 : : }
255 : :
256 [ + + ]: 2214 : if(options.server_command[0] != 0x0)
257 : : {
258 : : /* Set the access message to a command that the server will
259 : : * execute
260 : : */
261 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
262 : : options.allow_ip_str, ",", options.server_command);
263 : : }
264 : : else
265 : : {
266 : : /* Resolve the client's public facing IP address if requestesd.
267 : : * if this fails, consider it fatal.
268 : : */
269 [ + + ]: 2204 : if (options.resolve_ip_http_https)
270 : : {
271 [ + + ]: 32 : if(options.resolve_http_only)
272 : : {
273 [ + + ]: 6 : if(resolve_ip_http(&options) < 0)
274 : : {
275 : 2 : clean_exit(ctx, &options, key, &key_len,
276 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
277 : : }
278 : : }
279 : : else
280 : : {
281 : : /* Default to HTTPS */
282 [ + + ]: 26 : if(resolve_ip_https(&options) < 0)
283 : : {
284 : 8 : clean_exit(ctx, &options, key, &key_len,
285 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
286 : : }
287 : : }
288 : : }
289 : :
290 : : /* Set a message string by combining the allow IP and the
291 : : * port/protocol. The fwknopd server allows no port/protocol
292 : : * to be specified as well, so in this case append the string
293 : : * "none/0" to the allow IP.
294 : : */
295 [ + + ]: 2195 : if(set_access_buf(ctx, &options, access_buf) != 1)
296 : 2 : clean_exit(ctx, &options, key, &key_len,
297 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
298 : : }
299 : 2203 : res = fko_set_spa_message(ctx, access_buf);
300 [ + + ]: 2203 : if(res != FKO_SUCCESS)
301 : : {
302 : 4 : errmsg("fko_set_spa_message", res);
303 : 4 : clean_exit(ctx, &options, key, &key_len,
304 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
305 : : }
306 : :
307 : : /* Set NAT access string
308 : : */
309 [ + + ][ + + ]: 2199 : if (options.nat_local || options.nat_access_str[0] != 0x0)
310 : : {
311 : 37 : res = set_nat_access(ctx, &options, access_buf);
312 [ + + ]: 37 : if(res != FKO_SUCCESS)
313 : : {
314 : 4 : errmsg("fko_set_nat_access_str", res);
315 : 4 : clean_exit(ctx, &options, key, &key_len,
316 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
317 : : }
318 : : }
319 : :
320 : : /* Set username
321 : : */
322 [ + + ]: 2195 : if(options.spoof_user[0] != 0x0)
323 : : {
324 : 10 : res = fko_set_username(ctx, options.spoof_user);
325 [ + + ]: 10 : if(res != FKO_SUCCESS)
326 : : {
327 : 1 : errmsg("fko_set_username", res);
328 : 1 : clean_exit(ctx, &options, key, &key_len,
329 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
330 : : }
331 : : }
332 : :
333 : : /* Set up for using GPG if specified.
334 : : */
335 [ + + ]: 2194 : if(options.use_gpg)
336 : : {
337 : : /* If use-gpg-agent was not specified, then remove the GPG_AGENT_INFO
338 : : * ENV variable if it exists.
339 : : */
340 : : #ifndef WIN32
341 [ + + ]: 79 : if(!options.use_gpg_agent)
342 : 78 : unsetenv("GPG_AGENT_INFO");
343 : : #endif
344 : :
345 : 79 : res = fko_set_spa_encryption_type(ctx, FKO_ENCRYPTION_GPG);
346 [ - + ]: 79 : if(res != FKO_SUCCESS)
347 : : {
348 : 0 : errmsg("fko_set_spa_encryption_type", res);
349 : 0 : clean_exit(ctx, &options, key, &key_len,
350 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
351 : : }
352 : :
353 : : /* Set gpg path if necessary
354 : : */
355 [ + + ]: 79 : if(strlen(options.gpg_exe) > 0)
356 : : {
357 : 5 : res = fko_set_gpg_exe(ctx, options.gpg_exe);
358 [ + + ]: 5 : if(res != FKO_SUCCESS)
359 : : {
360 : 3 : errmsg("fko_set_gpg_exe", res);
361 : 3 : clean_exit(ctx, &options, key, &key_len,
362 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
363 : : }
364 : : }
365 : :
366 : : /* If a GPG home dir was specified, set it here. Note: Setting
367 : : * this has to occur before calling any of the other GPG-related
368 : : * functions.
369 : : */
370 [ + - ]: 76 : if(strlen(options.gpg_home_dir) > 0)
371 : : {
372 : 76 : res = fko_set_gpg_home_dir(ctx, options.gpg_home_dir);
373 [ + + ]: 76 : if(res != FKO_SUCCESS)
374 : : {
375 : 1 : errmsg("fko_set_gpg_home_dir", res);
376 : 1 : clean_exit(ctx, &options, key, &key_len,
377 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
378 : : }
379 : : }
380 : :
381 : 75 : res = fko_set_gpg_recipient(ctx, options.gpg_recipient_key);
382 [ + + ]: 75 : if(res != FKO_SUCCESS)
383 : : {
384 : 1 : errmsg("fko_set_gpg_recipient", res);
385 : :
386 [ + - ]: 1 : if(IS_GPG_ERROR(res))
387 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
388 : 1 : clean_exit(ctx, &options, key, &key_len,
389 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
390 : : }
391 : :
392 [ + - ]: 74 : if(strlen(options.gpg_signer_key) > 0)
393 : : {
394 : 74 : res = fko_set_gpg_signer(ctx, options.gpg_signer_key);
395 [ + + ]: 74 : if(res != FKO_SUCCESS)
396 : : {
397 : 1 : errmsg("fko_set_gpg_signer", res);
398 : :
399 [ + - ]: 1 : if(IS_GPG_ERROR(res))
400 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
401 : 1 : clean_exit(ctx, &options, key, &key_len,
402 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
403 : : }
404 : : }
405 : :
406 : 73 : res = fko_set_spa_encryption_mode(ctx, FKO_ENC_MODE_ASYMMETRIC);
407 [ - + ]: 73 : if(res != FKO_SUCCESS)
408 : : {
409 : 0 : errmsg("fko_set_spa_encryption_mode", res);
410 : 0 : clean_exit(ctx, &options, key, &key_len,
411 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
412 : : }
413 : : }
414 : :
415 [ + + ][ + - ]: 2188 : if(options.encryption_mode && !options.use_gpg)
416 : : {
417 : 21 : res = fko_set_spa_encryption_mode(ctx, options.encryption_mode);
418 [ - + ]: 21 : if(res != FKO_SUCCESS)
419 : : {
420 : 0 : errmsg("fko_set_spa_encryption_mode", res);
421 : 0 : clean_exit(ctx, &options, key, &key_len,
422 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
423 : : }
424 : : }
425 : :
426 : : /* Set Digest type.
