auth.c

   1 /*
   2  * Copyright (c) 2000 Markus Friedl.  All rights reserved.
   3  *
   4  * Redistribution and use in source and binary forms, with or without
   5  * modification, are permitted provided that the following conditions
   6  * are met:
   7  * 1. Redistributions of source code must retain the above copyright
   8  *    notice, this list of conditions and the following disclaimer.
   9  * 2. Redistributions in binary form must reproduce the above copyright
  10  *    notice, this list of conditions and the following disclaimer in the
  11  *    documentation and/or other materials provided with the distribution.
  12  *
  13  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
  14  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
  15  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
  16  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
  17  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  18  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
  19  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
  20  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
  21  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
  22  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  23  */
  24
  25 #include "includes.h"
  26 RCSID("$OpenBSD: auth.c,v 1.41 2002/03/19 15:31:47 markus Exp $");
  27
  28 #ifdef HAVE_LOGIN_H
  29 #include <login.h>
  30 #endif
  31 #if defined(HAVE_SHADOW_H) && !defined(DISABLE_SHADOW)
  32 #include <shadow.h>
  33 #endif /* defined(HAVE_SHADOW_H) && !defined(DISABLE_SHADOW) */
  34
  35 #ifdef HAVE_LIBGEN_H
  36 #include <libgen.h>
  37 #endif
  38
  39 #include "xmalloc.h"
  40 #include "match.h"
  41 #include "groupaccess.h"
  42 #include "log.h"
  43 #include "servconf.h"
  44 #include "auth.h"
  45 #include "auth-options.h"
  46 #include "canohost.h"
  47 #include "buffer.h"
  48 #include "bufaux.h"
  49 #include "uidswap.h"
  50 #include "tildexpand.h"
  51 #include "misc.h"
  52
  53 /* import */
  54 extern ServerOptions options;
  55
  56 /*
  57  * Check if the user is allowed to log in via ssh. If user is listed
  58  * in DenyUsers or one of user's groups is listed in DenyGroups, false
  59  * will be returned. If AllowUsers isn't empty and user isn't listed
  60  * there, or if AllowGroups isn't empty and one of user's groups isn't
  61  * listed there, false will be returned.
  62  * If the user's shell is not executable, false will be returned.
  63  * Otherwise true is returned.
  64  */
  65 int
  66 allowed_user(struct passwd * pw)
  67 {
  68         struct stat st;
  69         const char *hostname = NULL, *ipaddr = NULL;
  70         char *shell;
  71         int i;
  72 #ifdef WITH_AIXAUTHENTICATE
  73         char *loginmsg;
  74 #endif /* WITH_AIXAUTHENTICATE */
  75 #if !defined(USE_PAM) && defined(HAVE_SHADOW_H) && \
  76         !defined(DISABLE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
  77         struct spwd *spw;
  78
  79         /* Shouldn't be called if pw is NULL, but better safe than sorry... */
  80         if (!pw || !pw->pw_name)
  81                 return 0;
  82
  83 #define DAY             (24L * 60 * 60) /* 1 day in seconds */
  84         spw = getspnam(pw->pw_name);
  85         if (spw != NULL) {
  86                 time_t today = time(NULL) / DAY;
  87                 debug3("allowed_user: today %d sp_expire %d sp_lstchg %d"
  88                     " sp_max %d", (int)today, (int)spw->sp_expire,
  89                     (int)spw->sp_lstchg, (int)spw->sp_max);
  90
  91                 /*
  92                  * We assume account and password expiration occurs the
  93                  * day after the day specified.
  94                  */
  95                 if (spw->sp_expire != -1 && today > spw->sp_expire) {
  96                         log("Account %.100s has expired", pw->pw_name);
  97                         return 0;
  98                 }
  99
 100                 if (spw->sp_lstchg == 0) {
 101                         log("User %.100s password has expired (root forced)",
 102                             pw->pw_name);
 103                         return 0;
 104                 }
 105
 106                 if (spw->sp_max != -1 &&
 107                     today > spw->sp_lstchg + spw->sp_max) {
 108                         log("User %.100s password has expired (password aged)",
 109                             pw->pw_name);
 110                         return 0;
 111                 }
 112         }
 113 #else
 114         /* Shouldn't be called if pw is NULL, but better safe than sorry... */
 115         if (!pw || !pw->pw_name)
 116                 return 0;
 117 #endif
 118
 119         /*
 120          * Get the shell from the password data.  An empty shell field is
 121          * legal, and means /bin/sh.
