src/afs/afs_osi_pag.c

   1 /*
   2  * Copyright 2000, International Business Machines Corporation and others.
   3  * All Rights Reserved.
   4  *
   5  * This software has been released under the terms of the IBM Public
   6  * License.  For details, see the LICENSE file in the top-level source
   7  * directory or online at http://www.openafs.org/dl/license10.html
   8  */
   9
  10 /*
  11  * Implements:
  12  * genpag
  13  * getpag
  14  * afs_setpag
  15  * AddPag
  16  * afs_InitReq
  17  * afs_get_pag_from_groups
  18  * afs_get_groups_from_pag
  19  * PagInCred
  20  */
  21
  22 #include <afsconfig.h>
  23 #include "afs/param.h"
  24
  25
  26 #include "afs/sysincludes.h"    /* Standard vendor system headers */
  27 #include "afsincludes.h"        /* Afs-based standard headers */
  28 #include "afs/afs_stats.h"      /* statistics */
  29 #include "afs/afs_cbqueue.h"
  30 #include "afs/nfsclient.h"
  31 #include "afs/afs_osidnlc.h"
  32
  33
  34 /* Imported variables */
  35 extern int afs_shuttingdown;
  36
  37 /* Exported variables */
  38 afs_uint32 pag_epoch;
  39 #if defined(UKERNEL) && defined(AFS_WEB_ENHANCEMENTS)
  40 afs_uint32 pagCounter = 1;
  41 #else
  42 afs_uint32 pagCounter = 0;
  43 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
  44
  45 #ifdef AFS_LINUX26_ONEGROUP_ENV
  46 #define NUMPAGGROUPS 1
  47 #else
  48 #define NUMPAGGROUPS 2
  49 #endif
  50 /* Local variables */
  51
  52 /*
  53  * Pags are implemented as follows: the set of groups whose long
  54  * representation is '41XXXXXX' hex are used to represent the pags.
  55  * Being a member of such a group means you are authenticated as pag
  56  * XXXXXX (0x41 == 'A', for Andrew).  You are never authenticated as
  57  * multiple pags at once.
  58  *
  59  * The function afs_InitReq takes a credential field and formats the
  60  * corresponding venus request structure.  The uid field in the
  61  * vrequest structure is set to the *pag* you are authenticated as, or
  62  * the uid, if you aren't authenticated with a pag.
  63  *
  64  * The basic motivation behind pags is this: just because your unix
  65  * uid is N doesn't mean that you should have the same privileges as
  66  * anyone logged in on the machine as user N, since this would enable
  67  * the superuser on the machine to sneak in and make use of anyone's
  68  * authentication info, even that which is only accidentally left
  69  * behind when someone leaves a public workstation.
  70  *
  71  * AFS doesn't use the unix uid for anything except
  72  * a handle with which to find the actual authentication tokens
  73  * anyway, so the pag is an alternative handle which is somewhat more
  74  * secure (although of course not absolutely secure).
