src/monkeysphere-server

   1 #!/bin/bash
   2
   3 # monkeysphere-server: MonkeySphere server admin tool
   4 #
   5 # The monkeysphere scripts are written by:
   6 # Jameson Rollins <jrollins@fifthhorseman.net>
   7 #
   8 # They are Copyright 2008, and are all released under the GPL, version 3
   9 # or later.
  10
  11 ########################################################################
  12 PGRM=$(basename $0)
  13
  14 SHAREDIR=${SHAREDIR:-"/usr/share/monkeysphere"}
  15 export SHAREDIR
  16 . "${SHAREDIR}/common"
  17
  18 # date in UTF format if needed
  19 DATE=$(date -u '+%FT%T')
  20
  21 # unset some environment variables that could screw things up
  22 GREP_OPTIONS=
  23
  24 ########################################################################
  25 # FUNCTIONS
  26 ########################################################################
  27
  28 usage() {
  29 cat <<EOF
  30 usage: $PGRM <subcommand> [args]
  31 MonkeySphere server admin tool.
  32
  33 subcommands:
  34   update-users (s) [USER]...            update users authorized_keys files
  35   gen-key (g) [HOSTNAME]                generate gpg key for the server
  36   publish-key (p)                       publish server key to keyserver
  37   trust-keys (t) KEYID...               mark keyids as trusted
  38   update-user-userids (u) USER UID...   add/update user IDs for a user
  39   remove-user-userids (r) USER UID...   remove user IDs for a user
  40   help (h,?)                            this help
  41
  42 EOF
  43 }
  44
  45 # generate server gpg key
  46 gen_key() {
  47     local hostName
  48
  49     hostName=${1:-$(hostname --fqdn)}
  50
  51     # set key defaults
  52     KEY_TYPE=${KEY_TYPE:-"RSA"}
  53     KEY_LENGTH=${KEY_LENGTH:-"2048"}
  54     KEY_USAGE=${KEY_USAGE:-"auth,encrypt"}
  55     cat <<EOF
  56 Please specify how long the key should be valid.
  57          0 = key does not expire
  58       <n>  = key expires in n days
  59       <n>w = key expires in n weeks
  60       <n>m = key expires in n months
  61       <n>y = key expires in n years
  62 EOF
  63     read -p "Key is valid for? ($EXPIRE) " EXPIRE; EXPIRE=${EXPIRE:-"0"}
  64
  65     SERVICE=${SERVICE:-"ssh"}
  66     USERID=${USERID:-"$SERVICE"://"$hostName"}
  67
  68     # set key parameters
  69     keyParameters=$(cat <<EOF
  70 Key-Type: $KEY_TYPE
  71 Key-Length: $KEY_LENGTH
  72 Key-Usage: $KEY_USAGE
  73 Name-Real: $USERID
  74 Expire-Date: $EXPIRE
  75 EOF
  76 )
  77
  78     # add the revoker field if requested
  79     if [ "$REVOKER" ] ; then
  80         keyParameters="${keyParameters}"$(cat <<EOF
  81
  82 Revoker: 1:$REVOKER sensitive
  83 EOF
  84 )
  85     fi
  86
  87     echo "The following key parameters will be used:"
  88     echo "$keyParameters"
  89
  90     read -p "generate key? [Y|n]: " OK; OK=${OK:=Y}
  91     if [ ${OK/y/Y} != 'Y' ] ; then
  92         failure "aborting."
  93     fi
  94
  95     if gpg --list-key ="$USERID" > /dev/null 2>&1 ; then
  96         failure "key for '$USERID' already exists"
  97     fi
  98
  99     # add commit command
 100     keyParameters="${keyParameters}"$(cat <<EOF
 101
 102 %commit
 103 %echo done
 104 EOF
 105 )
 106
 107     log -n "generating server key... "
 108     echo "$keyParameters" | gpg --batch --gen-key
 109     echo "done."
 110 }
 111
 112 ########################################################################
 113 # MAIN
 114 ########################################################################
 115
 116 COMMAND="$1"
 117 [ "$COMMAND" ] || failure "Type '$PGRM help' for usage."