 122          */
 123         shell = (pw->pw_shell[0] == '\0') ? _PATH_BSHELL : pw->pw_shell;
 124
 125         /* deny if shell does not exists or is not executable */
 126         if (stat(shell, &st) != 0) {
 127                 log("User %.100s not allowed because shell %.100s does not exist",
 128                     pw->pw_name, shell);
 129                 return 0;
 130         }
 131         if (S_ISREG(st.st_mode) == 0 ||
 132             (st.st_mode & (S_IXOTH|S_IXUSR|S_IXGRP)) == 0) {
 133                 log("User %.100s not allowed because shell %.100s is not executable",
 134                     pw->pw_name, shell);
 135                 return 0;
 136         }
 137
 138         if (options.num_deny_users > 0 || options.num_allow_users > 0) {
 139                 hostname = get_canonical_hostname(options.verify_reverse_mapping);
 140                 ipaddr = get_remote_ipaddr();
 141         }
 142
 143         /* Return false if user is listed in DenyUsers */
 144         if (options.num_deny_users > 0) {
 145                 for (i = 0; i < options.num_deny_users; i++)
 146                         if (match_user(pw->pw_name, hostname, ipaddr,
 147                             options.deny_users[i])) {
 148                                 log("User %.100s not allowed because listed in DenyUsers",
 149                                     pw->pw_name);
 150                                 return 0;
 151                         }
 152         }
 153         /* Return false if AllowUsers isn't empty and user isn't listed there */
 154         if (options.num_allow_users > 0) {
 155                 for (i = 0; i < options.num_allow_users; i++)
 156                         if (match_user(pw->pw_name, hostname, ipaddr,
 157                             options.allow_users[i]))
 158                                 break;
 159                 /* i < options.num_allow_users iff we break for loop */
 160                 if (i >= options.num_allow_users) {
 161                         log("User %.100s not allowed because not listed in AllowUsers",
 162                             pw->pw_name);
 163                         return 0;
 164                 }
 165         }
 166         if (options.num_deny_groups > 0 || options.num_allow_groups > 0) {
 167                 /* Get the user's group access list (primary and supplementary) */
 168                 if (ga_init(pw->pw_name, pw->pw_gid) == 0) {
 169                         log("User %.100s not allowed because not in any group",
 170                             pw->pw_name);
 171                         return 0;
 172                 }
 173
 174                 /* Return false if one of user's groups is listed in DenyGroups */
 175                 if (options.num_deny_groups > 0)
 176                         if (ga_match(options.deny_groups,
 177                             options.num_deny_groups)) {
 178                                 ga_free();
 179                                 log("User %.100s not allowed because a group is listed in DenyGroups",
 180                                     pw->pw_name);
 181                                 return 0;
 182                         }
 183                 /*
 184                  * Return false if AllowGroups isn't empty and one of user's groups
 185                  * isn't listed there
 186                  */
 187                 if (options.num_allow_groups > 0)
 188                         if (!ga_match(options.allow_groups,
 189                             options.num_allow_groups)) {
 190                                 ga_free();
 191                                 log("User %.100s not allowed because none of user's groups are listed in AllowGroups",
 192                                     pw->pw_name);
 193                                 return 0;
 194                         }
 195                 ga_free();
 196         }
 197
 198 #ifdef WITH_AIXAUTHENTICATE
 199         if (loginrestrictions(pw->pw_name, S_RLOGIN, NULL, &loginmsg) != 0) {
 200                 if (loginmsg && *loginmsg) {
 201                         /* Remove embedded newlines (if any) */
 202                         char *p;
 203                         for (p = loginmsg; *p; p++) {
 204                                 if (*p == '\n')
 205                                         *p = ' ';
 206                         }
 207                         /* Remove trailing newline */
 208                         *--p = '\0';
 209                         log("Login restricted for %s: %.100s", pw->pw_name, loginmsg);
 210                 }
 211                 return 0;
 212         }
 213 #endif /* WITH_AIXAUTHENTICATE */
 214
 215         /* We found no reason not to let this user try to log on... */
 216         return 1;
 217 }
 218
 219 Authctxt *
 220 authctxt_new(void)
 221 {
 222         Authctxt *authctxt = xmalloc(sizeof(*authctxt));
 223         memset(authctxt, 0, sizeof(*authctxt));
 224         return authctxt;
 225 }
 226
 227 void
 228 auth_log(Authctxt *authctxt, int authenticated, char *method, char *info)
 229 {
 230         void (*authlog) (const char *fmt,...) = verbose;
 231         char *authmsg;
 232
 233         /* Raise logging level */
 234         if (authenticated == 1 ||
 235             !authctxt->valid ||
 236             authctxt->failures >= AUTH_FAIL_LOG ||
 237             strcmp(method, "password") == 0)
 238                 authlog = log;
 239
 240         if (authctxt->postponed)
 241                 authmsg = "Postponed";
 242         else
 243                 authmsg = authenticated ? "Accepted" : "Failed";
 244
 245         authlog("%s %s for %s%.100s from %.200s port %d%s",
 246             authmsg,
 247             method,
 248             authctxt->valid ? "" : "illegal user ",
 249             authctxt->user,
 250             get_remote_ipaddr(),
 251             get_remote_port(),
 252             info);
 253 }
 254
 255 /*
 256  * Check whether root logins are disallowed.