  75 */
  76 #if !defined(UKERNEL) || !defined(AFS_WEB_ENHANCEMENTS)
  77 afs_uint32
  78 genpag(void)
  79 {
  80     AFS_STATCNT(genpag);
  81 #ifdef AFS_LINUX20_ENV
  82     /* Ensure unique PAG's (mod 200 days) when reloading the client. */
  83     return (('A' << 24) + ((pag_epoch + pagCounter++) & 0xffffff));
  84 #else /* AFS_LINUX20_ENV */
  85     return (('A' << 24) + (pagCounter++ & 0xffffff));
  86 #endif /* AFS_LINUX20_ENV */
  87 }
  88
  89 afs_uint32
  90 getpag(void)
  91 {
  92     AFS_STATCNT(getpag);
  93 #ifdef AFS_LINUX20_ENV
  94     /* Ensure unique PAG's (mod 200 days) when reloading the client. */
  95     return (('A' << 24) + ((pag_epoch + pagCounter) & 0xffffff));
  96 #else
  97     return (('A' << 24) + (pagCounter & 0xffffff));
  98 #endif
  99 }
 100
 101 #else
 102
 103 /* Web enhancement: we don't need to restrict pags to 41XXXXXX since
 104  * we are not sharing the space with anyone.  So we use the full 32 bits. */
 105
 106 afs_uint32
 107 genpag(void)
 108 {
 109     AFS_STATCNT(genpag);
 110 #ifdef AFS_LINUX20_ENV
 111     return (pag_epoch + pagCounter++);
 112 #else
 113     return (pagCounter++);
 114 #endif /* AFS_LINUX20_ENV */
 115 }
 116
 117 afs_uint32
 118 getpag(void)
 119 {
 120     AFS_STATCNT(getpag);
 121 #ifdef AFS_LINUX20_ENV
 122     /* Ensure unique PAG's (mod 200 days) when reloading the client. */
 123     return (pag_epoch + pagCounter);
 124 #else
 125     return (pagCounter);
 126 #endif
 127 }
 128 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
 129
 130 /* used to require 10 seconds between each setpag to guarantee that
 131  * PAGs never wrap - which would be a security hole.  If we presume
 132  * that in ordinary operation, the average rate of PAG allocation
 133  * will not exceed one per second, the 24 bits provided will be
 134  * sufficient for ~200 days.  Unfortunately, if we merely assume that,
 135  * there will be an opportunity for attack.  So we must enforce it.
 136  * If we need to increase the average rate of PAG allocation, we
 137  * should increase the number of bits in a PAG, and/or reduce our
 138  * window in which we guarantee that the PAG counter won't wrap.
 139  * By permitting an average of one new PAG per second, new PAGs can
 140  * be allocated VERY frequently over a short period relative to total uptime.
 141  * Of course, there's only an issue here if one user stays logged (and re-
 142  * activates tokens repeatedly) for that entire period.
 143  */
 144
 145 static int afs_pag_sleepcnt = 0;
 146 static int afs_pag_timewarn = 0;
 147
 148 static int
 149 afs_pag_sleep(afs_ucred_t **acred)
 150 {
 151     int rv = 0;
 152
 153     if (!afs_suser(acred)) {
 154         if(osi_Time() - pag_epoch < pagCounter) {
 155             rv = 1;
 156         }
 157         if (rv && (osi_Time() < pag_epoch)) {
 158             if (!afs_pag_timewarn) {
 159                 afs_pag_timewarn = 1;
 160                 afs_warn("clock went backwards, not PAG throttling");
 161             }
 162             rv = 0;
 163         }
 164     }
 165
 166     return rv;
 167 }
 168
 169 static int
 170 afs_pag_wait(afs_ucred_t **acred)
 171 {
 172     if (afs_pag_sleep(acred)) {
 173         if (!afs_pag_sleepcnt) {
 174             afs_warn("%s() PAG throttling triggered, pid %d... sleeping.  sleepcnt %d\n",
 175                      "afs_pag_wait", osi_getpid(), afs_pag_sleepcnt);
 176         }
 177
 178         afs_pag_sleepcnt++;
 179
 180         do {
 181             /* XXX spins on EINTR */
