src/monkeysphere

   1 #!/bin/bash
   2
   3 # monkeysphere: MonkeySphere client tool
   4 #
   5 # The monkeysphere scripts are written by:
   6 # Jameson Rollins <jrollins@fifthhorseman.net>
   7 #
   8 # They are Copyright 2008, and are all released under the GPL, version 3
   9 # or later.
  10
  11 ########################################################################
  12 PGRM=$(basename $0)
  13
  14 SHARE=${MONKEYSPHERE_SHARE:-"/usr/share/monkeysphere"}
  15 export SHARE
  16 . "${SHARE}/common" || exit 1
  17
  18 # date in UTF format if needed
  19 DATE=$(date -u '+%FT%T')
  20
  21 # unset some environment variables that could screw things up
  22 unset GREP_OPTIONS
  23
  24 # default return code
  25 RETURN=0
  26
  27 # set the file creation mask to be only owner rw
  28 umask 077
  29
  30 ########################################################################
  31 # FUNCTIONS
  32 ########################################################################
  33
  34 usage() {
  35     cat <<EOF
  36 usage: $PGRM <subcommand> [options] [args]
  37 MonkeySphere client tool.
  38
  39 subcommands:
  40  update-known_hosts (k) [HOST]...    update known_hosts file
  41  update-authorized_keys (a)          update authorized_keys file
  42  gen-subkey (g) [KEYID]              generate an authentication subkey
  43    --length (-l) BITS                  key length in bits (2048)
  44    --expire (-e) EXPIRE                date to expire
  45  subkey-to-ssh-agent (s)             store authentication subkey in ssh-agent
  46  help (h,?)                          this help
  47
  48 EOF
  49 }
  50
  51 # generate a subkey with the 'a' usage flags set
  52 gen_subkey(){
  53     local keyLength
  54     local keyExpire
  55     local keyID
  56     local gpgOut
  57     local userID
  58
  59     # set default key parameter values
  60     keyLength=
  61     keyExpire=
  62
  63     # get options
  64     TEMP=$(getopt -o l:e: -l length:,expire: -n "$PGRM" -- "$@")
  65
  66     if [ $? != 0 ] ; then
  67         exit 1
  68     fi
  69
  70     # Note the quotes around `$TEMP': they are essential!
  71     eval set -- "$TEMP"
  72
  73     while true ; do
  74         case "$1" in
  75             -l|--length)
  76                 keyLength="$2"
  77                 shift 2
  78                 ;;
  79             -e|--expire)
  80                 keyExpire="$2"
  81                 shift 2
  82                 ;;
  83             --)
  84                 shift
  85                 ;;
  86             *)
  87                 break
  88                 ;;
  89         esac
  90     done
  91
  92     if [ -z "$1" ] ; then
  93         # find all secret keys
  94         keyID=$(gpg --with-colons --list-secret-keys | grep ^sec | cut -f5 -d:)
  95         # if multiple sec keys exist, fail
  96         if (( $(echo "$keyID" | wc -l) > 1 )) ; then
  97             echo "Multiple secret keys found:"
  98             echo "$keyID"
  99             failure "Please specify which primary key to use."
 100         fi
 101     else
 102         keyID="$1"
 103     fi
 104     if [ -z "$keyID" ] ; then
 105         failure "You have no secret key available.  You should create an OpenPGP
 106 key before joining the monkeysphere. You can do this with:
 107    gpg --gen-key"
 108     fi
 109
 110     # get key output, and fail if not found
 111     gpgOut=$(gpg --quiet --fixed-list-mode --list-secret-keys --with-colons \
 112         "$keyID") || failure
 113
 114     # fail if multiple sec lines are returned, which means the id
 115     # given is not unique
 116     if [ $(echo "$gpgOut" | grep '^sec:' | wc -l) -gt '1' ] ; then
 117         failure "Key ID '$keyID' is not unique."
 118     fi
 119
 120     # prompt if an authentication subkey already exists
 121     if echo "$gpgOut" | egrep "^(sec|ssb):" | cut -d: -f 12 | grep -q a ; then
 122         echo "An authentication subkey already exists for key '$keyID'."
 123         read -p "Are you sure you would like to generate another one? (y/N) " OK; OK=${OK:N}
 124         if [ "${OK/y/Y}" != 'Y' ] ; then
 125             failure "aborting."
 126         fi
 127     fi
 128
 129     # set subkey defaults
 130     # prompt about key expiration if not specified
 131     if [ -z "$keyExpire" ] ; then
 132         cat <<EOF
 133 Please specify how long the key should be valid.
 134          0 = key does not expire
 135       <n>  = key expires in n days
 136       <n>w = key expires in n weeks
 137       <n>m = key expires in n months
 138       <n>y = key expires in n years
 139 EOF
 140         while [ -z "$keyExpire" ] ; do
 141             read -p "Key is valid for? (0) " keyExpire
 142             if ! test_gpg_expire ${keyExpire:=0} ; then
 143                 echo "invalid value"
 144                 unset keyExpire
 145             fi
 146         done
 147     elif ! test_gpg_expire "$keyExpire" ; then
 148         failure "invalid key expiration value '$keyExpire'."