 118 shift
 119
 120 # set ms home directory
 121 MS_HOME=${MS_HOME:-"$ETC"}
 122
 123 # load configuration file
 124 MS_CONF=${MS_CONF:-"$MS_HOME"/monkeysphere-server.conf}
 125 [ -e "$MS_CONF" ] && . "$MS_CONF"
 126
 127 # set empty config variable with defaults
 128 GNUPGHOME=${GNUPGHOME:-"${MS_HOME}/gnupg"}
 129 KEYSERVER=${KEYSERVER:-"subkeys.pgp.net"}
 130 REQUIRED_USER_KEY_CAPABILITY=${REQUIRED_USER_KEY_CAPABILITY:-"a"}
 131 USER_CONTROLLED_AUTHORIZED_KEYS=${USER_CONTROLLED_AUTHORIZED_KEYS:-"%h/.ssh/authorized_keys"}
 132
 133 export GNUPGHOME
 134
 135 # make sure gpg home exists with proper permissions
 136 mkdir -p -m 0700 "$GNUPGHOME"
 137
 138 case $COMMAND in
 139     'update-users'|'update-user'|'s')
 140         if [ "$1" ] ; then
 141             unames="$@"
 142         else
 143             unames=$(ls -1 "$MS_HOME"/authorized_user_ids)
 144         fi
 145
 146         for uname in $unames ; do
 147             MODE="authorized_keys"
 148
 149             log "----- user: $uname -----"
 150
 151             # set variables for the user
 152             AUTHORIZED_USER_IDS="$MS_HOME"/authorized_user_ids/"$uname"
 153             msAuthorizedKeys="$CACHE"/"$uname"/authorized_keys
 154             cacheDir="$CACHE"/"$uname"/user_keys
 155
 156             # make sure user's authorized_user_ids file exists
 157             touch "$AUTHORIZED_USER_IDS"
 158
 159             # skip if the user's authorized_user_ids file is empty
 160             if [ ! -s "$AUTHORIZED_USER_IDS" ] ; then
 161                 log "authorized_user_ids file for '$uname' is empty."
 162                 continue
 163             fi
 164
 165             # set user-controlled authorized_keys file path
 166             if [ "$USER_CONTROLLED_AUTHORIZED_KEYS" ] ; then
 167                 userHome=$(getent passwd "$uname" | cut -d: -f6)
 168                 userAuthorizedKeys=${USER_CONTROLLED_AUTHORIZED_KEYS/\%h/"$userHome"}
 169             fi
 170
 171             # update authorized_keys
 172             update_authorized_keys "$msAuthorizedKeys" "$userAuthorizedKeys" "$cacheDir"
 173         done
 174
 175         log "----- done. -----"
 176         ;;
 177
 178     'gen-key'|'g')
 179         gen_key "$1"
 180         ;;
 181
 182     'publish-key'|'p')
 183         publish_server_key
 184         ;;
 185
 186     'trust-keys'|'trust-key'|'t')
 187         if [ -z "$1" ] ; then
 188             failure "You must specify at least one key to trust."
 189         fi
 190
 191         # process key IDs
 192         for keyID ; do
 193             trust_key "$keyID"
 194         done
 195         ;;
 196
 197     'update-user-userids'|'update-user-userid'|'u')
 198         uname="$1"
 199         shift
 200         if [ -z "$uname" ] ; then
 201             failure "You must specify user."
 202         fi
 203         if [ -z "$1" ] ; then
 204             failure "You must specify at least one user ID."
 205         fi
 206
 207         # set variables for the user
 208         AUTHORIZED_USER_IDS="$MS_HOME"/authorized_user_ids/"$uname"
 209         cacheDir="$CACHE"/"$uname"/user_keys
 210
 211         # make sure user's authorized_user_ids file exists
 212         touch "$AUTHORIZED_USER_IDS"
 213
 214         # process the user IDs
 215         for userID ; do
 216             update_userid "$userID" "$cacheDir"
 217         done
 218
 219         log "Run the following to update user's authorized_keys file:"
 220         log "$PGRM update-users $uname"
 221         ;;
 222
 223     'remove-user-userids'|'remove-user-userid'|'r')
 224         uname="$1"
 225         shift
 226         if [ -z "$uname" ] ; then
 227             failure "You must specify user."
 228         fi
 229         if [ -z "$1" ] ; then
 230             failure "You must specify at least one user ID."
 231         fi
 232
 233         # set variables for the user
 234         AUTHORIZED_USER_IDS="$MS_HOME"/authorized_user_ids/"$uname"
 235
 236         # make sure user's authorized_user_ids file exists
 237         touch "$AUTHORIZED_USER_IDS"
 238
 239         # process the user IDs
 240         for userID ; do
 241             remove_userid "$userID"
 242         done
 243
 244         log "Run the following to update user's authorized_keys file:"
 245         log "$PGRM update-users $uname"
 246         ;;
 247
 248     'help'|'h'|'?')
 249         usage
 250         ;;
 251
 252     *)
 253         failure "Unknown command: '$COMMAND'
 254 Type '$PGRM help' for usage."
 255         ;;
 256 esac