support/misc/tcpwrapper.c

   1 /* This is copied from portmap 4.0-29 in RedHat. */
   2
   3  /*
   4   * pmap_check - additional portmap security.
   5   *
   6   * Always reject non-local requests to update the portmapper tables.
   7   *
   8   * Refuse to forward mount requests to the nfs mount daemon. Otherwise, the
   9   * requests would appear to come from the local system, and nfs export
  10   * restrictions could be bypassed.
  11   *
  12   * Refuse to forward requests to the nfsd process.
  13   *
  14   * Refuse to forward requests to NIS (YP) daemons; The only exception is the
  15   * YPPROC_DOMAIN_NONACK broadcast rpc call that is used to establish initial
  16   * contact with the NIS server.
  17   *
  18   * Always allocate an unprivileged port when forwarding a request.
  19   *
  20   * If compiled with -DCHECK_PORT, require that requests to register or
  21   * unregister a privileged port come from a privileged port. This makes it
  22   * more difficult to replace a critical service by a trojan.
  23   *
  24   * If compiled with -DHOSTS_ACCESS, reject requests from hosts that are not
  25   * authorized by the /etc/hosts.{allow,deny} files. The local system is
  26   * always treated as an authorized host. The access control tables are never
  27   * consulted for requests from the local system, and are always consulted
  28   * for requests from other hosts.
  29   *
  30   * Author: Wietse Venema (wietse@wzv.win.tue.nl), dept. of Mathematics and
  31   * Computing Science, Eindhoven University of Technology, The Netherlands.
  32   */
  33
  34 #ifdef HAVE_CONFIG_H
  35 #include <config.h>
  36 #endif
  37 #include <tcpwrapper.h>
  38 #include <unistd.h>
  39 #include <string.h>
  40 #include <rpc/rpc.h>
  41 #include <rpc/pmap_prot.h>
  42 #include <syslog.h>
  43 #include <netdb.h>
  44 #include <pwd.h>
  45 #include <sys/types.h>
  46 #include <sys/signal.h>
  47 #include <sys/queue.h>
  48 #include <sys/stat.h>
  49 #include <tcpd.h>
  50
  51 #include "xlog.h"
  52
  53 #ifdef SYSV40
  54 #include <netinet/in.h>
  55 #include <rpc/rpcent.h>
  56 #endif
  57
  58 static void logit(int severity, struct sockaddr_in *addr,
  59                   u_long procnum, u_long prognum, char *text);
  60 static void toggle_verboselog(int sig);
  61 static int check_files(void);
  62
  63 int     verboselog = 0;
  64 int     allow_severity = LOG_INFO;
  65 int     deny_severity = LOG_WARNING;
  66
  67 /* A handful of macros for "readability". */
  68
  69 #ifdef HAVE_LIBWRAP
  70 /* coming from libwrap.a (tcp_wrappers) */
  71 extern int hosts_ctl(char *daemon, char *name, char *addr, char *user);
  72 #else
  73 int hosts_ctl(char *daemon, char *name, char *addr, char *user)
  74 {
  75         return 0;
  76 }
  77 #endif
  78
  79 #define legal_port(a,p) \
  80   (ntohs((a)->sin_port) < IPPORT_RESERVED || (p) >= IPPORT_RESERVED)
  81
  82 #define log_bad_port(addr, proc, prog) \
  83   logit(deny_severity, addr, proc, prog, ": request from unprivileged port")
  84
  85 #define log_bad_host(addr, proc, prog) \
  86   logit(deny_severity, addr, proc, prog, ": request from unauthorized host")
  87
  88 #define log_bad_owner(addr, proc, prog) \
  89   logit(deny_severity, addr, proc, prog, ": request from non-local host")
  90
  91 #define log_no_forward(addr, proc, prog) \
  92   logit(deny_severity, addr, proc, prog, ": request not forwarded")
  93
  94 #define log_client(addr, proc, prog) \
  95   logit(allow_severity, addr, proc, prog, "")
  96
  97 #define ALLOW 1
  98 #define DENY 0
  99
 100 typedef struct _haccess_t {
 101         TAILQ_ENTRY(_haccess_t) list;
 102         int access;