427 : : */
428 [ + + ]: 2188 : if(options.digest_type)
429 : : {
430 : 40 : res = fko_set_spa_digest_type(ctx, options.digest_type);
431 [ - + ]: 40 : if(res != FKO_SUCCESS)
432 : : {
433 : 0 : errmsg("fko_set_spa_digest_type", res);
434 : 0 : clean_exit(ctx, &options, key, &key_len,
435 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
436 : : }
437 : : }
438 : :
439 : : /* Acquire the necessary encryption/hmac keys
440 : : */
441 [ + + ]: 2188 : if(get_keys(ctx, &options, key, &key_len, hmac_key, &hmac_key_len) != 1)
442 : 53 : clean_exit(ctx, &options, key, &key_len,
443 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
444 : :
445 : 2135 : orig_key_len = key_len;
446 : :
447 [ + + ]: 2135 : if(options.encryption_mode == FKO_ENC_MODE_CBC_LEGACY_IV
448 [ + + ]: 3 : && key_len > 16)
449 : : {
450 : 1 : log_msg(LOG_VERBOSITY_ERROR,
451 : : "WARNING: Encryption key in '-M legacy' mode must be <= 16 bytes");
452 : 1 : log_msg(LOG_VERBOSITY_ERROR,
453 : : "long - truncating before sending SPA packet. Upgrading remote");
454 : 1 : log_msg(LOG_VERBOSITY_ERROR,
455 : : "fwknopd is recommended.");
456 : 1 : key_len = 16;
457 : : }
458 : :
459 : : /* Finalize the context data (encrypt and encode the SPA data)
460 : : */
461 : 2135 : res = fko_spa_data_final(ctx, key, key_len, hmac_key, hmac_key_len);
462 [ + + ]: 2135 : if(res != FKO_SUCCESS)
463 : : {
464 : 213 : errmsg("fko_spa_data_final", res);
465 : :
466 [ - + ]: 213 : if(IS_GPG_ERROR(res))
467 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
468 : 213 : clean_exit(ctx, &options, key, &orig_key_len,
469 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
470 : : }
471 : :
472 : : /* Display the context data.
473 : : */
474 [ + - ]: 1922 : if (options.verbose || options.test)
475 : : {
476 : 1922 : res = dump_ctx_to_buffer(ctx, dump_buf, sizeof(dump_buf));
477 [ + - ]: 1922 : if (res == FKO_SUCCESS)
478 : 1922 : log_msg(LOG_VERBOSITY_NORMAL, "%s", dump_buf);
479 : : else
480 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
481 : : }
482 : :
483 : : /* Save packet data payload if requested.
484 : : */
485 [ + + ]: 1922 : if (options.save_packet_file[0] != 0x0)
486 : 4 : write_spa_packet_data(ctx, &options);
487 : :
488 : : /* SPA packet random destination port handling
489 : : */
490 [ + + ]: 1922 : if (options.rand_port)
491 : : {
492 : 5 : tmp_port = get_rand_port(ctx);
493 [ - + ]: 5 : if(tmp_port < 0)
494 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
495 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
496 : 5 : options.spa_dst_port = tmp_port;
497 : : }
498 : :
499 : : /* If we are using one the "raw" modes (normally because
500 : : * we're going to spoof the SPA packet source IP), then select
501 : : * a random source port unless the source port is already set
502 : : */
503 [ + + ]: 1922 : if ((options.spa_proto == FKO_PROTO_TCP_RAW
504 : 1922 : || options.spa_proto == FKO_PROTO_UDP_RAW
505 [ + + ]: 1914 : || options.spa_proto == FKO_PROTO_ICMP)
506 [ + - ]: 12 : && !options.spa_src_port)
507 : : {
508 : 12 : tmp_port = get_rand_port(ctx);
509 [ - + ]: 12 : if(tmp_port < 0)
510 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
511 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
512 : 12 : options.spa_src_port = tmp_port;
513 : : }
514 : :
515 : 1922 : res = send_spa_packet(ctx, &options);
516 [ + + ]: 1922 : if(res < 0)
517 : : {
518 : 33 : log_msg(LOG_VERBOSITY_ERROR, "send_spa_packet: packet not sent.");
519 : 33 : clean_exit(ctx, &options, key, &orig_key_len,
520 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
521 : : }
522 : : else
523 : : {
524 : 1889 : log_msg(LOG_VERBOSITY_INFO, "send_spa_packet: bytes sent: %i", res);
525 : : }
526 : :
527 : : /* Run through a decode cycle in test mode (--DSS XXX: This test/decode
528 : : * portion should be moved elsewhere).
