Branch data Line data Source code
1 : : /**
2 : : * @file fwknop.c
3 : : *
4 : : * @brief The fwknop client.
5 : : *
6 : : * Fwknop is developed primarily by the people listed in the file 'AUTHORS'.
7 : : * Copyright (C) 2009-2014 fwknop developers and contributors. For a full
8 : : * list of contributors, see the file 'CREDITS'.
9 : : *
10 : : * License (GNU General Public License):
11 : : *
12 : : * This program is free software; you can redistribute it and/or
13 : : * modify it under the terms of the GNU General Public License
14 : : * as published by the Free Software Foundation; either version 2
15 : : * of the License, or (at your option) any later version.
16 : : *
17 : : * This program is distributed in the hope that it will be useful,
18 : : * but WITHOUT ANY WARRANTY; without even the implied warranty of
19 : : * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
20 : : * GNU General Public License for more details.
21 : : *
22 : : * You should have received a copy of the GNU General Public License
23 : : * along with this program; if not, write to the Free Software
24 : : * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
25 : : * USA
26 : : */
27 : :
28 : : #include "fwknop.h"
29 : : #include "config_init.h"
30 : : #include "spa_comm.h"
31 : : #include "utils.h"
32 : : #include "getpasswd.h"
33 : :
34 : : #include <sys/stat.h>
35 : : #include <fcntl.h>
36 : :
37 : :
38 : : /* prototypes
39 : : */
40 : : static int get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
41 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len);
42 : : static void errmsg(const char *msg, const int err);
43 : : static int prev_exec(fko_cli_options_t *options, int argc, char **argv);
44 : : static int get_save_file(char *args_save_file);
45 : : static int show_last_command(const char * const args_save_file);
46 : : static int save_args(int argc, char **argv, const char * const args_save_file);
47 : : static int run_last_args(fko_cli_options_t *options,
48 : : const char * const args_save_file);
49 : : static int set_message_type(fko_ctx_t ctx, fko_cli_options_t *options);
50 : : static int set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options,
51 : : const char * const access_buf);
52 : : static int set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options,
53 : : char *access_buf);
54 : : static int get_rand_port(fko_ctx_t ctx);
55 : : int resolve_ip_https(fko_cli_options_t *options);
56 : : int resolve_ip_http(fko_cli_options_t *options);
57 : : static void clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
58 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
59 : : unsigned int exit_status);
60 : : static void zero_buf_wrapper(char *buf, int len);
61 : : static int is_hostname_str_with_port(const char *str,
62 : : char *hostname, size_t hostname_bufsize, int *port);
63 : : #if HAVE_LIBFIU
64 : : static void enable_fault_injections(fko_cli_options_t * const opts);
65 : : #endif
66 : :
67 : : #define MAX_CMDLINE_ARGS 50 /*!< should be way more than enough */
68 : : #define NAT_ACCESS_STR_TEMPLATE "%s,%d" /*!< Template for a nat access string ip,port with sscanf*/
69 : : #define HOSTNAME_BUFSIZE 64 /*!< Maximum size of a hostname string */
70 : : #define CTX_DUMP_BUFSIZE 4096 /*!< Maximum size allocated to a FKO context dump */
71 : :
72 : : /**
73 : : * @brief Check whether a string is an ipv6 address or not
74 : : *
75 : : * @param str String to check for an ipv6 address.
76 : : *
77 : : * @return 1 if the string is an ipv6 address, 0 otherwise.
78 : : */
79 : : static int
80 : 10 : is_ipv6_str(char *str)
81 : : {
82 : 5 : return 0;
83 : : }
84 : :
85 : : /**
86 : : * @brief Check a string to find out if it is built as 'hostname,port'
87 : : *
88 : : * This function check if we can extract an hostname and a port from the string.
89 : : * If yes, we return 1, and both the hostname buffer and the port number are set
90 : : * accordingly.
91 : : *
92 : : * We could have used sscanf() here with a template "%[^,],%u", but this way we
93 : : * do not limit the size of the value copy in the hostname destination buffer.
94 : : * Limiting the string in the sscanf() can be done but would prevent any easy change
95 : : * for the hostname buffer size.
96 : : *
97 : : * @param str String to parse.
98 : : * @param hostname Buffer where to store the hostname value read from @str.
99 : : * @param hostname_bufsize Hostname buffer size.
100 : : * @param port Value of the port read from @str.
101 : : *
102 : : * @return 1 if the string is built as 'hostname,port', 0 otherwise.
103 : : */
104 : : static int
105 : 36 : is_hostname_str_with_port(const char *str, char *hostname, size_t hostname_bufsize, int *port)
106 : : {
107 : 36 : int valid = 0; /* Result of the function */
108 : 36 : char buf[MAX_LINE_LEN] = {0}; /* Copy of the buffer eg. "hostname,port" */
109 : : char *h; /* Pointer on the hostname string */
110 : : char *p; /* Ponter on the port string */
111 : :
112 : : memset(hostname, 0, hostname_bufsize);
113 : 36 : *port = 0;
114 : :
115 : : /* Replace the comma in the string with a NULL char to split the
116 : : * buffer in two strings (hostname and port) */
117 : 36 : strlcpy(buf, str, sizeof(buf));
118 : 36 : p = strchr(buf, ',');
119 : :
120 [ + - ]: 36 : if(p != NULL)
121 : : {
122 : 36 : *p++ = 0;
123 : 36 : h = buf;
124 : :
125 : 36 : *port = atoi(p);
126 : :
127 : : /* If the string does not match an ipv4 or ipv6 address we assume this
128 : : * is an hostname. We make sure the port is in the good range too */
129 [ + + ]: 36 : if ( (is_valid_ipv4_addr(buf) == 0)
130 [ + - ]: 5 : && (is_ipv6_str(buf) == 0)
131 [ + - ]: 5 : && ((*port > 0) && (*port < 65536)) )
132 : : {
133 : 5 : strlcpy(hostname, h, hostname_bufsize);
134 : 5 : valid = 1;
135 : : }
136 : :
137 : : /* The port is out of range or the ip is an ipv6 or ipv4 address */
138 : : else;
139 : : }
140 : :
141 : : /* No port found in the string, let's skip */
142 : : else;
143 : :
144 : 36 : return valid;
145 : : }
146 : :
147 : : int
148 : 2518 : main(int argc, char **argv)
149 : : {
150 : 2518 : fko_ctx_t ctx = NULL;
151 : 2518 : fko_ctx_t ctx2 = NULL;
152 : : int res;
153 : 2518 : char *spa_data=NULL, *version=NULL;
154 : 2518 : char access_buf[MAX_LINE_LEN] = {0};
155 : 2518 : char key[MAX_KEY_LEN+1] = {0};
156 : 2518 : char hmac_key[MAX_KEY_LEN+1] = {0};
157 : 2518 : int key_len = 0, orig_key_len = 0, hmac_key_len = 0, enc_mode;
158 : 2518 : int tmp_port = 0;
159 : : char dump_buf[CTX_DUMP_BUFSIZE];
160 : :
161 : : fko_cli_options_t options;
162 : :
163 : : memset(&options, 0x0, sizeof(fko_cli_options_t));
164 : :
165 : : /* Initialize the log module */
166 : 2518 : log_new();
167 : :
168 : : /* Handle command line
169 : : */
170 : 2518 : config_init(&options, argc, argv);
171 : :
172 : : #if HAVE_LIBFIU
173 : : /* Set any fault injection points early
174 : : */
175 : 2356 : enable_fault_injections(&options);
176 : : #endif
177 : :
178 : : /* Handle previous execution arguments if required
179 : : */
180 [ + + ]: 2356 : if(prev_exec(&options, argc, argv) != 1)
181 : 5 : clean_exit(ctx, &options, key, &key_len, hmac_key,
182 : : &hmac_key_len, EXIT_FAILURE);
183 : :
184 [ + + ]: 2350 : if(options.show_last_command)
185 : 1 : clean_exit(ctx, &options, key, &key_len, hmac_key,
186 : : &hmac_key_len, EXIT_SUCCESS);
187 : :
188 : : /* Intialize the context
189 : : */
190 : 2349 : res = fko_new(&ctx);
191 [ + + ]: 2349 : if(res != FKO_SUCCESS)
192 : : {
193 : 132 : errmsg("fko_new", res);
194 : 132 : clean_exit(ctx, &options, key, &key_len, hmac_key,
195 : : &hmac_key_len, EXIT_FAILURE);
196 : : }
197 : :
198 : : /* Display version info and exit.
