]> andersk Git - openssh.git/blob - auth2.c
- Remove references to SSLeay.
[openssh.git] / auth2.c
1 /*
2  * Copyright (c) 2000 Markus Friedl.  All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  * 1. Redistributions of source code must retain the above copyright
8  *    notice, this list of conditions and the following disclaimer.
9  * 2. Redistributions in binary form must reproduce the above copyright
10  *    notice, this list of conditions and the following disclaimer in the
11  *    documentation and/or other materials provided with the distribution.
12  * 3. All advertising materials mentioning features or use of this software
13  *    must display the following acknowledgement:
14  *      This product includes software developed by Markus Friedl.
15  * 4. The name of the author may not be used to endorse or promote products
16  *    derived from this software without specific prior written permission.
17  *
18  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
19  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
20  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
21  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
22  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
23  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
24  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
25  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
26  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
27  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
28  */
29 #include "includes.h"
30 RCSID("$OpenBSD: auth2.c,v 1.7 2000/05/06 17:45:36 markus Exp $");
31
32 #include <openssl/dsa.h>
33 #include <openssl/rsa.h>
34 #include <openssl/evp.h>
35
36 #include "xmalloc.h"
37 #include "rsa.h"
38 #include "ssh.h"
39 #include "pty.h"
40 #include "packet.h"
41 #include "buffer.h"
42 #include "cipher.h"
43 #include "servconf.h"
44 #include "compat.h"
45 #include "channels.h"
46 #include "bufaux.h"
47 #include "ssh2.h"
48 #include "auth.h"
49 #include "session.h"
50 #include "dispatch.h"
51 #include "auth.h"
52 #include "key.h"
53 #include "kex.h"
54
55 #include "dsa.h"
56 #include "uidswap.h"
57
58 /* import */
59 extern ServerOptions options;
60 extern unsigned char *session_id2;
61 extern int session_id2_len;
62
63 /* protocol */
64
65 void    input_service_request(int type, int plen);
66 void    input_userauth_request(int type, int plen);
67 void    protocol_error(int type, int plen);
68
69 /* auth */
70 int     ssh2_auth_none(struct passwd *pw);
71 int     ssh2_auth_password(struct passwd *pw);
72 int     ssh2_auth_pubkey(struct passwd *pw, unsigned char *raw, unsigned int rlen);
73
74 /* helper */
75 struct passwd*   auth_set_user(char *u, char *s);
76 int     user_dsa_key_allowed(struct passwd *pw, Key *key);
77
78 typedef struct Authctxt Authctxt;
79 struct Authctxt {
80         char *user;
81         char *service;
82         struct passwd pw;
83         int valid;
84 };
85 static Authctxt *authctxt = NULL;
86 static int userauth_success = 0;
87
88 /*
89  * loop until userauth_success == TRUE
90  */
91
92 void
93 do_authentication2()
94 {
95         /* turn off skey/kerberos, not supported by SSH2 */
96 #ifdef SKEY
97         options.skey_authentication = 0;
98 #endif
99 #ifdef KRB4
100         options.kerberos_authentication = 0;
101 #endif
102
103         dispatch_init(&protocol_error);
104         dispatch_set(SSH2_MSG_SERVICE_REQUEST, &input_service_request);
105         dispatch_run(DISPATCH_BLOCK, &userauth_success);
106         do_authenticated2();
107 }
108
109 void
110 protocol_error(int type, int plen)
111 {
112         log("auth: protocol error: type %d plen %d", type, plen);
113         packet_start(SSH2_MSG_UNIMPLEMENTED);
114         packet_put_int(0);
115         packet_send();
116         packet_write_wait();
117 }
118
119 void
120 input_service_request(int type, int plen)
121 {
122         unsigned int len;
123         int accept = 0;
124         char *service = packet_get_string(&len);
125         packet_done();
126
127         if (strcmp(service, "ssh-userauth") == 0) {
128                 if (!userauth_success) {
129                         accept = 1;
130                         /* now we can handle user-auth requests */
131                         dispatch_set(SSH2_MSG_USERAUTH_REQUEST, &input_userauth_request);
132                 }
133         }
134         /* XXX all other service requests are denied */
135
136         if (accept) {
137                 packet_start(SSH2_MSG_SERVICE_ACCEPT);
138                 packet_put_cstring(service);