529 : : */
530 [ + + ]: 1889 : if (options.test)
531 : : {
532 : : /************** Decoding now *****************/
533 : :
534 : : /* Now we create a new context based on data from the first one.
535 : : */
536 : 105 : res = fko_get_spa_data(ctx, &spa_data);
537 [ - + ]: 105 : if(res != FKO_SUCCESS)
538 : : {
539 : 0 : errmsg("fko_get_spa_data", res);
540 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
541 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
542 : : }
543 : :
544 : : /* Pull the encryption mode.
545 : : */
546 : 105 : res = fko_get_spa_encryption_mode(ctx, &enc_mode);
547 [ - + ]: 105 : if(res != FKO_SUCCESS)
548 : : {
549 : 0 : errmsg("fko_get_spa_encryption_mode", res);
550 [ # # ]: 0 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
551 : 0 : log_msg(LOG_VERBOSITY_ERROR,
552 : : "[*] Could not zero out sensitive data buffer.");
553 : 0 : ctx = NULL;
554 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
555 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
556 : : }
557 : :
558 : : /* If gpg-home-dir is specified, we have to defer decrypting if we
559 : : * use the fko_new_with_data() function because we need to set the
560 : : * gpg home dir after the context is created, but before we attempt
561 : : * to decrypt the data. Therefore we either pass NULL for the
562 : : * decryption key to fko_new_with_data() or use fko_new() to create
563 : : * an empty context, populate it with the encrypted data, set our
564 : : * options, then decode it.
565 : : *
566 : : * This also verifies the HMAC and truncates it if there are no
567 : : * problems.
568 : : */
569 : 105 : res = fko_new_with_data(&ctx2, spa_data, NULL,
570 : : 0, enc_mode, hmac_key, hmac_key_len, options.hmac_type);
571 [ - + ]: 105 : if(res != FKO_SUCCESS)
572 : : {
573 : 0 : errmsg("fko_new_with_data", res);
574 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
575 : 0 : log_msg(LOG_VERBOSITY_ERROR,
576 : : "[*] Could not zero out sensitive data buffer.");
577 : 0 : ctx2 = NULL;
578 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
579 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
580 : : }
581 : :
582 : 105 : res = fko_set_spa_encryption_mode(ctx2, enc_mode);
583 [ - + ]: 105 : if(res != FKO_SUCCESS)
584 : : {
585 : 0 : errmsg("fko_set_spa_encryption_mode", res);
586 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
587 : 0 : log_msg(LOG_VERBOSITY_ERROR,
588 : : "[*] Could not zero out sensitive data buffer.");
589 : 0 : ctx2 = NULL;
590 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
591 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
592 : : }
593 : :
594 : : /* See if we are using gpg and if we need to set the GPG home dir.
595 : : */
596 [ + + ]: 105 : if(options.use_gpg)
597 : : {
598 [ + - ]: 5 : if(strlen(options.gpg_home_dir) > 0)
599 : : {
600 : 5 : res = fko_set_gpg_home_dir(ctx2, options.gpg_home_dir);
601 [ - + ]: 5 : if(res != FKO_SUCCESS)
602 : : {
603 : 0 : errmsg("fko_set_gpg_home_dir", res);
604 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
605 : 0 : log_msg(LOG_VERBOSITY_ERROR,
606 : : "[*] Could not zero out sensitive data buffer.");
607 : 0 : ctx2 = NULL;
608 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
609 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
610 : : }
611 : : }
612 : : }
613 : :
614 : : /* Decrypt
615 : : */
616 : 105 : res = fko_decrypt_spa_data(ctx2, key, key_len);
617 : :
618 [ + + ]: 105 : if(res != FKO_SUCCESS)
619 : : {
620 : 1 : errmsg("fko_decrypt_spa_data", res);
621 : :
622 [ - + ]: 1 : if(IS_GPG_ERROR(res)) {
623 : : /* we most likely could not decrypt the gpg-encrypted data
624 : : * because we don't have access to the private key associated
625 : : * with the public key we used for encryption. Since this is
626 : : * expected, return 0 instead of an error condition (so calling
627 : : * programs like the fwknop test suite don't interpret this as
628 : : * an unrecoverable error), but print the error string for
629 : : * debugging purposes. The test suite does run a series of
630 : : * tests that use a single key pair for encryption and
631 : : * authentication, so decryption become possible for these
632 : : * tests. */
633 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s\n%s", fko_gpg_errstr(ctx2),
634 : : "No access to recipient private key?");
635 : : }
636 [ - + ]: 1 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
637 : 0 : log_msg(LOG_VERBOSITY_ERROR,
638 : : "[*] Could not zero out sensitive data buffer.");
639 : 1 : ctx2 = NULL;
640 : 1 : clean_exit(ctx, &options, key, &orig_key_len,
641 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
642 : : }
643 : :
644 : 104 : res = dump_ctx_to_buffer(ctx2, dump_buf, sizeof(dump_buf));
645 [ + - ]: 104 : if (res == FKO_SUCCESS)