199 : : */
200 [ + + ]: 2217 : if(options.version)
201 : : {
202 : 1 : fko_get_version(ctx, &version);
203 : :
204 : 1 : fprintf(stdout, "fwknop client %s, FKO protocol version %s\n",
205 : : MY_VERSION, version);
206 : :
207 : 1 : clean_exit(ctx, &options, key, &key_len,
208 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
209 : : }
210 : :
211 : : /* Set client timeout
212 : : */
213 [ + + ]: 2216 : if(options.fw_timeout >= 0)
214 : : {
215 : 18 : res = fko_set_spa_client_timeout(ctx, options.fw_timeout);
216 [ - + ]: 18 : if(res != FKO_SUCCESS)
217 : : {
218 : 0 : errmsg("fko_set_spa_client_timeout", res);
219 : 0 : clean_exit(ctx, &options, key, &key_len,
220 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
221 : : }
222 : : }
223 : :
224 : : /* Set the SPA packet message type based on command line options
225 : : */
226 : 2216 : res = set_message_type(ctx, &options);
227 [ - + ]: 2216 : if(res != FKO_SUCCESS)
228 : : {
229 : 0 : errmsg("fko_set_spa_message_type", res);
230 : 0 : clean_exit(ctx, &options, key, &key_len,
231 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
232 : : }
233 : :
234 : : /* Adjust the SPA timestamp if necessary
235 : : */
236 [ + + ]: 2216 : if(options.time_offset_plus > 0)
237 : : {
238 : 5 : res = fko_set_timestamp(ctx, options.time_offset_plus);
239 [ - + ]: 5 : if(res != FKO_SUCCESS)
240 : : {
241 : 0 : errmsg("fko_set_timestamp", res);
242 : 0 : clean_exit(ctx, &options, key, &key_len,
243 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
244 : : }
245 : : }
246 [ + + ]: 2216 : if(options.time_offset_minus > 0)
247 : : {
248 : 8 : res = fko_set_timestamp(ctx, -options.time_offset_minus);
249 [ - + ]: 8 : if(res != FKO_SUCCESS)
250 : : {
251 : 0 : errmsg("fko_set_timestamp", res);
252 : 0 : clean_exit(ctx, &options, key, &key_len,
253 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
254 : : }
255 : : }
256 : :
257 [ + + ]: 2216 : if(options.server_command[0] != 0x0)
258 : : {
259 : : /* Set the access message to a command that the server will
260 : : * execute
261 : : */
262 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
263 : : options.allow_ip_str, ",", options.server_command);
264 : : }
265 : : else
266 : : {
267 : : /* Resolve the client's public facing IP address if requestesd.
268 : : * if this fails, consider it fatal.
269 : : */
270 [ + + ]: 2214 : if (options.resolve_ip_http_https)
271 : : {
272 [ + + ]: 30 : if(options.resolve_http_only)
273 : : {
274 [ + + ]: 6 : if(resolve_ip_http(&options) < 0)
275 : : {
276 : 2 : clean_exit(ctx, &options, key, &key_len,
277 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
278 : : }
279 : : }
280 : : else
281 : : {
282 : : /* Default to HTTPS */
283 [ + + ]: 24 : if(resolve_ip_https(&options) < 0)
284 : : {
285 : 7 : clean_exit(ctx, &options, key, &key_len,
286 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
287 : : }
288 : : }
289 : : }
290 : :
291 : : /* Set a message string by combining the allow IP and the
292 : : * port/protocol. The fwknopd server allows no port/protocol
293 : : * to be specified as well, so in this case append the string
294 : : * "none/0" to the allow IP.
295 : : */
296 [ + + ]: 2205 : if(set_access_buf(ctx, &options, access_buf) != 1)
297 : 2 : clean_exit(ctx, &options, key, &key_len,
298 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
299 : : }
300 : 2205 : res = fko_set_spa_message(ctx, access_buf);
301 [ + + ]: 2205 : if(res != FKO_SUCCESS)
302 : : {
303 : 4 : errmsg("fko_set_spa_message", res);
304 : 4 : clean_exit(ctx, &options, key, &key_len,
305 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
306 : : }
307 : :
308 : : /* Set NAT access string
309 : : */
310 [ + + ][ + + ]: 2201 : if (options.nat_local || options.nat_access_str[0] != 0x0)
311 : : {
312 : 37 : res = set_nat_access(ctx, &options, access_buf);
313 [ + + ]: 37 : if(res != FKO_SUCCESS)
314 : : {
315 : 4 : errmsg("fko_set_nat_access_str", res);
316 : 4 : clean_exit(ctx, &options, key, &key_len,
317 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
318 : : }
319 : : }
320 : :
321 : : /* Set username
322 : : */
323 [ + + ]: 2197 : if(options.spoof_user[0] != 0x0)
324 : : {
325 : 10 : res = fko_set_username(ctx, options.spoof_user);
326 [ + + ]: 10 : if(res != FKO_SUCCESS)
327 : : {
328 : 1 : errmsg("fko_set_username", res);
329 : 1 : clean_exit(ctx, &options, key, &key_len,
330 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
331 : : }
332 : : }
333 : :
334 : : /* Set up for using GPG if specified.
335 : : */
336 [ + + ]: 2196 : if(options.use_gpg)
337 : : {
338 : : /* If use-gpg-agent was not specified, then remove the GPG_AGENT_INFO
339 : : * ENV variable if it exists.
340 : : */
341 : : #ifndef WIN32
342 [ + + ]: 79 : if(!options.use_gpg_agent)
343 : 78 : unsetenv("GPG_AGENT_INFO");
344 : : #endif
345 : :
346 : 79 : res = fko_set_spa_encryption_type(ctx, FKO_ENCRYPTION_GPG);
347 [ - + ]: 79 : if(res != FKO_SUCCESS)
348 : : {
349 : 0 : errmsg("fko_set_spa_encryption_type", res);
350 : 0 : clean_exit(ctx, &options, key, &key_len,
351 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
352 : : }
353 : :
354 : : /* Set gpg path if necessary
355 : : */
356 [ + + ]: 79 : if(strlen(options.gpg_exe) > 0)
357 : : {
358 : 5 : res = fko_set_gpg_exe(ctx, options.gpg_exe);
359 [ + + ]: 5 : if(res != FKO_SUCCESS)
360 : : {
361 : 3 : errmsg("fko_set_gpg_exe", res);
362 : 3 : clean_exit(ctx, &options, key, &key_len,
363 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
364 : : }
365 : : }
366 : :
367 : : /* If a GPG home dir was specified, set it here. Note: Setting
368 : : * this has to occur before calling any of the other GPG-related
369 : : * functions.