 182             afs_osi_Wait(1000, (struct afs_osi_WaitHandle *)0, 0);
 183         } while (afs_pag_sleep(acred));
 184
 185         afs_pag_sleepcnt--;
 186     }
 187
 188     return 0;
 189 }
 190
 191 int
 192 #if     defined(AFS_SUN5_ENV)
 193 afs_setpag(afs_ucred_t **credpp)
 194 #elif   defined(AFS_FBSD_ENV)
 195 afs_setpag(struct thread *td, void *args)
 196 #elif  defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
 197 afs_setpag(afs_proc_t *p, void *args, int *retval)
 198 #else
 199 afs_setpag(void)
 200 #endif
 201 {
 202
 203 #if     defined(AFS_SUN5_ENV)
 204     afs_ucred_t **acred = *credpp;
 205 #elif  defined(AFS_OBSD_ENV)
 206     afs_ucred_t **acred = &p->p_ucred;
 207 #else
 208     afs_ucred_t **acred = NULL;
 209 #endif
 210
 211     int code = 0;
 212
 213 #if defined(AFS_SGI53_ENV) && defined(MP)
 214     /* This is our first chance to get the global lock. */
 215     AFS_GLOCK();
 216 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
 217
 218     AFS_STATCNT(afs_setpag);
 219
 220     afs_pag_wait(acred);
 221
 222
 223 #if     defined(AFS_SUN5_ENV)
 224     code = AddPag(genpag(), credpp);
 225 #elif   defined(AFS_FBSD_ENV)
 226     code = AddPag(td, genpag(), &td->td_ucred);
 227 #elif   defined(AFS_XBSD_ENV)
 228     code = AddPag(p, genpag(), &p->p_rcred);
 229 #elif   defined(AFS_AIX41_ENV)
 230     {
 231         struct ucred *credp;
 232         struct ucred *credp0;
 233
 234         credp = crref();
 235         credp0 = credp;
 236         code = AddPag(genpag(), &credp);
 237         /* If AddPag() didn't make a new cred, then free our cred ref */
 238         if (credp == credp0) {
 239             crfree(credp);
 240         }
 241     }
 242 #elif   defined(AFS_HPUX110_ENV)
 243     {
 244         struct ucred *credp = p_cred(u.u_procp);
 245         code = AddPag(genpag(), &credp);
 246     }
 247 #elif   defined(AFS_SGI_ENV)
 248     {
 249         cred_t *credp;
 250         credp = OSI_GET_CURRENT_CRED();
 251         code = AddPag(genpag(), &credp);
 252     }
 253 #elif   defined(AFS_LINUX20_ENV)
 254     {
 255         afs_ucred_t *credp = crref();
 256         code = AddPag(genpag(), &credp);
 257         crfree(credp);
 258     }
 259 #elif defined(AFS_DARWIN80_ENV)
 260     {
 261         afs_ucred_t *credp = kauth_cred_proc_ref(p);
 262         code = AddPag(p, genpag(), &credp);
 263         crfree(credp);
 264     }
 265 #elif defined(AFS_DARWIN_ENV)
 266     {
 267         afs_ucred_t *credp = crdup(p->p_cred->pc_ucred);
 268         code = AddPag(p, genpag(), &credp);
 269         crfree(credp);
 270     }
 271 #elif defined(UKERNEL)
 272     code = AddPag(genpag(), &(get_user_struct()->u_cred));
 273 #else
 274     code = AddPag(genpag(), &u.u_cred);
 275 #endif
 276
 277     afs_Trace1(afs_iclSetp, CM_TRACE_SETPAG, ICL_TYPE_INT32, code);
 278
 279 #if defined(KERNEL_HAVE_UERROR)
 280     if (!getuerror())
 281         setuerror(code);
 282 #endif
 283
 284 #if defined(AFS_SGI53_ENV) && defined(MP)
 285     AFS_GUNLOCK();
 286 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
 287
 288     return (code);
 289 }
 290
 291 #if defined(UKERNEL) && defined(AFS_WEB_ENHANCEMENTS)
 292 /*
 293  * afs_setpag_val
 294  * This function is like setpag but sets the current thread's pag id to a
 295  * caller-provided value instead of calling genpag().  This implements a
 296  * form of token caching since the caller can recall a particular pag value
 297  * for the thread to restore tokens, rather than reauthenticating.