646 : 104 : log_msg(LOG_VERBOSITY_NORMAL, "\nDump of the Decoded Data\n%s", dump_buf);
647 : : else
648 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
649 : :
650 [ - + ]: 104 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
651 : 0 : log_msg(LOG_VERBOSITY_ERROR,
652 : : "[*] Could not zero out sensitive data buffer.");
653 : 104 : ctx2 = NULL;
654 : : }
655 : :
656 : 1888 : clean_exit(ctx, &options, key, &orig_key_len,
657 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
658 : :
659 : : return EXIT_SUCCESS; /* quiet down a gcc warning */
660 : : }
661 : :
662 : : void
663 : 2365 : free_configs(fko_cli_options_t *opts)
664 : : {
665 [ + + ]: 2365 : if (opts->resolve_url != NULL)
666 : 22 : free(opts->resolve_url);
667 [ + + ]: 2365 : if (opts->wget_bin != NULL)
668 : 5 : free(opts->wget_bin);
669 : 2365 : zero_buf_wrapper(opts->key, MAX_KEY_LEN+1);
670 : 2365 : zero_buf_wrapper(opts->key_base64, MAX_B64_KEY_LEN+1);
671 : 2365 : zero_buf_wrapper(opts->hmac_key, MAX_KEY_LEN+1);
672 : 2365 : zero_buf_wrapper(opts->hmac_key_base64, MAX_B64_KEY_LEN+1);
673 : 2365 : zero_buf_wrapper(opts->gpg_recipient_key, MAX_GPG_KEY_ID);
674 : 2365 : zero_buf_wrapper(opts->gpg_signer_key, MAX_GPG_KEY_ID);
675 : 2365 : zero_buf_wrapper(opts->gpg_home_dir, MAX_PATH_LEN);
676 : 2365 : zero_buf_wrapper(opts->server_command, MAX_LINE_LEN);
677 : 2365 : }
678 : :
679 : : static int
680 : 25 : get_rand_port(fko_ctx_t ctx)
681 : : {
682 : 25 : char *rand_val = NULL;
683 : 25 : char port_str[MAX_PORT_STR_LEN+1] = {0};
684 : : int tmpint, is_err;
685 : 25 : int port = 0;
686 : 25 : int res = 0;
687 : :
688 : 25 : res = fko_get_rand_value(ctx, &rand_val);
689 [ - + ]: 25 : if(res != FKO_SUCCESS)
690 : : {
691 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
692 : 0 : return -1;
693 : : }
694 : :
695 : 25 : strlcpy(port_str, rand_val, sizeof(port_str));
696 : :
697 : 25 : tmpint = strtol_wrapper(port_str, 0, -1, NO_EXIT_UPON_ERR, &is_err);
698 [ - + ]: 25 : if(is_err != FKO_SUCCESS)
699 : : {
700 : 0 : log_msg(LOG_VERBOSITY_ERROR,
701 : : "[*] get_rand_port(), could not convert rand_val str '%s', to integer",
702 : : rand_val);
703 : 0 : return -1;
704 : : }
705 : :
706 : : /* Convert to a random value between 1024 and 65535
707 : : */
708 : 25 : port = (MIN_HIGH_PORT + (tmpint % (MAX_PORT - MIN_HIGH_PORT)));
709 : :
710 : : /* Force libfko to calculate a new random value since we don't want to
711 : : * give anyone a hint (via the port value) about the contents of the
712 : : * encrypted SPA data.
713 : : */
714 : 25 : res = fko_set_rand_value(ctx, NULL);
715 [ - + ]: 25 : if(res != FKO_SUCCESS)
716 : : {
717 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
718 : 0 : return -1;
719 : : }
720 : :
721 : : return port;
722 : : }
723 : :
724 : : /* See if the string is of the format "<ipv4 addr>:<port>",
725 : : */
726 : : static int
727 : 25 : ipv4_str_has_port(char *str)
728 : : {
729 : : int o1, o2, o3, o4, p;
730 : :
731 : : /* Force the ':' (if any) to a ','
732 : : */
733 : 25 : char *ndx = strchr(str, ':');
734 [ + + ]: 25 : if(ndx != NULL)
735 : 21 : *ndx = ',';
736 : :
737 : : /* Check format and values.
738 : : */
739 [ + + ]: 25 : if((sscanf(str, "%u.%u.%u.%u,%u", &o1, &o2, &o3, &o4, &p)) == 5
740 [ + - ][ + + ]: 20 : && o1 >= 0 && o1 <= 255
741 [ + - ][ + - ]: 18 : && o2 >= 0 && o2 <= 255
742 [ + - ][ + - ]: 18 : && o3 >= 0 && o3 <= 255
743 [ + - ][ + - ]: 18 : && o4 >= 0 && o4 <= 255
744 [ + - ][ - + ]: 18 : && p > 0 && p < 65536)
745 : : {
746 : : return 1;
747 : : }
748 : :
749 : 7 : return 0;
750 : : }
751 : :
752 : : /* Set access buf
753 : : */
754 : : static int
755 : 2195 : set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options, char *access_buf)
756 : : {
757 : 2195 : char *ndx = NULL, tmp_nat_port[MAX_PORT_STR_LEN+1] = {0};
758 : 2195 : int nat_port = 0;
759 : :
760 [ + + ]: 2195 : if(options->access_str[0] != 0x0)
761 : : {
762 [ + + ]: 2194 : if (options->nat_rand_port)
763 : : {
764 : 8 : nat_port = get_rand_port(ctx);
765 : 8 : options->nat_port = nat_port;
766 : : }
767 [ + + ]: 2186 : else if (options->nat_port)
768 : 8 : nat_port = options->nat_port;
769 : :
770 [ + + ]: 2194 : if(nat_port > 0 && nat_port <= MAX_PORT)
771 : : {
772 : : /* Replace the access string port with the NAT port since the
773 : : * NAT port is manually specified (--nat-port) or derived from
774 : : * random data (--nat-rand-port). In the NAT modes, the fwknopd
775 : : * server uses the port in the access string as the one to NAT,
776 : : * and access is granted via this translated port to whatever is
777 : : * specified with --nat-access <IP:port> (so this service is the
778 : : * utlimate target of the incoming connection after the SPA
779 : : * packet is sent).