370 : : */
371 [ + - ]: 76 : if(strlen(options.gpg_home_dir) > 0)
372 : : {
373 : 76 : res = fko_set_gpg_home_dir(ctx, options.gpg_home_dir);
374 [ + + ]: 76 : if(res != FKO_SUCCESS)
375 : : {
376 : 1 : errmsg("fko_set_gpg_home_dir", res);
377 : 1 : clean_exit(ctx, &options, key, &key_len,
378 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
379 : : }
380 : : }
381 : :
382 : 75 : res = fko_set_gpg_recipient(ctx, options.gpg_recipient_key);
383 [ + + ]: 75 : if(res != FKO_SUCCESS)
384 : : {
385 : 1 : errmsg("fko_set_gpg_recipient", res);
386 : :
387 [ + - ]: 1 : if(IS_GPG_ERROR(res))
388 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
389 : 1 : clean_exit(ctx, &options, key, &key_len,
390 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
391 : : }
392 : :
393 [ + - ]: 74 : if(strlen(options.gpg_signer_key) > 0)
394 : : {
395 : 74 : res = fko_set_gpg_signer(ctx, options.gpg_signer_key);
396 [ + + ]: 74 : if(res != FKO_SUCCESS)
397 : : {
398 : 1 : errmsg("fko_set_gpg_signer", res);
399 : :
400 [ + - ]: 1 : if(IS_GPG_ERROR(res))
401 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
402 : 1 : clean_exit(ctx, &options, key, &key_len,
403 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
404 : : }
405 : : }
406 : :
407 : 73 : res = fko_set_spa_encryption_mode(ctx, FKO_ENC_MODE_ASYMMETRIC);
408 [ - + ]: 73 : if(res != FKO_SUCCESS)
409 : : {
410 : 0 : errmsg("fko_set_spa_encryption_mode", res);
411 : 0 : clean_exit(ctx, &options, key, &key_len,
412 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
413 : : }
414 : : }
415 : :
416 [ + + ][ + - ]: 2190 : if(options.encryption_mode && !options.use_gpg)
417 : : {
418 : 21 : res = fko_set_spa_encryption_mode(ctx, options.encryption_mode);
419 [ - + ]: 21 : if(res != FKO_SUCCESS)
420 : : {
421 : 0 : errmsg("fko_set_spa_encryption_mode", res);
422 : 0 : clean_exit(ctx, &options, key, &key_len,
423 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
424 : : }
425 : : }
426 : :
427 : : /* Set Digest type.
428 : : */
429 [ + + ]: 2190 : if(options.digest_type)
430 : : {
431 : 40 : res = fko_set_spa_digest_type(ctx, options.digest_type);
432 [ - + ]: 40 : if(res != FKO_SUCCESS)
433 : : {
434 : 0 : errmsg("fko_set_spa_digest_type", res);
435 : 0 : clean_exit(ctx, &options, key, &key_len,
436 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
437 : : }
438 : : }
439 : :
440 : : /* Acquire the necessary encryption/hmac keys
441 : : */
442 [ + + ]: 2190 : if(get_keys(ctx, &options, key, &key_len, hmac_key, &hmac_key_len) != 1)
443 : 42 : clean_exit(ctx, &options, key, &key_len,
444 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
445 : :
446 : 2148 : orig_key_len = key_len;
447 : :
448 [ + + ]: 2148 : if(options.encryption_mode == FKO_ENC_MODE_CBC_LEGACY_IV
449 [ + + ]: 3 : && key_len > 16)
450 : : {
451 : 1 : log_msg(LOG_VERBOSITY_ERROR,
452 : : "WARNING: Encryption key in '-M legacy' mode must be <= 16 bytes");
453 : 1 : log_msg(LOG_VERBOSITY_ERROR,
454 : : "long - truncating before sending SPA packet. Upgrading remote");
455 : 1 : log_msg(LOG_VERBOSITY_ERROR,
456 : : "fwknopd is recommended.");
457 : 1 : key_len = 16;
458 : : }
459 : :
460 : : /* Finalize the context data (encrypt and encode the SPA data)
461 : : */
462 : 2148 : res = fko_spa_data_final(ctx, key, key_len, hmac_key, hmac_key_len);
463 [ + + ]: 2148 : if(res != FKO_SUCCESS)
464 : : {
465 : 218 : errmsg("fko_spa_data_final", res);
466 : :
467 [ - + ]: 218 : if(IS_GPG_ERROR(res))
468 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
469 : 218 : clean_exit(ctx, &options, key, &orig_key_len,
470 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
471 : : }
472 : :
473 : : /* Display the context data.
474 : : */
475 [ + - ]: 1930 : if (options.verbose || options.test)
476 : : {
477 : 1930 : res = dump_ctx_to_buffer(ctx, dump_buf, sizeof(dump_buf));
478 [ + - ]: 1930 : if (res == FKO_SUCCESS)
479 : 1930 : log_msg(LOG_VERBOSITY_NORMAL, "%s", dump_buf);
480 : : else
481 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
482 : : }
483 : :
484 : : /* Save packet data payload if requested.
485 : : */
486 [ + + ]: 1930 : if (options.save_packet_file[0] != 0x0)
487 : 6 : write_spa_packet_data(ctx, &options);
488 : :
489 : : /* SPA packet random destination port handling
490 : : */
491 [ + + ]: 1930 : if (options.rand_port)
492 : : {
493 : 5 : tmp_port = get_rand_port(ctx);
494 [ - + ]: 5 : if(tmp_port < 0)
495 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
496 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
497 : 5 : options.spa_dst_port = tmp_port;
498 : : }
499 : :
500 : : /* If we are using one the "raw" modes (normally because
501 : : * we're going to spoof the SPA packet source IP), then select
502 : : * a random source port unless the source port is already set
503 : : */
504 [ + + ]: 1930 : if ((options.spa_proto == FKO_PROTO_TCP_RAW
505 : 1930 : || options.spa_proto == FKO_PROTO_UDP_RAW
506 [ + + ]: 1922 : || options.spa_proto == FKO_PROTO_ICMP)
507 [ + - ]: 12 : && !options.spa_src_port)
508 : : {
509 : 12 : tmp_port = get_rand_port(ctx);
510 [ - + ]: 12 : if(tmp_port < 0)
511 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
512 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
513 : 12 : options.spa_src_port = tmp_port;
514 : : }
515 : :
516 : 1930 : res = send_spa_packet(ctx, &options);
517 [ + + ]: 1930 : if(res < 0)
518 : : {
519 : 39 : log_msg(LOG_VERBOSITY_ERROR, "send_spa_packet: packet not sent.");
520 : 39 : clean_exit(ctx, &options, key, &orig_key_len,
521 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
522 : : }
523 : : else
524 : : {
525 : 1891 : log_msg(LOG_VERBOSITY_INFO, "send_spa_packet: bytes sent: %i", res);
526 : : }
527 : :
528 : : /* Run through a decode cycle in test mode (--DSS XXX: This test/decode
529 : : * portion should be moved elsewhere).