 149     fi
 150
 151     # generate the list of commands that will be passed to edit-key
 152     editCommands=$(cat <<EOF
 153 addkey
 154 7
 155 S
 156 E
 157 A
 158 Q
 159 $keyLength
 160 $keyExpire
 161 save
 162 EOF
 163 )
 164
 165     log "generating subkey..."
 166     fifoDir=$(mktemp -d)
 167     (umask 077 && mkfifo "$fifoDir/pass")
 168     echo "$editCommands" | gpg --passphrase-fd 3 3< "$fifoDir/pass" --expert --command-fd 0 --edit-key "$keyID" &
 169
 170     passphrase_prompt  "Please enter your passphrase for $keyID: " "$fifoDir/pass"
 171
 172     rm -rf "$fifoDir"
 173     wait
 174     log "done."
 175 }
 176
 177 function subkey_to_ssh_agent() {
 178     # try to add all authentication subkeys to the agent:
 179
 180     local authsubkeys
 181     local secretkeys
 182     local subkey
 183     local workingdir
 184     local kname
 185
 186     # get list of secret keys (to work around https://bugs.g10code.com/gnupg/issue945):
 187     secretkeys=$(gpg --list-secret-keys --with-colons --fixed-list-mode --fingerprint | grep '^fpr:' | cut -f10 -d: | awk '{ print "0x" $1 "!" }')
 188
 189     authsubkeys=$(gpg --list-secret-keys --with-colons --fixed-list-mode --fingerprint --fingerprint $secretkeys | cut -f1,5,10,12 -d: | grep -A1 '^ssb:[^:]*::[^:]*a[^:]*$' | grep '^fpr::' | cut -f3 -d: | sort -u)
 190
 191     workingdir=$(mktemp -d)
 192     umask 077
 193     mkfifo "$workingdir/passphrase"
 194
 195     # FIXME: we're currently allowing any other options to get passed
 196     # through to ssh-add.  should we limit it to known ones?  For
 197     # example: -d or -c and/or -t <lifetime>
 198
 199     # FIXME: how do we know if we succeeded or failed?  ssh-add gives
 200     # weird return values under setsid, and if there are more than one
 201
 202     for subkey in $authsubkeys; do
 203         kname="MonkeySphere Key $subkey"
 204
 205         if [ "$1" = '-d' ]; then
 206             # we're removing the subkey:
 207             gpg --export "0x${subkey}!" | openpgp2ssh "$subkey" > "$workingdir/$kname"
 208             (cd "$workingdir" && ssh-add -d "$kname")
 209         else
 210             # we're adding the subkey:
 211             mkfifo "$workingdir/$kname"
 212             gpg --quiet --passphrase-fd 3 3<"$workingdir/passphrase" \
 213                 --export-options export-reset-subkey-passwd,export-minimal,no-export-attributes \
 214                 --export-secret-subkeys "0x${subkey}!" | openpgp2ssh "$subkey" > "$workingdir/$kname" &
 215             (cd "$workingdir" && unset -v DISPLAY && unset -v SSH_ASKPASS && /usr/bin/setsid ssh-add "$@" "$kname" </dev/null )&
 216
 217             passphrase_prompt "Enter passphrase for MonkeySphere Key $subkey: " "$workingdir/passphrase"
 218             wait
 219         fi
 220         rm -f "$workingdir/$kname"
 221     done
 222
 223     rm -rf "$workingdir"
 224 }
 225
 226 ########################################################################
 227 # MAIN
 228 ########################################################################
 229
 230 # unset variables that should be defined only in config file
 231 unset KEYSERVER
 232 unset CHECK_KEYSERVER
 233 unset KNOWN_HOSTS
 234 unset HASH_KNOWN_HOSTS
 235 unset AUTHORIZED_KEYS
 236
 237 # load global config
 238 [ -r "${ETC}/monkeysphere.conf" ] && . "${ETC}/monkeysphere.conf"
 239
 240 # set monkeysphere home directory
 241 MONKEYSPHERE_HOME=${MONKEYSPHERE_HOME:="${HOME}/.config/monkeysphere"}
 242 mkdir -p -m 0700 "$MONKEYSPHERE_HOME"
 243
 244 # load local config
 245 [ -e ${MONKEYSPHERE_CONFIG:="${MONKEYSPHERE_HOME}/monkeysphere.conf"} ] && . "$MONKEYSPHERE_CONFIG"
 246
 247 # set empty config variables with ones from the environment, or from
 248 # config file, or with defaults
 249 GNUPGHOME=${MONKEYSPHERE_GNUPGHOME:=${GNUPGHOME:="${HOME}/.gnupg"}}