 257  */
 258 int
 259 auth_root_allowed(char *method)
 260 {
 261         switch (options.permit_root_login) {
 262         case PERMIT_YES:
 263                 return 1;
 264                 break;
 265         case PERMIT_NO_PASSWD:
 266                 if (strcmp(method, "password") != 0)
 267                         return 1;
 268                 break;
 269         case PERMIT_FORCED_ONLY:
 270                 if (forced_command) {
 271                         log("Root login accepted for forced command.");
 272                         return 1;
 273                 }
 274                 break;
 275         }
 276         log("ROOT LOGIN REFUSED FROM %.200s", get_remote_ipaddr());
 277         return 0;
 278 }
 279
 280
 281 /*
 282  * Given a template and a passwd structure, build a filename
 283  * by substituting % tokenised options. Currently, %% becomes '%',
 284  * %h becomes the home directory and %u the username.
 285  *
 286  * This returns a buffer allocated by xmalloc.
 287  */
 288 char *
 289 expand_filename(const char *filename, struct passwd *pw)
 290 {
 291         Buffer buffer;
 292         char *file;
 293         const char *cp;
 294
 295         /*
 296          * Build the filename string in the buffer by making the appropriate
 297          * substitutions to the given file name.
 298          */
 299         buffer_init(&buffer);
 300         for (cp = filename; *cp; cp++) {
 301                 if (cp[0] == '%' && cp[1] == '%') {
 302                         buffer_append(&buffer, "%", 1);
 303                         cp++;
 304                         continue;
 305                 }
 306                 if (cp[0] == '%' && cp[1] == 'h') {
 307                         buffer_append(&buffer, pw->pw_dir, strlen(pw->pw_dir));
 308                         cp++;
 309                         continue;
 310                 }
 311                 if (cp[0] == '%' && cp[1] == 'u') {
 312                         buffer_append(&buffer, pw->pw_name,
 313                             strlen(pw->pw_name));
 314                         cp++;
 315                         continue;
 316                 }
 317                 buffer_append(&buffer, cp, 1);
 318         }
 319         buffer_append(&buffer, "\0", 1);
 320
 321         /*
 322          * Ensure that filename starts anchored. If not, be backward
 323          * compatible and prepend the '%h/'
 324          */
 325         file = xmalloc(MAXPATHLEN);
 326         cp = buffer_ptr(&buffer);
 327         if (*cp != '/')
 328                 snprintf(file, MAXPATHLEN, "%s/%s", pw->pw_dir, cp);
 329         else
 330                 strlcpy(file, cp, MAXPATHLEN);
 331
 332         buffer_free(&buffer);
 333         return file;
 334 }
 335
 336 char *
 337 authorized_keys_file(struct passwd *pw)
 338 {
 339         return expand_filename(options.authorized_keys_file, pw);
 340 }
 341
 342 char *
 343 authorized_keys_file2(struct passwd *pw)
 344 {
 345         return expand_filename(options.authorized_keys_file2, pw);
 346 }
 347
 348 /* return ok if key exists in sysfile or userfile */
 349 HostStatus
 350 check_key_in_hostfiles(struct passwd *pw, Key *key, const char *host,
 351     const char *sysfile, const char *userfile)
 352 {
 353         Key *found;
 354         char *user_hostfile;
 355         struct stat st;
 356         HostStatus host_status;
 357
 358         /* Check if we know the host and its host key. */
 359         found = key_new(key->type);
 360         host_status = check_host_in_hostfile(sysfile, host, key, found, NULL);
 361
 362         if (host_status != HOST_OK && userfile != NULL) {
 363                 user_hostfile = tilde_expand_filename(userfile, pw->pw_uid);
 364                 if (options.strict_modes &&
 365                     (stat(user_hostfile, &st) == 0) &&
 366                     ((st.st_uid != 0 && st.st_uid != pw->pw_uid) ||
 367                     (st.st_mode & 022) != 0)) {
 368                         log("Authentication refused for %.100s: "
 369                             "bad owner or modes for %.200s",
 370                             pw->pw_name, user_hostfile);
 371                 } else {
 372                         temporarily_use_uid(pw);
 373                         host_status = check_host_in_hostfile(user_hostfile,
 374                             host, key, found, NULL);
 375                         restore_uid();
 376                 }
 377                 xfree(user_hostfile);
 378         }
 379         key_free(found);
 380
 381         debug2("check_key_in_hostfiles: key %s for %s", host_status == HOST_OK ?