530 : : */
531 [ + + ]: 1891 : if (options.test)
532 : : {
533 : : /************** Decoding now *****************/
534 : :
535 : : /* Now we create a new context based on data from the first one.
536 : : */
537 : 104 : res = fko_get_spa_data(ctx, &spa_data);
538 [ - + ]: 104 : if(res != FKO_SUCCESS)
539 : : {
540 : 0 : errmsg("fko_get_spa_data", res);
541 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
542 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
543 : : }
544 : :
545 : : /* Pull the encryption mode.
546 : : */
547 : 104 : res = fko_get_spa_encryption_mode(ctx, &enc_mode);
548 [ - + ]: 104 : if(res != FKO_SUCCESS)
549 : : {
550 : 0 : errmsg("fko_get_spa_encryption_mode", res);
551 [ # # ]: 0 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
552 : 0 : log_msg(LOG_VERBOSITY_ERROR,
553 : : "[*] Could not zero out sensitive data buffer.");
554 : 0 : ctx = NULL;
555 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
556 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
557 : : }
558 : :
559 : : /* If gpg-home-dir is specified, we have to defer decrypting if we
560 : : * use the fko_new_with_data() function because we need to set the
561 : : * gpg home dir after the context is created, but before we attempt
562 : : * to decrypt the data. Therefore we either pass NULL for the
563 : : * decryption key to fko_new_with_data() or use fko_new() to create
564 : : * an empty context, populate it with the encrypted data, set our
565 : : * options, then decode it.
566 : : *
567 : : * This also verifies the HMAC and truncates it if there are no
568 : : * problems.
569 : : */
570 : 104 : res = fko_new_with_data(&ctx2, spa_data, NULL,
571 : : 0, enc_mode, hmac_key, hmac_key_len, options.hmac_type);
572 [ - + ]: 104 : if(res != FKO_SUCCESS)
573 : : {
574 : 0 : errmsg("fko_new_with_data", res);
575 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
576 : 0 : log_msg(LOG_VERBOSITY_ERROR,
577 : : "[*] Could not zero out sensitive data buffer.");
578 : 0 : ctx2 = NULL;
579 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
580 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
581 : : }
582 : :
583 : 104 : res = fko_set_spa_encryption_mode(ctx2, enc_mode);
584 [ - + ]: 104 : if(res != FKO_SUCCESS)
585 : : {
586 : 0 : errmsg("fko_set_spa_encryption_mode", res);
587 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
588 : 0 : log_msg(LOG_VERBOSITY_ERROR,
589 : : "[*] Could not zero out sensitive data buffer.");
590 : 0 : ctx2 = NULL;
591 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
592 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
593 : : }
594 : :
595 : : /* See if we are using gpg and if we need to set the GPG home dir.
596 : : */
597 [ + + ]: 104 : if(options.use_gpg)
598 : : {
599 [ + - ]: 5 : if(strlen(options.gpg_home_dir) > 0)
600 : : {
601 : 5 : res = fko_set_gpg_home_dir(ctx2, options.gpg_home_dir);
602 [ - + ]: 5 : if(res != FKO_SUCCESS)
603 : : {
604 : 0 : errmsg("fko_set_gpg_home_dir", res);
605 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
606 : 0 : log_msg(LOG_VERBOSITY_ERROR,
607 : : "[*] Could not zero out sensitive data buffer.");
608 : 0 : ctx2 = NULL;
609 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
610 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
611 : : }
612 : : }
613 : : }
614 : :
615 : : /* Decrypt
616 : : */
617 : 104 : res = fko_decrypt_spa_data(ctx2, key, key_len);
618 : :
619 [ + + ]: 104 : if(res != FKO_SUCCESS)
620 : : {
621 : 1 : errmsg("fko_decrypt_spa_data", res);
622 : :
623 [ - + ]: 1 : if(IS_GPG_ERROR(res)) {
624 : : /* we most likely could not decrypt the gpg-encrypted data
625 : : * because we don't have access to the private key associated
626 : : * with the public key we used for encryption. Since this is
627 : : * expected, return 0 instead of an error condition (so calling
628 : : * programs like the fwknop test suite don't interpret this as
629 : : * an unrecoverable error), but print the error string for
630 : : * debugging purposes. The test suite does run a series of
631 : : * tests that use a single key pair for encryption and
632 : : * authentication, so decryption become possible for these
633 : : * tests. */
634 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s\n%s", fko_gpg_errstr(ctx2),
635 : : "No access to recipient private key?");
636 : : }
637 [ - + ]: 1 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
638 : 0 : log_msg(LOG_VERBOSITY_ERROR,
639 : : "[*] Could not zero out sensitive data buffer.");
640 : 1 : ctx2 = NULL;
641 : 1 : clean_exit(ctx, &options, key, &orig_key_len,
642 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
643 : : }
644 : :
645 : 103 : res = dump_ctx_to_buffer(ctx2, dump_buf, sizeof(dump_buf));
646 [ + - ]: 103 : if (res == FKO_SUCCESS)
647 : 103 : log_msg(LOG_VERBOSITY_NORMAL, "\nDump of the Decoded Data\n%s", dump_buf);
648 : : else
649 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
650 : :
651 [ - + ]: 103 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
652 : 0 : log_msg(LOG_VERBOSITY_ERROR,
653 : : "[*] Could not zero out sensitive data buffer.");
654 : 103 : ctx2 = NULL;
655 : : }
656 : :
657 : 1890 : clean_exit(ctx, &options, key, &orig_key_len,
658 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
659 : :
660 : : return EXIT_SUCCESS; /* quiet down a gcc warning */
661 : : }
662 : :
663 : : void
664 : 2355 : free_configs(fko_cli_options_t *opts)
665 : : {
666 [ + + ]: 2355 : if (opts->resolve_url != NULL)
667 : 22 : free(opts->resolve_url);
668 [ + + ]: 2355 : if (opts->wget_bin != NULL)
669 : 4 : free(opts->wget_bin);
670 : 2355 : zero_buf_wrapper(opts->key, MAX_KEY_LEN+1);
671 : 2355 : zero_buf_wrapper(opts->key_base64, MAX_B64_KEY_LEN+1);
672 : 2355 : zero_buf_wrapper(opts->hmac_key, MAX_KEY_LEN+1);
673 : 2355 : zero_buf_wrapper(opts->hmac_key_base64, MAX_B64_KEY_LEN+1);
674 : 2355 : zero_buf_wrapper(opts->gpg_recipient_key, MAX_GPG_KEY_ID);
675 : 2355 : zero_buf_wrapper(opts->gpg_signer_key, MAX_GPG_KEY_ID);
676 : 2355 : zero_buf_wrapper(opts->gpg_home_dir, MAX_PATH_LEN);
677 : 2355 : zero_buf_wrapper(opts->server_command, MAX_LINE_LEN);
678 : 2355 : }
679 : :
680 : : static int
681 : 25 : get_rand_port(fko_ctx_t ctx)
682 : : {
683 : 25 : char *rand_val = NULL;
684 : 25 : char port_str[MAX_PORT_STR_LEN+1] = {0};
685 : : int tmpint, is_err;
686 : 25 : int port = 0;
687 : 25 : int res = 0;
688 : :
689 : 25 : res = fko_get_rand_value(ctx, &rand_val);
690 [ - + ]: 25 : if(res != FKO_SUCCESS)
691 : : {
692 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
693 : 0 : return -1;
694 : : }
695 : :
696 : 25 : strlcpy(port_str, rand_val, sizeof(port_str));
697 : :
698 : 25 : tmpint = strtol_wrapper(port_str, 0, -1, NO_EXIT_UPON_ERR, &is_err);
699 [ - + ]: 25 : if(is_err != FKO_SUCCESS)
700 : : {
701 : 0 : log_msg(LOG_VERBOSITY_ERROR,
702 : : "[*] get_rand_port(), could not convert rand_val str '%s', to integer",
703 : : rand_val);
704 : 0 : return -1;
705 : : }
706 : :
707 : : /* Convert to a random value between 1024 and 65535
708 : : */
709 : 25 : port = (MIN_HIGH_PORT + (tmpint % (MAX_PORT - MIN_HIGH_PORT)));
710 : :
711 : : /* Force libfko to calculate a new random value since we don't want to
712 : : * give anyone a hint (via the port value) about the contents of the
713 : : * encrypted SPA data.