780 : : */
781 : 16 : ndx = strchr(options->access_str, '/');
782 [ + + ]: 16 : if(ndx == NULL)
783 : : {
784 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
785 : 1 : return 0;
786 : : }
787 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s",
788 : 15 : options->allow_ip_str, ",");
789 : :
790 : : /* This adds in the protocol + '/' char
791 : : */
792 : 15 : strlcat(access_buf, options->access_str,
793 : 15 : strlen(access_buf) + (ndx - options->access_str) + 2);
794 : :
795 [ + + ]: 15 : if (strchr(ndx+1, '/') != NULL)
796 : : {
797 : 1 : log_msg(LOG_VERBOSITY_ERROR,
798 : : "[*] NAT for multiple ports/protocols not yet supported.");
799 : 1 : return 0;
800 : : }
801 : :
802 : : /* Now add the NAT port
803 : : */
804 : : snprintf(tmp_nat_port, MAX_PORT_STR_LEN+1, "%d", nat_port);
805 : 14 : strlcat(access_buf, tmp_nat_port,
806 : 14 : strlen(access_buf)+MAX_PORT_STR_LEN+1);
807 : : }
808 : : else
809 : : {
810 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
811 : 2178 : options->allow_ip_str, ",", options->access_str);
812 : : }
813 : : }
814 : : else
815 : : {
816 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
817 : 1 : options->allow_ip_str, ",", "none/0");
818 : : }
819 : : return 1;
820 : : }
821 : :
822 : : /* Set NAT access string
823 : : */
824 : : static int
825 : 37 : set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options, const char * const access_buf)
826 : : {
827 : 37 : char nat_access_buf[MAX_LINE_LEN] = {0};
828 : 37 : char tmp_access_port[MAX_PORT_STR_LEN+1] = {0}, *ndx = NULL;
829 : 37 : int access_port = 0, i = 0, is_err = 0;
830 : 37 : char dst_ip_str[INET_ADDRSTRLEN] = {0};
831 : 37 : char hostname[HOSTNAME_BUFSIZE] = {0};
832 : 37 : int port = 0;
833 : : struct addrinfo hints;
834 : :
835 : : memset(&hints, 0 , sizeof(hints));
836 : :
837 : 37 : ndx = strchr(options->access_str, '/');
838 [ - + ]: 37 : if(ndx == NULL)
839 : : {
840 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
841 : 0 : return FKO_ERROR_INVALID_DATA;
842 : : }
843 : 37 : ndx++;
844 : :
845 [ + + ][ + - ]: 114 : while(*ndx != '\0' && isdigit(*ndx) && i < MAX_PORT_STR_LEN)
[ + - ]
846 : : {
847 : 77 : tmp_access_port[i] = *ndx;
848 : 77 : ndx++;
849 : 77 : i++;
850 : : }
851 : 37 : tmp_access_port[i] = '\0';
852 : :
853 : 37 : access_port = strtol_wrapper(tmp_access_port, 1,
854 : : MAX_PORT, NO_EXIT_UPON_ERR, &is_err);
855 [ + + ]: 37 : if(is_err != FKO_SUCCESS)
856 : : {
857 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value '%d' for -A arg.",
858 : : access_port);
859 : 1 : return FKO_ERROR_INVALID_DATA;
860 : : }
861 : :
862 [ + + ][ + - ]: 36 : if (options->nat_local && options->nat_access_str[0] == 0x0)
863 : : {
864 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
865 : 11 : options->spa_server_str, access_port);
866 : : }
867 : :
868 [ + + ][ + - ]: 36 : if (nat_access_buf[0] == 0x0 && options->nat_access_str[0] != 0x0)
869 : : {
870 [ + + ]: 25 : if (ipv4_str_has_port(options->nat_access_str))
871 : : {
872 : : snprintf(nat_access_buf, MAX_LINE_LEN, "%s",
873 : 18 : options->nat_access_str);
874 : : }
875 : : else
876 : : {
877 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
878 : 7 : options->nat_access_str, access_port);
879 : : }
880 : : }
881 : :
882 : : /* Check if there is a hostname to resolve as an ip address in the NAT access buffer */
883 [ + + ]: 36 : if (is_hostname_str_with_port(nat_access_buf, hostname, sizeof(hostname), &port))
884 : : {
885 : : /* Speed up the name resolution by forcing ipv4 (AF_INET).
886 : : * A NULL pointer could be used instead if there is no constraint.
887 : : * Maybe when ipv6 support will be enable the structure could initialize the
888 : : * family to either AF_INET or AF_INET6 */
889 : 5 : hints.ai_family = AF_INET;
890 : :
891 [ + + ]: 5 : if (resolve_dest_adr(hostname, &hints, dst_ip_str, sizeof(dst_ip_str)) != 0)
892 : : {
893 : 3 : log_msg(LOG_VERBOSITY_ERROR, "[*] Unable to resolve %s as an ip address",
894 : : hostname);
895 : 3 : return FKO_ERROR_INVALID_DATA;
896 : : }
897 : :
898 : 2 : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
899 : : dst_ip_str, port);
900 : : }
901 : :
902 : : /* Nothing to resolve */
903 : : else;
904 : :
905 [ + + ]: 33 : if(options->nat_rand_port)
906 : : {
907 : : /* Must print to stdout what the random port is since
908 : : * if not then the user will not which port will be
909 : : * opened/NAT'd on the fwknopd side
910 : : */
911 : 8 : log_msg(LOG_VERBOSITY_NORMAL,
912 : : "[+] Randomly assigned port '%d' on: '%s' will grant access to: '%s'",
913 : : options->nat_port, access_buf, nat_access_buf);
914 : : }
915 : :
916 : 33 : return fko_set_spa_nat_access(ctx, nat_access_buf);
917 : : }
918 : :
919 : : static int
920 : 2365 : prev_exec(fko_cli_options_t *options, int argc, char **argv)
921 : : {
922 : 2365 : char args_save_file[MAX_PATH_LEN] = {0};
923 : 2365 : int res = 1;
924 : :