139                 packet_send();
140                 packet_write_wait();
141         } else {
142                 debug("bad service request %s", service);
143                 packet_disconnect("bad service request %s", service);
144         }
145         xfree(service);
146 }
147
148 void
149 input_userauth_request(int type, int plen)
150 {
151         static void (*authlog) (const char *fmt,...) = verbose;
152         static int attempt = 0;
153         unsigned int len, rlen;
154         int authenticated = 0;
155         char *raw, *user, *service, *method, *authmsg = NULL;
156         struct passwd *pw;
157
158         if (++attempt == AUTH_FAIL_MAX)
159                 packet_disconnect("too many failed userauth_requests");
160
161         raw = packet_get_raw(&rlen);
162         if (plen != rlen)
163                 fatal("plen != rlen");
164         user = packet_get_string(&len);
165         service = packet_get_string(&len);
166         method = packet_get_string(&len);
167         debug("userauth-request for user %s service %s method %s", user, service, method);
168
169         /* XXX we only allow the ssh-connection service */
170         pw = auth_set_user(user, service);
171         if (pw && strcmp(service, "ssh-connection")==0) {
172                 if (strcmp(method, "none") == 0) {
173                         authenticated = ssh2_auth_none(pw);
174                 } else if (strcmp(method, "password") == 0) {
175                         authenticated = ssh2_auth_password(pw);
176                 } else if (strcmp(method, "publickey") == 0) {
177                         authenticated = ssh2_auth_pubkey(pw, raw, rlen);
178                 }
179         }
180         if (authenticated && pw && pw->pw_uid == 0 && !options.permit_root_login) {
181                 authenticated = 0;
182                 log("ROOT LOGIN REFUSED FROM %.200s",
183                     get_canonical_hostname());
184         }
185
186 #ifdef USE_PAM
187                 if (authenticated && !do_pam_account(pw->pw_name, NULL))
188                         authenticated = 0;
189 #endif /* USE_PAM */
190
191         /* Raise logging level */
192         if (authenticated == 1 ||
193             attempt == AUTH_FAIL_LOG ||
194             strcmp(method, "password") == 0)
195                 authlog = log;
196
197         /* Log before sending the reply */
198         if (authenticated == 1) {
199                 authmsg = "Accepted";
200         } else if (authenticated == 0) {
201                 authmsg = "Failed";
202         } else {
203                 authmsg = "Postponed";
204         }
205         authlog("%s %s for %.200s from %.200s port %d ssh2",
206                 authmsg,
207                 method,
208                 pw && pw->pw_uid == 0 ? "ROOT" : user,
209                 get_remote_ipaddr(),
210                 get_remote_port());
211
212         /* XXX todo: check if multiple auth methods are needed */
213         if (authenticated == 1) {
214                 /* turn off userauth */
215                 dispatch_set(SSH2_MSG_USERAUTH_REQUEST, &protocol_error);
216                 packet_start(SSH2_MSG_USERAUTH_SUCCESS);
217                 packet_send();
218                 packet_write_wait();
219                 /* now we can break out */
220                 userauth_success = 1;
221         } else if (authenticated == 0) {
222                 packet_start(SSH2_MSG_USERAUTH_FAILURE);
223                 packet_put_cstring("publickey,password");       /* XXX dynamic */
224                 packet_put_char(0);                             /* XXX partial success, unused */
225                 packet_send();
226                 packet_write_wait();
227         }
228
229         xfree(service);
230         xfree(user);
231         xfree(method);
232 }
233
234 int
235 ssh2_auth_none(struct passwd *pw)
236 {
237         packet_done();
238 #ifdef USE_PAM
239         return auth_pam_password(pw, "");
240 #else /* USE_PAM */
241         return auth_password(pw, "");
242 #endif /* USE_PAM */
243 }
244 int
245 ssh2_auth_password(struct passwd *pw)
246 {
247         char *password;
248         int authenticated = 0;
249         int change;
250         unsigned int len;
251         change = packet_get_char();
252         if (change)
253                 log("password change not supported");
254         password = packet_get_string(&len);
255         packet_done();
256         if (options.password_authentication &&
257 #ifdef USE_PAM
258             auth_pam_password(pw, password) == 1)
259 #else /* USE_PAM */