 382             "ok" : "not found", host);
 383         return host_status;
 384 }
 385
 386
 387 /*
 388  * Check a given file for security. This is defined as all components
 389  * of the path to the file must either be owned by either the owner of
 390  * of the file or root and no directories must be group or world writable.
 391  *
 392  * XXX Should any specific check be done for sym links ?
 393  *
 394  * Takes an open file descriptor, the file name, a uid and and
 395  * error buffer plus max size as arguments.
 396  *
 397  * Returns 0 on success and -1 on failure
 398  */
 399 int
 400 secure_filename(FILE *f, const char *file, struct passwd *pw,
 401     char *err, size_t errlen)
 402 {
 403         uid_t uid = pw->pw_uid;
 404         char buf[MAXPATHLEN], homedir[MAXPATHLEN];
 405         char *cp;
 406         struct stat st;
 407
 408         if (realpath(file, buf) == NULL) {
 409                 snprintf(err, errlen, "realpath %s failed: %s", file,
 410                     strerror(errno));
 411                 return -1;
 412         }
 413         if (realpath(pw->pw_dir, homedir) == NULL) {
 414                 snprintf(err, errlen, "realpath %s failed: %s", pw->pw_dir,
 415                     strerror(errno));
 416                 return -1;
 417         }
 418
 419         /* check the open file to avoid races */
 420         if (fstat(fileno(f), &st) < 0 ||
 421             (st.st_uid != 0 && st.st_uid != uid) ||
 422             (st.st_mode & 022) != 0) {
 423                 snprintf(err, errlen, "bad ownership or modes for file %s",
 424                     buf);
 425                 return -1;
 426         }
 427
 428         /* for each component of the canonical path, walking upwards */
 429         for (;;) {
 430                 if ((cp = dirname(buf)) == NULL) {
 431                         snprintf(err, errlen, "dirname() failed");
 432                         return -1;
 433                 }
 434                 strlcpy(buf, cp, sizeof(buf));
 435
 436                 debug3("secure_filename: checking '%s'", buf);
 437                 if (stat(buf, &st) < 0 ||
 438                     (st.st_uid != 0 && st.st_uid != uid) ||
 439                     (st.st_mode & 022) != 0) {
 440                         snprintf(err, errlen,
 441                             "bad ownership or modes for directory %s", buf);
 442                         return -1;
 443                 }
 444
 445                 /* If are passed the homedir then we can stop */
 446                 if (strcmp(homedir, buf) == 0) {
 447                         debug3("secure_filename: terminating check at '%s'",
 448                             buf);
 449                         break;
 450                 }
 451                 /*
 452                  * dirname should always complete with a "/" path,
 453                  * but we can be paranoid and check for "." too
 454                  */
 455                 if ((strcmp("/", buf) == 0) || (strcmp(".", buf) == 0))
 456                         break;
 457         }
 458         return 0;
 459 }
 460
 461 struct passwd *
 462 getpwnamallow(const char *user)
 463 {
 464 #ifdef HAVE_LOGIN_CAP
 465         extern login_cap_t *lc;
 466 #ifdef BSD_AUTH
 467         auth_session_t *as;
 468 #endif
 469 #endif
 470         struct passwd *pw;
 471
 472         pw = getpwnam(user);
 473         if (pw == NULL || !allowed_user(pw))
 474                 return (NULL);
 475 #ifdef HAVE_LOGIN_CAP
 476         if ((lc = login_getclass(pw->pw_class)) == NULL) {
 477                 debug("unable to get login class: %s", user);
 478                 return (NULL);
 479         }
 480 #ifdef BSD_AUTH
 481         if ((as = auth_open()) == NULL || auth_setpwd(as, pw) != 0 ||
 482             auth_approval(NULL, lc, pw->pw_name, "ssh") <= 0) {
 483                 debug("Approval failure for %s", user);
 484                 pw = NULL;
 485         }
 486         if (as != NULL)
 487                 auth_close(as);
 488 #endif
 489 #endif
 490         if (pw != NULL)
 491                 return (pwcopy(pw));
 492         return (NULL);
 493 }