 298  */
 299 int
 300 #if     defined(AFS_SUN5_ENV)
 301 afs_setpag_val(afs_ucred_t **credpp, int pagval)
 302 #elif   defined(AFS_FBSD_ENV)
 303 afs_setpag_val(struct thread *td, void *args, int pagval)
 304 #elif  defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
 305 afs_setpag_val(afs_proc_t *p, void *args, int *retval, int pagval)
 306 #else
 307 afs_setpag_val(int pagval)
 308 #endif
 309 {
 310
 311 #if     defined(AFS_SUN5_ENV)
 312     afs_ucred_t **acred = *credp;
 313 #elif  defined(AFS_OBSD_ENV)
 314     afs_ucred_t **acred = &p->p_ucred;
 315 #else
 316     afs_ucred_t **acred = NULL;
 317 #endif
 318
 319     int code = 0;
 320
 321 #if defined(AFS_SGI53_ENV) && defined(MP)
 322     /* This is our first chance to get the global lock. */
 323     AFS_GLOCK();
 324 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
 325
 326     AFS_STATCNT(afs_setpag);
 327
 328     afs_pag_wait(acred);
 329
 330 #if     defined(AFS_SUN5_ENV)
 331     code = AddPag(pagval, credpp);
 332 #elif   defined(AFS_FBSD_ENV)
 333     code = AddPag(td, pagval, &td->td_ucred);
 334 #elif   defined(AFS_XBSD_ENV)
 335     code = AddPag(p, pagval, &p->p_rcred);
 336 #elif   defined(AFS_AIX41_ENV)
 337     {
 338         struct ucred *credp;
 339         struct ucred *credp0;
 340
 341         credp = crref();
 342         credp0 = credp;
 343         code = AddPag(pagval, &credp);
 344         /* If AddPag() didn't make a new cred, then free our cred ref */
 345         if (credp == credp0) {
 346             crfree(credp);
 347         }
 348     }
 349 #elif   defined(AFS_HPUX110_ENV)
 350     {
 351         struct ucred *credp = p_cred(u.u_procp);
 352         code = AddPag(pagval, &credp);
 353     }
 354 #elif   defined(AFS_SGI_ENV)
 355     {
 356         cred_t *credp;
 357         credp = OSI_GET_CURRENT_CRED();
 358         code = AddPag(pagval, &credp);
 359     }
 360 #elif   defined(AFS_LINUX20_ENV)
 361     {
 362         afs_ucred_t *credp = crref();
 363         code = AddPag(pagval, &credp);
 364         crfree(credp);
 365     }
 366 #elif defined(AFS_DARWIN_ENV)
 367     {
 368         struct ucred *credp = crdup(p->p_cred->pc_ucred);
 369         code = AddPag(p, pagval, &credp);
 370         crfree(credp);
 371     }
 372 #elif defined(UKERNEL)
 373     code = AddPag(pagval, &(get_user_struct()->u_cred));
 374 #else
 375     code = AddPag(pagval, &u.u_cred);
 376 #endif
 377
 378     afs_Trace1(afs_iclSetp, CM_TRACE_SETPAG, ICL_TYPE_INT32, code);
 379 #if defined(KERNEL_HAVE_UERROR)
 380     if (!getuerror())
 381         setuerror(code);
 382 #endif
 383 #if defined(AFS_SGI53_ENV) && defined(MP)
 384     AFS_GUNLOCK();
 385 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
 386     return (code);
 387 }
 388
 389 #ifndef AFS_LINUX26_ONEGROUP_ENV
 390 int
 391 afs_getpag_val(void)
 392 {
 393     int pagvalue;
 394 #ifdef UKERNEL
 395     afs_ucred_t *credp = get_user_struct()->u_cred;
 396 #else
 397     afs_ucred_t *credp = u.u_cred;
 398 #endif
 399     gid_t gidset0, gidset1;
 400 #ifdef AFS_SUN510_ENV
 401     const gid_t *gids;
 402
 403     gids = crgetgroups(*credp);
 404     gidset0 = gids[0];
 405     gidset1 = gids[1];
 406 #else
 407     gidset0 = credp->cr_groups[0];
 408     gidset1 = credp->cr_groups[1];
 409 #endif