260             auth_password(pw, password) == 1)
261 #endif /* USE_PAM */
262                 authenticated = 1;
263         memset(password, 0, len);
264         xfree(password);
265         return authenticated;
266 }
267 int
268 ssh2_auth_pubkey(struct passwd *pw, unsigned char *raw, unsigned int rlen)
269 {
270         Buffer b;
271         Key *key;
272         char *pkalg, *pkblob, *sig;
273         unsigned int alen, blen, slen;
274         int have_sig;
275         int authenticated = 0;
276
277         if (options.dsa_authentication == 0) {
278                 debug("pubkey auth disabled");
279                 return 0;
280         }
281         have_sig = packet_get_char();
282         pkalg = packet_get_string(&alen);
283         if (strcmp(pkalg, KEX_DSS) != 0) {
284                 xfree(pkalg);
285                 log("bad pkalg %s", pkalg);     /*XXX*/
286                 return 0;
287         }
288         pkblob = packet_get_string(&blen);
289         key = dsa_key_from_blob(pkblob, blen);
290         if (key != NULL) {
291                 if (have_sig) {
292                         sig = packet_get_string(&slen);
293                         packet_done();
294                         buffer_init(&b);
295                         buffer_append(&b, session_id2, session_id2_len);
296                         buffer_put_char(&b, SSH2_MSG_USERAUTH_REQUEST);
297                         if (slen + 4 > rlen)
298                                 fatal("bad rlen/slen");
299                         buffer_append(&b, raw, rlen - slen - 4);
300 #ifdef DEBUG_DSS
301                         buffer_dump(&b);
302 #endif
303                         /* test for correct signature */
304                         if (user_dsa_key_allowed(pw, key) &&
305                             dsa_verify(key, sig, slen, buffer_ptr(&b), buffer_len(&b)) == 1)
306                                 authenticated = 1;
307                         buffer_clear(&b);
308                         xfree(sig);
309                 } else {
310                         packet_done();
311                         debug("test key...");
312                         /* test whether pkalg/pkblob are acceptable */
313                         /* XXX fake reply and always send PK_OK ? */
314                         /*
315                          * XXX this allows testing whether a user is allowed
316                          * to login: if you happen to have a valid pubkey this
317                          * message is sent. the message is NEVER sent at all
318                          * if a user is not allowed to login. is this an
319                          * issue? -markus
320                          */
321                         if (user_dsa_key_allowed(pw, key)) {
322                                 packet_start(SSH2_MSG_USERAUTH_PK_OK);
323                                 packet_put_string(pkalg, alen);
324                                 packet_put_string(pkblob, blen);
325                                 packet_send();
326                                 packet_write_wait();
327                                 authenticated = -1;
328                         }
329                 }
330                 key_free(key);
331         }
332         xfree(pkalg);
333         xfree(pkblob);
334         return authenticated;
335 }
336
337 /* set and get current user */
338
339 struct passwd*
340 auth_get_user(void)
341 {
342         return (authctxt != NULL && authctxt->valid) ? &authctxt->pw : NULL;
343 }
344
345 struct passwd*
346 auth_set_user(char *u, char *s)
347 {
348         struct passwd *pw, *copy;
349
350         if (authctxt == NULL) {
351                 authctxt = xmalloc(sizeof(*authctxt));
352                 authctxt->valid = 0;
353                 authctxt->user = xstrdup(u);
354                 authctxt->service = xstrdup(s);
355                 setproctitle("%s", u);
356                 pw = getpwnam(u);
357                 if (!pw || !allowed_user(pw)) {
358                         log("auth_set_user: illegal user %s", u);
359                         return NULL;
360                 }
361 #ifdef USE_PAM
362                 start_pam(pw);
363 #endif
364                 copy = &authctxt->pw;
365                 memset(copy, 0, sizeof(*copy));
366                 copy->pw_name = xstrdup(pw->pw_name);
367                 copy->pw_passwd = xstrdup(pw->pw_passwd);
368                 copy->pw_uid = pw->pw_uid;
369                 copy->pw_gid = pw->pw_gid;
370                 copy->pw_dir = xstrdup(pw->pw_dir);
371                 copy->pw_shell = xstrdup(pw->pw_shell);