925 [ + + ]: 2365 : if(options->args_save_file[0] != 0x0)
926 : : {
927 : 8 : strlcpy(args_save_file, options->args_save_file, sizeof(args_save_file));
928 : : }
929 : : else
930 : : {
931 [ + + ]: 2357 : if (get_save_file(args_save_file) != 1)
932 : : {
933 : 1 : log_msg(LOG_VERBOSITY_ERROR, "Unable to determine args save file");
934 : 1 : return 0;
935 : : }
936 : : }
937 : :
938 [ + + ]: 2364 : if(options->run_last_command)
939 : 4 : res = run_last_args(options, args_save_file);
940 [ + + ]: 2360 : else if(options->show_last_command)
941 : 3 : res = show_last_command(args_save_file);
942 [ + + ]: 2357 : else if (!options->no_save_args)
943 : 88 : res = save_args(argc, argv, args_save_file);
944 : :
945 : 2363 : return res;
946 : : }
947 : :
948 : : /* Show the last command that was executed
949 : : */
950 : : static int
951 : 3 : show_last_command(const char * const args_save_file)
952 : : {
953 : 3 : char args_str[MAX_LINE_LEN] = {0};
954 : 3 : FILE *args_file_ptr = NULL;
955 : :
956 [ + - ]: 3 : if(verify_file_perms_ownership(args_save_file) != 1)
957 : : return 0;
958 : :
959 [ + + ]: 3 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL) {
960 : 2 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
961 : : args_save_file);
962 : 2 : return 0;
963 : : }
964 : :
965 [ + - ]: 1 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL) {
966 : 1 : log_msg(LOG_VERBOSITY_NORMAL,
967 : : "Last fwknop client command line: %s", args_str);
968 : : } else {
969 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
970 : : "Could not read line from file: %s", args_save_file);
971 : 0 : fclose(args_file_ptr);
972 : 0 : return 0;
973 : : }
974 : 1 : fclose(args_file_ptr);
975 : :
976 : 1 : return 1;
977 : : }
978 : :
979 : : /* Get the command line arguments from the previous invocation
980 : : */
981 : : static int
982 : 4 : run_last_args(fko_cli_options_t *options, const char * const args_save_file)
983 : : {
984 : 4 : FILE *args_file_ptr = NULL;
985 : 4 : int argc_new = 0, args_broken = 0;
986 : 4 : char args_str[MAX_LINE_LEN] = {0};
987 : : char *argv_new[MAX_CMDLINE_ARGS]; /* should be way more than enough */
988 : :
989 : : memset(argv_new, 0x0, sizeof(argv_new));
990 : :
991 [ + - ]: 4 : if(verify_file_perms_ownership(args_save_file) != 1)
992 : : return 0;
993 : :
994 [ - + ]: 4 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL)
995 : : {
996 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
997 : : args_save_file);
998 : 0 : return 0;
999 : : }
1000 [ + + ]: 4 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL)
1001 : : {
1002 : 3 : args_str[MAX_LINE_LEN-1] = '\0';
1003 [ + + ]: 3 : if (options->verbose)
1004 : 2 : log_msg(LOG_VERBOSITY_NORMAL, "Executing: %s", args_str);
1005 [ + + ]: 3 : if(strtoargv(args_str, argv_new, &argc_new, options) != 1)
1006 : : {
1007 : 1 : args_broken = 1;
1008 : : }
1009 : : }
1010 : 4 : fclose(args_file_ptr);
1011 : :
1012 [ + + ]: 4 : if(args_broken)
1013 : : return 0;
1014 : :
1015 : : /* Reset the options index so we can run through them again.
1016 : : */
1017 : 3 : optind = 0;
1018 : :
1019 : 3 : config_init(options, argc_new, argv_new);
1020 : :
1021 : : /* Since we passed in our own copies, free up malloc'd memory
1022 : : */
1023 : 2 : free_argv(argv_new, &argc_new);
1024 : :
1025 : 2 : return 1;
1026 : : }
1027 : :
1028 : : static int
1029 : 2357 : get_save_file(char *args_save_file)
1030 : : {
1031 : 2357 : char *homedir = NULL;
1032 : 2357 : int rv = 0;
1033 : :
1034 : : #ifdef WIN32
1035 : : homedir = getenv("USERPROFILE");
1036 : : #else
1037 : 2357 : homedir = getenv("HOME");
1038 : : #endif
1039 [ + + ]: 2357 : if (homedir != NULL) {
1040 : : snprintf(args_save_file, MAX_PATH_LEN, "%s%c%s",
1041 : : homedir, PATH_SEP, ".fwknop.run");
1042 : 2356 : rv = 1;
1043 : : }
1044 : :
1045 : 2357 : return rv;
1046 : : }
1047 : :
1048 : : /* Save our command line arguments
1049 : : */
1050 : : static int
1051 : 88 : save_args(int argc, char **argv, const char * const args_save_file)
1052 : : {
1053 : 88 : char args_str[MAX_LINE_LEN] = {0};
1054 : 88 : int i = 0, args_str_len = 0, args_file_fd = -1;
1055 : :
1056 : 88 : args_file_fd = open(args_save_file, O_WRONLY|O_CREAT|O_TRUNC, S_IRUSR|S_IWUSR);
1057 [ + - ]: 88 : if (args_file_fd == -1) {
1058 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1059 : : args_save_file);
1060 : 0 : return 0;
1061 : : }
1062 : : else {
1063 [ + + ]: 1457 : for (i=0; i < argc; i++) {
1064 : 1370 : args_str_len += strlen(argv[i]);
1065 [ + + ]: 1370 : if (args_str_len >= MAX_PATH_LEN) {
1066 : 1 : log_msg(LOG_VERBOSITY_ERROR, "argument string too long, exiting.");
1067 : 1 : close(args_file_fd);
1068 : 1 : return 0;
1069 : : }
1070 : 1369 : strlcat(args_str, argv[i], sizeof(args_str));
1071 : 1369 : strlcat(args_str, " ", sizeof(args_str));
1072 : : }
1073 : 87 : strlcat(args_str, "\n", sizeof(args_str));
1074 [ - + ]: 87 : if(write(args_file_fd, args_str, strlen(args_str))