 410     pagvalue = afs_get_pag_from_groups(gidset0, gidset1);
 411     return pagvalue;
 412 }
 413 #endif
 414 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
 415
 416
 417 /* Note - needs to be available on AIX, others can be static - rework this */
 418 int
 419 #if defined(AFS_FBSD_ENV)
 420 AddPag(struct thread *p, afs_int32 aval, afs_ucred_t **credpp)
 421 #elif defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
 422 AddPag(afs_proc_t *p, afs_int32 aval, afs_ucred_t **credpp)
 423 #else
 424 AddPag(afs_int32 aval, afs_ucred_t **credpp)
 425 #endif
 426 {
 427     afs_int32 code;
 428     afs_uint32 newpag;
 429
 430     AFS_STATCNT(AddPag);
 431 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
 432     if ((code = setpag(p, credpp, aval, &newpag, 0)))
 433 #else
 434     if ((code = setpag(credpp, aval, &newpag, 0)))
 435 #endif
 436 #if defined(KERNEL_HAVE_UERROR)
 437         return (setuerror(code), code);
 438 #else
 439         return (code);
 440 #endif
 441     return 0;
 442 }
 443
 444
 445 int
 446 afs_InitReq(register struct vrequest *av, afs_ucred_t *acred)
 447 {
 448 #if defined(AFS_LINUX26_ENV) && !defined(AFS_NONFSTRANS)
 449     int code;
 450 #endif
 451
 452     AFS_STATCNT(afs_InitReq);
 453     memset(av, 0, sizeof(*av));
 454     if (afs_shuttingdown)
 455         return EIO;
 456
 457 #ifdef AFS_LINUX26_ENV
 458 #if !defined(AFS_NONFSTRANS)
 459     if (osi_linux_nfs_initreq(av, acred, &code))
 460         return code;
 461 #endif
 462 #endif
 463
 464     av->uid = PagInCred(acred);
 465     if (av->uid == NOPAG) {
 466         /* Afs doesn't use the unix uid for anuthing except a handle
 467          * with which to find the actual authentication tokens so I
 468          * think it's ok to use the real uid to make setuid
 469          * programs (without setpag) to work properly.
 470          */
 471 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
 472         if (acred == NOCRED)
 473             av->uid = -2;       /* XXX nobody... ? */
 474         else
 475             av->uid = afs_cr_uid(acred);        /* bsd creds don't have ruid */
 476 #elif defined(AFS_SUN510_ENV)
 477         av->uid = crgetruid(acred);
 478 #else
 479         av->uid = afs_cr_uid(acred);    /* default when no pag is set */
 480 #endif
 481     }
 482     return 0;
 483 }
 484
 485 #ifndef AFS_LINUX26_ONEGROUP_ENV
 486 afs_uint32
 487 afs_get_pag_from_groups(gid_t g0a, gid_t g1a)
 488 {
 489     afs_uint32 g0 = g0a;
 490     afs_uint32 g1 = g1a;
 491     afs_uint32 h, l, ret;
 492
 493     AFS_STATCNT(afs_get_pag_from_groups);
 494
 495     g0 -= 0x3f00;
 496     g1 -= 0x3f00;
 497     if (g0 < 0xc000 && g1 < 0xc000) {
 498         l = ((g0 & 0x3fff) << 14) | (g1 & 0x3fff);
 499         h = (g0 >> 14);
 500         h = (g1 >> 14) + h + h + h;
 501         ret = ((h << 28) | l);
 502 # if defined(UKERNEL) && defined(AFS_WEB_ENHANCEMENTS)
 503         return ret;
 504 # else
 505         /* Additional testing */
 506         if (((ret >> 24) & 0xff) == 'A')
 507             return ret;
 508 # endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
 509     }
 510     return NOPAG;
 511 }
 512
 513 void
 514 afs_get_groups_from_pag(afs_uint32 pag, gid_t * g0p, gid_t * g1p)
 515 {
 516     unsigned short g0, g1;