372                 authctxt->valid = 1;
373         } else {
374                 if (strcmp(u, authctxt->user) != 0 ||
375                     strcmp(s, authctxt->service) != 0) {
376                         log("auth_set_user: missmatch: (%s,%s)!=(%s,%s)",
377                             u, s, authctxt->user, authctxt->service);
378                         return NULL;
379                 }
380         }
381         return auth_get_user();
382 }
383
384 /* return 1 if user allows given key */
385 int
386 user_dsa_key_allowed(struct passwd *pw, Key *key)
387 {
388         char line[8192], file[1024];
389         int found_key = 0;
390         unsigned int bits = -1;
391         FILE *f;
392         unsigned long linenum = 0;
393         struct stat st;
394         Key *found;
395
396         /* Temporarily use the user's uid. */
397         temporarily_use_uid(pw->pw_uid);
398
399         /* The authorized keys. */
400         snprintf(file, sizeof file, "%.500s/%.100s", pw->pw_dir,
401             SSH_USER_PERMITTED_KEYS2);
402
403         /* Fail quietly if file does not exist */
404         if (stat(file, &st) < 0) {
405                 /* Restore the privileged uid. */
406                 restore_uid();
407                 return 0;
408         }
409         /* Open the file containing the authorized keys. */
410         f = fopen(file, "r");
411         if (!f) {
412                 /* Restore the privileged uid. */
413                 restore_uid();
414                 return 0;
415         }
416         if (options.strict_modes) {
417                 int fail = 0;
418                 char buf[1024];
419                 /* Check open file in order to avoid open/stat races */
420                 if (fstat(fileno(f), &st) < 0 ||
421                     (st.st_uid != 0 && st.st_uid != pw->pw_uid) ||
422                     (st.st_mode & 022) != 0) {
423                         snprintf(buf, sizeof buf, "DSA authentication refused for %.100s: "
424                             "bad ownership or modes for '%s'.", pw->pw_name, file);
425                         fail = 1;
426                 } else {
427                         /* Check path to SSH_USER_PERMITTED_KEYS */
428                         int i;
429                         static const char *check[] = {
430                                 "", SSH_USER_DIR, NULL
431                         };
432                         for (i = 0; check[i]; i++) {
433                                 snprintf(line, sizeof line, "%.500s/%.100s",
434                                     pw->pw_dir, check[i]);
435                                 if (stat(line, &st) < 0 ||
436                                     (st.st_uid != 0 && st.st_uid != pw->pw_uid) ||
437                                     (st.st_mode & 022) != 0) {
438                                         snprintf(buf, sizeof buf,
439                                             "DSA authentication refused for %.100s: "
440                                             "bad ownership or modes for '%s'.",
441                                             pw->pw_name, line);
442                                         fail = 1;
443                                         break;
444                                 }
445                         }
446                 }
447                 if (fail) {
448                         log(buf);
449                         fclose(f);
450                         restore_uid();
451                         return 0;
452                 }
453         }
454         found_key = 0;
455         found = key_new(KEY_DSA);
456
457         while (fgets(line, sizeof(line), f)) {
458                 char *cp;
459                 linenum++;
460                 /* Skip leading whitespace, empty and comment lines. */
461                 for (cp = line; *cp == ' ' || *cp == '\t'; cp++)
462                         ;
463                 if (!*cp || *cp == '\n' || *cp == '#')
464                         continue;
465                 bits = key_read(found, &cp);
466                 if (bits == 0)
467                         continue;
468                 if (key_equal(found, key)) {
469                         found_key = 1;
470                         debug("matching key found: file %s, line %ld",
471                             file, linenum);
472                         break;
473                 }
474         }
475         restore_uid();
476         fclose(f);
477         key_free(found);
478         return found_key;
479 }
This page took 0.07908 seconds and 5 git commands to generate.