1075 : 87 : != strlen(args_str)) {
1076 : 0 : log_msg(LOG_VERBOSITY_WARNING,
1077 : : "warning, did not write expected number of bytes to args save file");
1078 : : }
1079 : 87 : close(args_file_fd);
1080 : : }
1081 : 87 : return 1;
1082 : : }
1083 : :
1084 : : /* Set the SPA packet message type
1085 : : */
1086 : : static int
1087 : 2214 : set_message_type(fko_ctx_t ctx, fko_cli_options_t *options)
1088 : : {
1089 : : short message_type;
1090 : :
1091 [ + + ]: 2214 : if(options->server_command[0] != 0x0)
1092 : : {
1093 : : message_type = FKO_COMMAND_MSG;
1094 : : }
1095 [ + + ]: 2204 : else if(options->nat_local)
1096 : : {
1097 [ + + ]: 11 : if (options->fw_timeout >= 0)
1098 : : message_type = FKO_CLIENT_TIMEOUT_LOCAL_NAT_ACCESS_MSG;
1099 : : else
1100 : 10 : message_type = FKO_LOCAL_NAT_ACCESS_MSG;
1101 : : }
1102 [ + + ]: 2193 : else if(options->nat_access_str[0] != 0x0)
1103 : : {
1104 [ + + ]: 30 : if (options->fw_timeout >= 0)
1105 : : message_type = FKO_CLIENT_TIMEOUT_NAT_ACCESS_MSG;
1106 : : else
1107 : 28 : message_type = FKO_NAT_ACCESS_MSG;
1108 : : }
1109 : : else
1110 : : {
1111 [ + + ]: 2163 : if (options->fw_timeout >= 0)
1112 : : message_type = FKO_CLIENT_TIMEOUT_ACCESS_MSG;
1113 : : else
1114 : 2148 : message_type = FKO_ACCESS_MSG;
1115 : : }
1116 : :
1117 : 2214 : return fko_set_spa_message_type(ctx, message_type);
1118 : : }
1119 : :
1120 : : /* Prompt for and receive a user password.
1121 : : */
1122 : : static int
1123 : 2188 : get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
1124 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len)
1125 : : {
1126 : 2188 : char *key_tmp = NULL, *hmac_key_tmp = NULL;
1127 : 2188 : int use_hmac = 0, res = 0;
1128 : :
1129 : : memset(key, 0x0, MAX_KEY_LEN+1);
1130 : : memset(hmac_key, 0x0, MAX_KEY_LEN+1);
1131 : :
1132 [ + + ]: 2188 : if(options->have_key)
1133 : : {
1134 : 98 : strlcpy(key, options->key, MAX_KEY_LEN+1);
1135 : 98 : *key_len = strlen(key);
1136 : : }
1137 [ + + ]: 2090 : else if(options->have_base64_key)
1138 : : {
1139 : 171 : *key_len = fko_base64_decode(options->key_base64,
1140 : 171 : (unsigned char *) options->key);
1141 [ + + ]: 171 : if(*key_len > 0 && *key_len < MAX_KEY_LEN)
1142 : : {
1143 : 170 : memcpy(key, options->key, *key_len);
1144 : : }
1145 : : else
1146 : : {
1147 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid key length: '%d', must be in [1,%d]",
1148 : : *key_len, MAX_KEY_LEN);
1149 : 1 : return 0;
1150 : : }
1151 : : }
1152 : : else
1153 : : {
1154 : : /* If --get-key file was specified grab the key/password from it.
1155 : : */
1156 [ + + ]: 1919 : if(options->get_key_file[0] != 0x0)
1157 : : {
1158 [ + + ]: 1896 : if(get_key_file(key, key_len, options->get_key_file, ctx, options) != 1)
1159 : : {
1160 : : return 0;
1161 : : }
1162 : : }
1163 [ + + ]: 23 : else if(options->use_gpg)
1164 : : {
1165 [ - + ]: 14 : if(options->use_gpg_agent)
1166 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
1167 : : "[+] GPG mode set, signing passphrase acquired via gpg-agent");
1168 [ + + ]: 14 : else if(options->gpg_no_signing_pw)
1169 : 13 : log_msg(LOG_VERBOSITY_NORMAL,
1170 : : "[+] GPG mode set, signing passphrase not required");
1171 [ + - ]: 1 : else if(strlen(options->gpg_signer_key))
1172 : : {
1173 : 1 : key_tmp = getpasswd("Enter passphrase for signing: ", options->input_fd);
1174 [ - + ]: 1 : if(key_tmp == NULL)
1175 : : {
1176 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1177 : 0 : return 0;
1178 : : }
1179 : 1 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1180 : 1 : *key_len = strlen(key);
1181 : : }
1182 : : }
1183 : : else
1184 : : {
1185 : 9 : key_tmp = getpasswd("Enter encryption key: ", options->input_fd);
1186 : :
1187 [ + + ]: 9 : if(key_tmp == NULL)
1188 : : {
1189 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1190 : 1 : return 0;
1191 : : }
1192 : 8 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1193 : 8 : *key_len = strlen(key);
1194 : : }
1195 : : }
1196 : :
1197 [ + + ]: 2139 : if(options->have_hmac_key)
1198 : : {
1199 : 35 : strlcpy(hmac_key, options->hmac_key, MAX_KEY_LEN+1);
1200 : 35 : *hmac_key_len = strlen(hmac_key);
1201 : 35 : use_hmac = 1;
1202 : : }
1203 [ + + ]: 2104 : else if(options->have_hmac_base64_key)
1204 : : {
1205 : 181 : *hmac_key_len = fko_base64_decode(options->hmac_key_base64,
1206 : 181 : (unsigned char *) options->hmac_key);
1207 [ + + ]: 181 : if(*hmac_key_len > MAX_KEY_LEN || *hmac_key_len < 0)
1208 : : {
1209 : 2 : log_msg(LOG_VERBOSITY_ERROR,
1210 : : "[*] Invalid decoded key length: '%d', must be in [0,%d]",
1211 : : *hmac_key_len, MAX_KEY_LEN);
1212 : 2 : return 0;
1213 : : }
1214 : 179 : memcpy(hmac_key, options->hmac_key, *hmac_key_len);
1215 : 179 : use_hmac = 1;
1216 : : }
1217 [ + + ]: 1923 : else if (options->use_hmac)
1218 : : {
1219 : : /* If --get-key file was specified grab the key/password from it.