 517
 518     AFS_STATCNT(afs_get_groups_from_pag);
 519     *g0p = pag;
 520     *g1p = 0;
 521 # if !defined(UKERNEL) || !defined(AFS_WEB_ENHANCEMENTS)
 522     pag &= 0x7fffffff;
 523 # endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
 524     g0 = 0x3fff & (pag >> 14);
 525     g1 = 0x3fff & pag;
 526     g0 |= ((pag >> 28) / 3) << 14;
 527     g1 |= ((pag >> 28) % 3) << 14;
 528     *g0p = g0 + 0x3f00;
 529     *g1p = g1 + 0x3f00;
 530 }
 531 #else
 532 void afs_get_groups_from_pag(afs_uint32 pag, gid_t *g0p, gid_t *g1p)
 533 {
 534     AFS_STATCNT(afs_get_groups_from_pag);
 535     *g0p = pag;
 536     *g1p = 0;
 537 }
 538 #endif
 539
 540 #ifndef AFS_LINUX26_ENV
 541 static afs_int32
 542 osi_get_group_pag(afs_ucred_t *cred)
 543 {
 544     afs_int32 pag = NOPAG;
 545     gid_t g0, g1;
 546 #if defined(AFS_SUN510_ENV)
 547     const gid_t *gids;
 548     int ngroups;
 549 #endif
 550
 551 #if defined(AFS_SUN510_ENV)
 552     gids = crgetgroups(cred);
 553     ngroups = crgetngroups(cred);
 554 #endif
 555 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
 556     if (cred == NOCRED || cred == FSCRED)
 557         return NOPAG;
 558     if (cred->cr_ngroups < 3)
 559         return NOPAG;
 560     /* gid is stored in cr_groups[0] */
 561     g0 = cred->cr_groups[1];
 562     g1 = cred->cr_groups[2];
 563 #else
 564 # if defined(AFS_AIX_ENV)
 565     if (cred->cr_ngrps < 2)
 566         return NOPAG;
 567 # elif defined(AFS_LINUX26_ENV)
 568     if (afs_cr_group_info(cred)->ngroups < NUMPAGGROUPS)
 569         return NOPAG;
 570 # elif defined(AFS_SGI_ENV) || defined(AFS_SUN5_ENV) || defined(AFS_LINUX20_ENV) || defined(AFS_XBSD_ENV)
 571 #  if defined(AFS_SUN510_ENV)
 572     if (ngroups < 2) {
 573 #  else
 574     if (cred->cr_ngroups < 2) {
 575 #  endif
 576         return NOPAG;
 577     }
 578 # endif
 579 # if defined(AFS_AIX51_ENV)
 580     g0 = cred->cr_groupset.gs_union.un_groups[0];
 581     g1 = cred->cr_groupset.gs_union.un_groups[1];
 582 #elif defined(AFS_SUN510_ENV)
 583     g0 = gids[0];
 584     g1 = gids[1];
 585 #else
 586     g0 = cred->cr_groups[0];
 587     g1 = cred->cr_groups[1];
 588 #endif
 589 #endif
 590     pag = (afs_int32) afs_get_pag_from_groups(g0, g1);
 591     return pag;
 592 }
 593 #endif
 594
 595
 596 afs_int32
 597 PagInCred(afs_ucred_t *cred)
 598 {
 599     afs_int32 pag = NOPAG;
 600
 601     AFS_STATCNT(PagInCred);
 602     if (cred == NULL || cred == afs_osi_credp) {
 603         return NOPAG;
 604     }
 605 #if defined(AFS_LINUX26_ENV) && defined(LINUX_KEYRING_SUPPORT)
 606     /*
 607      * If linux keyrings are in use and we carry the session keyring in our credentials
 608      * structure, they should be the only criteria for determining
 609      * if we're in a PAG.  Groups are updated for legacy reasons only for now,
 610      * and should not be used to infer PAG membership
 611      * With keyrings but no kernel credentials, look at groups first and fall back
 612      * to looking at the keyrings.
 613      */
 614 # if !defined(STRUCT_TASK_HAS_CRED)
 615     pag = osi_get_group_pag(cred);
 616 # endif
 617     if (pag == NOPAG)
 618         pag = osi_get_keyring_pag(cred);
 619 #else
 620     pag = osi_get_group_pag(cred);
 621 #endif
 622     return pag;
 623 }