714 : : */
715 : 25 : res = fko_set_rand_value(ctx, NULL);
716 [ - + ]: 25 : if(res != FKO_SUCCESS)
717 : : {
718 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
719 : 0 : return -1;
720 : : }
721 : :
722 : : return port;
723 : : }
724 : :
725 : : /* See if the string is of the format "<ipv4 addr>:<port>",
726 : : */
727 : : static int
728 : 25 : ipv4_str_has_port(char *str)
729 : : {
730 : : int o1, o2, o3, o4, p;
731 : :
732 : : /* Force the ':' (if any) to a ','
733 : : */
734 : 25 : char *ndx = strchr(str, ':');
735 [ + + ]: 25 : if(ndx != NULL)
736 : 21 : *ndx = ',';
737 : :
738 : : /* Check format and values.
739 : : */
740 [ + + ]: 25 : if((sscanf(str, "%u.%u.%u.%u,%u", &o1, &o2, &o3, &o4, &p)) == 5
741 [ + - ][ + + ]: 20 : && o1 >= 0 && o1 <= 255
742 [ + - ][ + - ]: 18 : && o2 >= 0 && o2 <= 255
743 [ + - ][ + - ]: 18 : && o3 >= 0 && o3 <= 255
744 [ + - ][ + - ]: 18 : && o4 >= 0 && o4 <= 255
745 [ + - ][ - + ]: 18 : && p > 0 && p < 65536)
746 : : {
747 : : return 1;
748 : : }
749 : :
750 : 7 : return 0;
751 : : }
752 : :
753 : : /* Set access buf
754 : : */
755 : : static int
756 : 2205 : set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options, char *access_buf)
757 : : {
758 : 2205 : char *ndx = NULL, tmp_nat_port[MAX_PORT_STR_LEN+1] = {0};
759 : 2205 : int nat_port = 0;
760 : :
761 [ + + ]: 2205 : if(options->access_str[0] != 0x0)
762 : : {
763 [ + + ]: 2204 : if (options->nat_rand_port)
764 : : {
765 : 8 : nat_port = get_rand_port(ctx);
766 : 8 : options->nat_port = nat_port;
767 : : }
768 [ + + ]: 2196 : else if (options->nat_port)
769 : 8 : nat_port = options->nat_port;
770 : :
771 [ + + ]: 2204 : if(nat_port > 0 && nat_port <= MAX_PORT)
772 : : {
773 : : /* Replace the access string port with the NAT port since the
774 : : * NAT port is manually specified (--nat-port) or derived from
775 : : * random data (--nat-rand-port). In the NAT modes, the fwknopd
776 : : * server uses the port in the access string as the one to NAT,
777 : : * and access is granted via this translated port to whatever is
778 : : * specified with --nat-access <IP:port> (so this service is the
779 : : * utlimate target of the incoming connection after the SPA
780 : : * packet is sent).
781 : : */
782 : 16 : ndx = strchr(options->access_str, '/');
783 [ + + ]: 16 : if(ndx == NULL)
784 : : {
785 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
786 : 1 : return 0;
787 : : }
788 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s",
789 : 15 : options->allow_ip_str, ",");
790 : :
791 : : /* This adds in the protocol + '/' char
792 : : */
793 : 15 : strlcat(access_buf, options->access_str,
794 : 15 : strlen(access_buf) + (ndx - options->access_str) + 2);
795 : :
796 [ + + ]: 15 : if (strchr(ndx+1, '/') != NULL)
797 : : {
798 : 1 : log_msg(LOG_VERBOSITY_ERROR,
799 : : "[*] NAT for multiple ports/protocols not yet supported.");
800 : 1 : return 0;
801 : : }
802 : :
803 : : /* Now add the NAT port
804 : : */
805 : : snprintf(tmp_nat_port, MAX_PORT_STR_LEN+1, "%d", nat_port);
806 : 14 : strlcat(access_buf, tmp_nat_port,
807 : 14 : strlen(access_buf)+MAX_PORT_STR_LEN+1);
808 : : }
809 : : else
810 : : {
811 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
812 : 2188 : options->allow_ip_str, ",", options->access_str);
813 : : }
814 : : }
815 : : else
816 : : {
817 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
818 : 1 : options->allow_ip_str, ",", "none/0");
819 : : }
820 : : return 1;
821 : : }
822 : :
823 : : /* Set NAT access string
824 : : */
825 : : static int
826 : 37 : set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options, const char * const access_buf)
827 : : {
828 : 37 : char nat_access_buf[MAX_LINE_LEN] = {0};
829 : 37 : char tmp_access_port[MAX_PORT_STR_LEN+1] = {0}, *ndx = NULL;
830 : 37 : int access_port = 0, i = 0, is_err = 0;
831 : 37 : char dst_ip_str[INET_ADDRSTRLEN] = {0};
832 : 37 : char hostname[HOSTNAME_BUFSIZE] = {0};
833 : 37 : int port = 0;
834 : : struct addrinfo hints;
835 : :
836 : : memset(&hints, 0 , sizeof(hints));
837 : :
838 : 37 : ndx = strchr(options->access_str, '/');
839 [ - + ]: 37 : if(ndx == NULL)
840 : : {
841 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
842 : 0 : return FKO_ERROR_INVALID_DATA;
843 : : }
844 : 37 : ndx++;
845 : :
846 [ + + ][ + - ]: 114 : while(*ndx != '\0' && isdigit(*ndx) && i < MAX_PORT_STR_LEN)
[ + - ]
847 : : {
848 : 77 : tmp_access_port[i] = *ndx;
849 : 77 : ndx++;
850 : 77 : i++;
851 : : }
852 : 37 : tmp_access_port[i] = '\0';
853 : :
854 : 37 : access_port = strtol_wrapper(tmp_access_port, 1,
855 : : MAX_PORT, NO_EXIT_UPON_ERR, &is_err);
856 [ + + ]: 37 : if(is_err != FKO_SUCCESS)
857 : : {
858 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value '%d' for -A arg.",
859 : : access_port);
860 : 1 : return FKO_ERROR_INVALID_DATA;
861 : : }
862 : :
863 [ + + ][ + - ]: 36 : if (options->nat_local && options->nat_access_str[0] == 0x0)
864 : : {
865 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
866 : 11 : options->spa_server_str, access_port);
867 : : }
868 : :
869 [ + + ][ + - ]: 36 : if (nat_access_buf[0] == 0x0 && options->nat_access_str[0] != 0x0)
870 : : {
871 [ + + ]: 25 : if (ipv4_str_has_port(options->nat_access_str))
872 : : {
873 : : snprintf(nat_access_buf, MAX_LINE_LEN, "%s",
874 : 18 : options->nat_access_str);
875 : : }
876 : : else
877 : : {
878 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
879 : 7 : options->nat_access_str, access_port);
880 : : }
881 : : }
882 : :
883 : : /* Check if there is a hostname to resolve as an ip address in the NAT access buffer */
884 [ + + ]: 36 : if (is_hostname_str_with_port(nat_access_buf, hostname, sizeof(hostname), &port))
885 : : {
886 : : /* Speed up the name resolution by forcing ipv4 (AF_INET).