 250 KEYSERVER=${MONKEYSPHERE_KEYSERVER:="$KEYSERVER"}
 251 # if keyserver not specified in env or monkeysphere.conf,
 252 # look in gpg.conf
 253 if [ -z "$KEYSERVER" ] ; then
 254     if [ -f "${GNUPGHOME}/gpg.conf" ] ; then
 255         KEYSERVER=$(grep -e "^[[:space:]]*keyserver " "${GNUPGHOME}/gpg.conf" | tail -1 | awk '{ print $2 }')
 256     fi
 257 fi
 258 # if it's still not specified, use the default
 259 KEYSERVER=${KEYSERVER:="subkeys.pgp.net"}
 260 CHECK_KEYSERVER=${MONKEYSPHERE_CHECK_KEYSERVER:=${CHECK_KEYSERVER:="true"}}
 261 KNOWN_HOSTS=${MONKEYSPHERE_KNOWN_HOSTS:=${KNOWN_HOSTS:="${HOME}/.ssh/known_hosts"}}
 262 HASH_KNOWN_HOSTS=${MONKEYSPHERE_HASH_KNOWN_HOSTS:=${HASH_KNOWN_HOSTS:="true"}}
 263 AUTHORIZED_KEYS=${MONKEYSPHERE_AUTHORIZED_KEYS:=${AUTHORIZED_KEYS:="${HOME}/.ssh/authorized_keys"}}
 264
 265 # other variables not in config file
 266 AUTHORIZED_USER_IDS=${MONKEYSPHERE_AUTHORIZED_USER_IDS:="${MONKEYSPHERE_HOME}/authorized_user_ids"}
 267 REQUIRED_HOST_KEY_CAPABILITY=${MONKEYSPHERE_REQUIRED_HOST_KEY_CAPABILITY:="a"}
 268 REQUIRED_USER_KEY_CAPABILITY=${MONKEYSPHERE_REQUIRED_USER_KEY_CAPABILITY:="a"}
 269
 270 # export GNUPGHOME and make sure gpg home exists with proper
 271 # permissions
 272 export GNUPGHOME
 273 mkdir -p -m 0700 "$GNUPGHOME"
 274
 275 # get subcommand
 276 COMMAND="$1"
 277 [ "$COMMAND" ] || failure "Type '$PGRM help' for usage."
 278 shift
 279
 280 case $COMMAND in
 281     'update-known_hosts'|'update-known-hosts'|'k')
 282         MODE='known_hosts'
 283
 284         # check permissions on the known_hosts file path
 285         if ! check_key_file_permissions "$USER" "$KNOWN_HOSTS" ; then
 286             failure "Improper permissions on known_hosts file path."
 287         fi
 288
 289         # if hosts are specified on the command line, process just
 290         # those hosts
 291         if [ "$1" ] ; then
 292             update_known_hosts "$@"
 293             RETURN="$?"
 294
 295         # otherwise, if no hosts are specified, process every host
 296         # in the user's known_hosts file
 297         else
 298             # exit if the known_hosts file does not exist
 299             if [ ! -e "$KNOWN_HOSTS" ] ; then
 300                 log "known_hosts file '$KNOWN_HOSTS' does not exist."
 301                 exit
 302             fi
 303
 304             process_known_hosts
 305             RETURN="$?"
 306         fi
 307         ;;
 308
 309     'update-authorized_keys'|'update-authorized-keys'|'a')
 310         MODE='authorized_keys'
 311
 312         # check permissions on the authorized_user_ids file path
 313         if ! check_key_file_permissions "$USER" "$AUTHORIZED_USER_IDS" ; then
 314             failure "Improper permissions on authorized_user_ids file path."
 315         fi
 316
 317         # check permissions on the authorized_keys file path
 318         if ! check_key_file_permissions "$USER" "$AUTHORIZED_KEYS" ; then
 319             failure "Improper permissions on authorized_keys file path."
 320         fi
 321
 322         # exit if the authorized_user_ids file is empty
 323         if [ ! -e "$AUTHORIZED_USER_IDS" ] ; then
 324             log "authorized_user_ids file '$AUTHORIZED_USER_IDS' does not exist."
 325             exit
 326         fi
 327
 328         # process authorized_user_ids file
 329         process_authorized_user_ids "$AUTHORIZED_USER_IDS"
 330         RETURN="$?"
 331         ;;
 332
 333     'gen-subkey'|'g')
 334         gen_subkey "$@"
 335         ;;
 336
 337     'subkey-to-ssh-agent'|'s')
 338         subkey_to_ssh_agent "$@"
 339         ;;
 340
 341     '--help'|'help'|'-h'|'h'|'?')
 342         usage
 343         ;;
 344
 345     *)
 346         failure "Unknown command: '$COMMAND'
 347 Type '$PGRM help' for usage."
 348         ;;
 349 esac
 350
 351 exit "$RETURN"