1220 : : */
1221 [ + + ]: 5 : if(options->get_hmac_key_file[0] != 0x0)
1222 : : {
1223 [ + + ]: 2 : if(get_key_file(hmac_key, hmac_key_len,
1224 : 2 : options->get_hmac_key_file, ctx, options) != 1)
1225 : : {
1226 : : return 0;
1227 : : }
1228 : : use_hmac = 1;
1229 : : }
1230 : : else
1231 : : {
1232 : 3 : hmac_key_tmp = getpasswd("Enter HMAC key: ", options->input_fd);
1233 : :
1234 [ - + ]: 3 : if(hmac_key_tmp == NULL)
1235 : : {
1236 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1237 : 0 : return 0;
1238 : : }
1239 : :
1240 : 3 : strlcpy(hmac_key, hmac_key_tmp, MAX_KEY_LEN+1);
1241 : 3 : *hmac_key_len = strlen(hmac_key);
1242 : 3 : use_hmac = 1;
1243 : : }
1244 : : }
1245 : :
1246 [ + + ]: 2136 : if (use_hmac)
1247 : : {
1248 [ - + ]: 218 : if(*hmac_key_len < 0 || *hmac_key_len > MAX_KEY_LEN)
1249 : : {
1250 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid HMAC key length: '%d', must be in [0,%d]",
1251 : : *hmac_key_len, MAX_KEY_LEN);
1252 : 0 : return 0;
1253 : : }
1254 : :
1255 : : /* Make sure the same key is not used for both encryption and the HMAC
1256 : : */
1257 [ + + ]: 218 : if(*hmac_key_len == *key_len)
1258 : : {
1259 [ + + ]: 32 : if(memcmp(hmac_key, key, *key_len) == 0)
1260 : : {
1261 : 1 : log_msg(LOG_VERBOSITY_ERROR,
1262 : : "[*] The encryption passphrase and HMAC key should not be identical, no SPA packet sent. Exiting.");
1263 : 1 : return 0;
1264 : : }
1265 : : }
1266 : :
1267 : 217 : res = fko_set_spa_hmac_type(ctx, options->hmac_type);
1268 [ - + ]: 217 : if(res != FKO_SUCCESS)
1269 : : {
1270 : 0 : errmsg("fko_set_spa_hmac_type", res);
1271 : 0 : return 0;
1272 : : }
1273 : : }
1274 : :
1275 : : return 1;
1276 : : }
1277 : :
1278 : : /* Display an FKO error message.
1279 : : */
1280 : : void
1281 : 372 : errmsg(const char *msg, const int err) {
1282 : 372 : log_msg(LOG_VERBOSITY_ERROR, "%s: %s: Error %i - %s",
1283 : : MY_NAME, msg, err, fko_errstr(err));
1284 : 372 : }
1285 : :
1286 : : static void
1287 : 23650 : zero_buf_wrapper(char *buf, int len)
1288 : : {
1289 : :
1290 [ + + ]: 23650 : if(buf == NULL || len == 0)
1291 : : return;
1292 : :
1293 [ - + ]: 21265 : if(zero_buf(buf, len) == FKO_ERROR_ZERO_OUT_DATA)
1294 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1295 : : "[*] Could not zero out sensitive data buffer.");
1296 : :
1297 : : return;
1298 : : }
1299 : :
1300 : : #if HAVE_LIBFIU
1301 : : static void
1302 : 2365 : enable_fault_injections(fko_cli_options_t * const opts)
1303 : : {
1304 [ + + ]: 2365 : if(opts->fault_injection_tag[0] != 0x0)
1305 : : {
1306 : 30 : fiu_init(0);
1307 : 30 : fiu_enable(opts->fault_injection_tag, 1, NULL, 0);
1308 : : }
1309 : 2365 : return;
1310 : : }
1311 : : #endif
1312 : :
1313 : : /* free up memory and exit
1314 : : */
1315 : : static void
1316 : 2365 : clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
1317 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
1318 : : unsigned int exit_status)
1319 : : {
1320 : : #if HAVE_LIBFIU
1321 [ + + ]: 2365 : if(opts->fault_injection_tag[0] != 0x0)
1322 : 30 : fiu_disable(opts->fault_injection_tag);
1323 : : #endif
1324 : :
1325 [ - + ]: 2365 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
1326 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1327 : : "[*] Could not zero out sensitive data buffer.");
1328 : 2365 : ctx = NULL;
1329 : 2365 : free_configs(opts);
1330 : 2365 : zero_buf_wrapper(key, *key_len);
1331 : 2365 : zero_buf_wrapper(hmac_key, *hmac_key_len);
1332 : 2365 : *key_len = 0;
1333 : 2365 : *hmac_key_len = 0;
1334 : 2365 : exit(exit_status);
1335 : : }
1336 : :
1337 : : /***EOF***/
|