887 : : * A NULL pointer could be used instead if there is no constraint.
888 : : * Maybe when ipv6 support will be enable the structure could initialize the
889 : : * family to either AF_INET or AF_INET6 */
890 : 5 : hints.ai_family = AF_INET;
891 : :
892 [ + + ]: 5 : if (resolve_dest_adr(hostname, &hints, dst_ip_str, sizeof(dst_ip_str)) != 0)
893 : : {
894 : 3 : log_msg(LOG_VERBOSITY_ERROR, "[*] Unable to resolve %s as an ip address",
895 : : hostname);
896 : 3 : return FKO_ERROR_INVALID_DATA;
897 : : }
898 : :
899 : 2 : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
900 : : dst_ip_str, port);
901 : : }
902 : :
903 : : /* Nothing to resolve */
904 : : else;
905 : :
906 [ + + ]: 33 : if(options->nat_rand_port)
907 : : {
908 : : /* Must print to stdout what the random port is since
909 : : * if not then the user will not which port will be
910 : : * opened/NAT'd on the fwknopd side
911 : : */
912 : 8 : log_msg(LOG_VERBOSITY_NORMAL,
913 : : "[+] Randomly assigned port '%d' on: '%s' will grant access to: '%s'",
914 : : options->nat_port, access_buf, nat_access_buf);
915 : : }
916 : :
917 : 33 : return fko_set_spa_nat_access(ctx, nat_access_buf);
918 : : }
919 : :
920 : : static int
921 : 2356 : prev_exec(fko_cli_options_t *options, int argc, char **argv)
922 : : {
923 : 2356 : char args_save_file[MAX_PATH_LEN] = {0};
924 : 2356 : int res = 1;
925 : :
926 [ + + ]: 2356 : if(options->args_save_file[0] != 0x0)
927 : : {
928 : 8 : strlcpy(args_save_file, options->args_save_file, sizeof(args_save_file));
929 : : }
930 : : else
931 : : {
932 [ + + ]: 2348 : if (get_save_file(args_save_file) != 1)
933 : : {
934 : 1 : log_msg(LOG_VERBOSITY_ERROR, "Unable to determine args save file");
935 : 1 : return 0;
936 : : }
937 : : }
938 : :
939 [ + + ]: 2355 : if(options->run_last_command)
940 : 4 : res = run_last_args(options, args_save_file);
941 [ + + ]: 2351 : else if(options->show_last_command)
942 : 3 : res = show_last_command(args_save_file);
943 [ + + ]: 2348 : else if (!options->no_save_args)
944 : 78 : res = save_args(argc, argv, args_save_file);
945 : :
946 : 2354 : return res;
947 : : }
948 : :
949 : : /* Show the last command that was executed
950 : : */
951 : : static int
952 : 3 : show_last_command(const char * const args_save_file)
953 : : {
954 : 3 : char args_str[MAX_LINE_LEN] = {0};
955 : 3 : FILE *args_file_ptr = NULL;
956 : :
957 [ + - ]: 3 : if(verify_file_perms_ownership(args_save_file) != 1)
958 : : return 0;
959 : :
960 [ + + ]: 3 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL) {
961 : 1 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
962 : : args_save_file);
963 : 1 : return 0;
964 : : }
965 : :
966 [ + + ]: 2 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL) {
967 : 1 : log_msg(LOG_VERBOSITY_NORMAL,
968 : : "Last fwknop client command line: %s", args_str);
969 : : } else {
970 : 1 : log_msg(LOG_VERBOSITY_NORMAL,
971 : : "Could not read line from file: %s", args_save_file);
972 : 1 : fclose(args_file_ptr);
973 : 1 : return 0;
974 : : }
975 : 1 : fclose(args_file_ptr);
976 : :
977 : 1 : return 1;
978 : : }
979 : :
980 : : /* Get the command line arguments from the previous invocation
981 : : */
982 : : static int
983 : 4 : run_last_args(fko_cli_options_t *options, const char * const args_save_file)
984 : : {
985 : 4 : FILE *args_file_ptr = NULL;
986 : :
987 : 4 : int current_arg_ctr = 0;
988 : 4 : int argc_new = 0, args_broken = 0, buf_size=0;
989 : 4 : int i = 0;
990 : :
991 : 4 : char args_str[MAX_LINE_LEN] = {0};
992 : 4 : char arg_tmp[MAX_LINE_LEN] = {0};
993 : : char *argv_new[MAX_CMDLINE_ARGS]; /* should be way more than enough */
994 : :
995 [ + - ]: 4 : if(verify_file_perms_ownership(args_save_file) != 1)
996 : : return 0;
997 : :
998 [ - + ]: 4 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL)
999 : : {
1000 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1001 : : args_save_file);
1002 : 0 : return 0;
1003 : : }
1004 [ + + ]: 4 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL)
1005 : : {
1006 : 3 : args_str[MAX_LINE_LEN-1] = '\0';
1007 [ + + ]: 3 : if (options->verbose)
1008 : 3 : log_msg(LOG_VERBOSITY_NORMAL, "Executing: %s", args_str);
1009 [ + + ]: 507 : for (i=0; i < (int)strlen(args_str); i++)
1010 : : {
1011 [ + + ]: 505 : if (!isspace(args_str[i]))
1012 : : {
1013 : 423 : arg_tmp[current_arg_ctr] = args_str[i];
1014 : 423 : current_arg_ctr++;
1015 : : }
1016 : : else
1017 : : {
1018 : 82 : arg_tmp[current_arg_ctr] = '\0';
1019 : 82 : buf_size = strlen(arg_tmp) + 1;
1020 : 82 : argv_new[argc_new] = calloc(1, buf_size);
1021 [ - + ]: 82 : if (argv_new[argc_new] == NULL)
1022 : : {
1023 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] calloc failure for cmd line arg.");
1024 : 0 : fclose(args_file_ptr);
1025 : 0 : return 0;
1026 : : }
1027 : 82 : strlcpy(argv_new[argc_new], arg_tmp, buf_size);
1028 : 82 : current_arg_ctr = 0;
1029 : 82 : argc_new++;
1030 [ + + ]: 82 : if(argc_new >= MAX_CMDLINE_ARGS)
1031 : : {
1032 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] max command line args exceeded.");
1033 : 1 : args_broken = 1;
1034 : 1 : break;
1035 : : }
1036 : : }
1037 : : }
1038 : : }
1039 : 4 : fclose(args_file_ptr);
1040 : :
1041 [ + + ]: 4 : if(! args_broken)
1042 : : {
1043 : : /* Reset the options index so we can run through them again.
1044 : : */
1045 : 3 : optind = 0;
1046 : :
1047 : 4 : config_init(options, argc_new, argv_new);
1048 : : }
1049 : :
1050 : : /* Since we passed in our own copies, free up malloc'd memory
1051 : : */
1052 [ + + ]: 85 : for (i=0; i < argc_new; i++)
1053 : : {
1054 [ + - ]: 82 : if(argv_new[i] == NULL)
1055 : : break;
1056 : : else
1057 : 82 : free(argv_new[i]);
1058 : : }
1059 : :
1060 [ + + ]: 3 : if(args_broken)
1061 : : return 0;
1062 : :
1063 : 2 : return 1;
1064 : : }
1065 : :
1066 : : static int
1067 : 2348 : get_save_file(char *args_save_file)
1068 : : {
1069 : 2348 : char *homedir = NULL;
1070 : 2348 : int rv = 0;
1071 : :
1072 : : #ifdef WIN32
1073 : : homedir = getenv("USERPROFILE");
1074 : : #else
1075 : 2348 : homedir = getenv("HOME");
1076 : : #endif
1077 [ + + ]: 2348 : if (homedir != NULL) {
1078 : : snprintf(args_save_file, MAX_PATH_LEN, "%s%c%s",
1079 : : homedir, PATH_SEP, ".fwknop.run");
1080 : 2347 : rv = 1;
1081 : : }
1082 : :
1083 : 2348 : return rv;
1084 : : }
1085 : :
1086 : : /* Save our command line arguments
1087 : : */
1088 : : static int
1089 : 78 : save_args(int argc, char **argv, const char * const args_save_file)
1090 : : {
1091 : 78 : char args_str[MAX_LINE_LEN] = {0};
1092 : 78 : int i = 0, args_str_len = 0, args_file_fd = -1;
1093 : :
1094 : 78 : args_file_fd = open(args_save_file, O_WRONLY|O_CREAT|O_TRUNC, S_IRUSR|S_IWUSR);
1095 [ + - ]: 78 : if (args_file_fd == -1) {
1096 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1097 : : args_save_file);
1098 : 0 : return 0;
1099 : : }
1100 : : else {
1101 [ + + ]: 1338 : for (i=0; i < argc; i++) {
1102 : 1261 : args_str_len += strlen(argv[i]);
1103 [ + + ]: 1261 : if (args_str_len >= MAX_PATH_LEN) {
1104 : 1 : log_msg(LOG_VERBOSITY_ERROR, "argument string too long, exiting.");
1105 : 1 : close(args_file_fd);
1106 : 1 : return 0;
1107 : : }
1108 : 1260 : strlcat(args_str, argv[i], sizeof(args_str));
1109 : 1260 : strlcat(args_str, " ", sizeof(args_str));
1110 : : }
1111 : 77 : strlcat(args_str, "\n", sizeof(args_str));
1112 [ - + ]: 77 : if(write(args_file_fd, args_str, strlen(args_str))
1113 : 77 : != strlen(args_str)) {
1114 : 0 : log_msg(LOG_VERBOSITY_WARNING,
1115 : : "warning, did not write expected number of bytes to args save file");
1116 : : }
1117 : 77 : close(args_file_fd);
1118 : : }
1119 : 77 : return 1;
1120 : : }
1121 : :
1122 : : /* Set the SPA packet message type
1123 : : */
1124 : : static int
1125 : 2216 : set_message_type(fko_ctx_t ctx, fko_cli_options_t *options)
1126 : : {
1127 : : short message_type;
1128 : :
1129 [ + + ]: 2216 : if(options->server_command[0] != 0x0)
1130 : : {
1131 : : message_type = FKO_COMMAND_MSG;
1132 : : }
1133 [ + + ]: 2214 : else if(options->nat_local)
1134 : : {
1135 [ + + ]: 11 : if (options->fw_timeout >= 0)
1136 : : message_type = FKO_CLIENT_TIMEOUT_LOCAL_NAT_ACCESS_MSG;
1137 : : else
1138 : 10 : message_type = FKO_LOCAL_NAT_ACCESS_MSG;
1139 : : }
1140 [ + + ]: 2203 : else if(options->nat_access_str[0] != 0x0)
1141 : : {
1142 [ + + ]: 30 : if (options->fw_timeout >= 0)
1143 : : message_type = FKO_CLIENT_TIMEOUT_NAT_ACCESS_MSG;
1144 : : else
1145 : 28 : message_type = FKO_NAT_ACCESS_MSG;
1146 : : }
1147 : : else
1148 : : {
1149 [ + + ]: 2173 : if (options->fw_timeout >= 0)
1150 : : message_type = FKO_CLIENT_TIMEOUT_ACCESS_MSG;
1151 : : else
1152 : 2158 : message_type = FKO_ACCESS_MSG;
1153 : : }
1154 : :
1155 : 2216 : return fko_set_spa_message_type(ctx, message_type);
1156 : : }
1157 : :
1158 : : /* Prompt for and receive a user password.
1159 : : */
1160 : : static int
1161 : 2190 : get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
1162 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len)
1163 : : {
1164 : 2190 : char *key_tmp = NULL, *hmac_key_tmp = NULL;
1165 : 2190 : int use_hmac = 0, res = 0;
1166 : :
1167 : : memset(key, 0x0, MAX_KEY_LEN+1);
1168 : : memset(hmac_key, 0x0, MAX_KEY_LEN+1);
1169 : :
1170 [ + + ]: 2190 : if(options->have_key)
1171 : : {
1172 : 97 : strlcpy(key, options->key, MAX_KEY_LEN+1);
1173 : 97 : *key_len = strlen(key);
1174 : : }
1175 [ + + ]: 2093 : else if(options->have_base64_key)
1176 : : {
1177 : 154 : *key_len = fko_base64_decode(options->key_base64,
1178 : 154 : (unsigned char *) options->key);
1179 [ + + ]: 154 : if(*key_len > 0 && *key_len < MAX_KEY_LEN)
1180 : : {
1181 : 153 : memcpy(key, options->key, *key_len);
1182 : : }
1183 : : else
1184 : : {
1185 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid key length: '%d', must be in [1,%d]",
1186 : : *key_len, MAX_KEY_LEN);
1187 : 1 : return 0;
1188 : : }
1189 : : }
1190 : : else
1191 : : {
1192 : : /* If --get-key file was specified grab the key/password from it.
1193 : : */
1194 [ + + ]: 1939 : if(options->get_key_file[0] != 0x0)
1195 : : {
1196 [ + + ]: 1917 : if(get_key_file(key, key_len, options->get_key_file, ctx, options) != 1)
1197 : : {
1198 : : return 0;
1199 : : }
1200 : : }
1201 [ + + ]: 22 : else if(options->use_gpg)
1202 : : {
1203 [ - + ]: 14 : if(options->use_gpg_agent)
1204 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
1205 : : "[+] GPG mode set, signing passphrase acquired via gpg-agent");
1206 [ + + ]: 14 : else if(options->gpg_no_signing_pw)
1207 : 13 : log_msg(LOG_VERBOSITY_NORMAL,
1208 : : "[+] GPG mode set, signing passphrase not required");
1209 [ + - ]: 1 : else if(strlen(options->gpg_signer_key))
1210 : : {
1211 : 1 : key_tmp = getpasswd("Enter passphrase for signing: ", options->input_fd);
1212 [ - + ]: 1 : if(key_tmp == NULL)
1213 : : {
1214 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1215 : 0 : return 0;
1216 : : }
1217 : 1 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1218 : 1 : *key_len = strlen(key);
1219 : : }
1220 : : }
1221 : : else
1222 : : {
1223 : 8 : key_tmp = getpasswd("Enter encryption key: ", options->input_fd);
1224 : :
1225 [ + + ]: 8 : if(key_tmp == NULL)
1226 : : {
1227 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1228 : 1 : return 0;
1229 : : }
1230 : 7 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1231 : 7 : *key_len = strlen(key);
1232 : : }
1233 : : }
1234 : :
1235 [ + + ]: 2152 : if(options->have_hmac_key)
1236 : : {
1237 : 34 : strlcpy(hmac_key, options->hmac_key, MAX_KEY_LEN+1);
1238 : 34 : *hmac_key_len = strlen(hmac_key);
1239 : 34 : use_hmac = 1;
1240 : : }
1241 [ + + ]: 2118 : else if(options->have_hmac_base64_key)
1242 : : {
1243 : 164 : *hmac_key_len = fko_base64_decode(options->hmac_key_base64,
1244 : 164 : (unsigned char *) options->hmac_key);
1245 [ + + ]: 164 : if(*hmac_key_len > MAX_KEY_LEN || *hmac_key_len < 0)
1246 : : {
1247 : 2 : log_msg(LOG_VERBOSITY_ERROR,
1248 : : "[*] Invalid decoded key length: '%d', must be in [0,%d]",
1249 : : *hmac_key_len, MAX_KEY_LEN);
1250 : 2 : return 0;
1251 : : }
1252 : 162 : memcpy(hmac_key, options->hmac_key, *hmac_key_len);
1253 : 162 : use_hmac = 1;
1254 : : }
1255 [ + + ]: 1954 : else if (options->use_hmac)
1256 : : {
1257 : : /* If --get-key file was specified grab the key/password from it.
1258 : : */
1259 [ + + ]: 5 : if(options->get_hmac_key_file[0] != 0x0)
1260 : : {
1261 [ + + ]: 2 : if(get_key_file(hmac_key, hmac_key_len,
1262 : 2 : options->get_hmac_key_file, ctx, options) != 1)
1263 : : {
1264 : : return 0;
1265 : : }
1266 : : use_hmac = 1;
1267 : : }
1268 : : else
1269 : : {
1270 : 3 : hmac_key_tmp = getpasswd("Enter HMAC key: ", options->input_fd);
1271 : :
1272 [ - + ]: 3 : if(hmac_key_tmp == NULL)
1273 : : {
1274 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1275 : 0 : return 0;
1276 : : }
1277 : :
1278 : 3 : strlcpy(hmac_key, hmac_key_tmp, MAX_KEY_LEN+1);
1279 : 3 : *hmac_key_len = strlen(hmac_key);
1280 : 3 : use_hmac = 1;
1281 : : }
1282 : : }
1283 : :
1284 [ + + ]: 2149 : if (use_hmac)
1285 : : {
1286 [ - + ]: 200 : if(*hmac_key_len < 0 || *hmac_key_len > MAX_KEY_LEN)
1287 : : {
1288 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid HMAC key length: '%d', must be in [0,%d]",
1289 : : *hmac_key_len, MAX_KEY_LEN);
1290 : 0 : return 0;
1291 : : }
1292 : :
1293 : : /* Make sure the same key is not used for both encryption and the HMAC
1294 : : */
1295 [ + + ]: 200 : if(*hmac_key_len == *key_len)
1296 : : {
1297 [ + + ]: 31 : if(memcmp(hmac_key, key, *key_len) == 0)
1298 : : {
1299 : 1 : log_msg(LOG_VERBOSITY_ERROR,
1300 : : "[*] The encryption passphrase and HMAC key should not be identical, no SPA packet sent. Exiting.");
1301 : 1 : return 0;
1302 : : }
1303 : : }
1304 : :
1305 : 199 : res = fko_set_spa_hmac_type(ctx, options->hmac_type);
1306 [ - + ]: 199 : if(res != FKO_SUCCESS)
1307 : : {
1308 : 0 : errmsg("fko_set_spa_hmac_type", res);
1309 : 0 : return 0;
1310 : : }
1311 : : }
1312 : :
1313 : : return 1;
1314 : : }
1315 : :
1316 : : /* Display an FKO error message.
1317 : : */
1318 : : void
1319 : 366 : errmsg(const char *msg, const int err) {
1320 : 366 : log_msg(LOG_VERBOSITY_ERROR, "%s: %s: Error %i - %s",
1321 : : MY_NAME, msg, err, fko_errstr(err));
1322 : 366 : }
1323 : :
1324 : : static void
1325 : 23550 : zero_buf_wrapper(char *buf, int len)
1326 : : {
1327 : :
1328 [ + + ]: 23550 : if(buf == NULL || len == 0)
1329 : : return;
1330 : :
1331 [ - + ]: 21180 : if(zero_buf(buf, len) == FKO_ERROR_ZERO_OUT_DATA)
1332 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1333 : : "[*] Could not zero out sensitive data buffer.");
1334 : :
1335 : : return;
1336 : : }
1337 : :
1338 : : #if HAVE_LIBFIU
1339 : : static void
1340 : 2356 : enable_fault_injections(fko_cli_options_t * const opts)
1341 : : {
1342 [ + + ]: 2356 : if(opts->fault_injection_tag[0] != 0x0)
1343 : : {
1344 : 30 : fiu_init(0);
1345 : 30 : fiu_enable(opts->fault_injection_tag, 1, NULL, 0);
1346 : : }
1347 : 2356 : return;
1348 : : }
1349 : : #endif
1350 : :
1351 : : /* free up memory and exit
1352 : : */
1353 : : static void
1354 : 2355 : clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
1355 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
1356 : : unsigned int exit_status)
1357 : : {
1358 : : #if HAVE_LIBFIU
1359 [ + + ]: 2355 : if(opts->fault_injection_tag[0] != 0x0)
1360 : 30 : fiu_disable(opts->fault_injection_tag);
1361 : : #endif
1362 : :
1363 [ - + ]: 2355 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
1364 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1365 : : "[*] Could not zero out sensitive data buffer.");
1366 : 2355 : ctx = NULL;
1367 : 2355 : free_configs(opts);
1368 : 2355 : zero_buf_wrapper(key, *key_len);
1369 : 2355 : zero_buf_wrapper(hmac_key, *hmac_key_len);
1370 : 2355 : *key_len = 0;
1371 : 2355 : *hmac_key_len = 0;
1372 : 2355 : exit(exit_status);
1373 : : }
1374 : :
1375 : : /***EOF***/
|