 103     struct in_addr addr;
 104 } haccess_t;
 105
 106 #define HASH_TABLE_SIZE 1021
 107 typedef struct _hash_head {
 108         TAILQ_HEAD(host_list, _haccess_t) h_head;
 109 } hash_head;
 110 hash_head haccess_tbl[HASH_TABLE_SIZE];
 111 static haccess_t *haccess_lookup(struct sockaddr_in *addr, u_long);
 112 static void haccess_add(struct sockaddr_in *addr, u_long, int);
 113
 114 inline unsigned int strtoint(char *str)
 115 {
 116         unsigned int n = 0;
 117         int len = strlen(str);
 118         int i;
 119
 120         for (i=0; i < len; i++)
 121                 n+=((int)str[i])*i;
 122
 123         return n;
 124 }
 125 static inline int hashint(unsigned int num)
 126 {
 127         return num % HASH_TABLE_SIZE;
 128 }
 129 #define HASH(_addr, _prog) \
 130         hashint((strtoint((_addr))+(_prog)))
 131
 132 void haccess_add(struct sockaddr_in *addr, u_long prog, int access)
 133 {
 134         hash_head *head;
 135         haccess_t *hptr;
 136         int hash;
 137
 138         hptr = (haccess_t *)malloc(sizeof(haccess_t));
 139         if (hptr == NULL)
 140                 return;
 141
 142         hash = HASH(inet_ntoa(addr->sin_addr), prog);
 143         head = &(haccess_tbl[hash]);
 144
 145         hptr->access = access;
 146         hptr->addr.s_addr = addr->sin_addr.s_addr;
 147
 148         if (TAILQ_EMPTY(&head->h_head))
 149                 TAILQ_INSERT_HEAD(&head->h_head, hptr, list);
 150         else
 151                 TAILQ_INSERT_TAIL(&head->h_head, hptr, list);
 152 }
 153 haccess_t *haccess_lookup(struct sockaddr_in *addr, u_long prog)
 154 {
 155         hash_head *head;
 156         haccess_t *hptr;
 157         int hash;
 158
 159         hash = HASH(inet_ntoa(addr->sin_addr), prog);
 160         head = &(haccess_tbl[hash]);
 161
 162         TAILQ_FOREACH(hptr, &head->h_head, list) {
 163                 if (hptr->addr.s_addr == addr->sin_addr.s_addr)
 164                         return hptr;
 165         }
 166         return NULL;
 167 }
 168
 169 int
 170 good_client(daemon, addr)
 171 char *daemon;
 172 struct sockaddr_in *addr;
 173 {
 174         struct request_info req;
 175
 176         request_init(&req, RQ_DAEMON, daemon, RQ_CLIENT_SIN, addr, 0);
 177         sock_methods(&req);
 178
 179         if (hosts_access(&req))
 180                 return ALLOW;
 181
 182         return DENY;
 183 }
 184
 185 /* check_startup - additional startup code */
 186
 187 void    check_startup(void)
 188 {
 189
 190     /*
 191      * Give up root privileges so that we can never allocate a privileged
 192      * port when forwarding an rpc request.
 193      *
 194      * Fix 8/3/00 Philipp Knirsch: First lookup our rpc user. If we find it,
 195      * switch to that uid, otherwise simply resue the old bin user and print
 196      * out a warning in syslog.
 197      */
 198
 199     struct passwd *pwent;
 200
 201     pwent = getpwnam("rpc");
 202     if (pwent == NULL) {
 203         syslog(LOG_WARNING, "user rpc not found, reverting to user bin");
 204         if (setuid(1) == -1) {
 205             syslog(LOG_ERR, "setuid(1) failed: %m");
 206             exit(1);
 207         }
 208     }
 209     else {
 210         if (setuid(pwent->pw_uid) == -1) {
 211             syslog(LOG_WARNING, "setuid() to rpc user failed: %m");
 212             if (setuid(1) == -1) {
 213                 syslog(LOG_ERR, "setuid(1) failed: %m");
 214                 exit(1);
 215             }
 216         }
 217     }
 218
 219     (void) signal(SIGINT, toggle_verboselog);
 220 }
 221
 222 /* check_files - check to see if either access files have changed */
 223
 224 static int check_files()
 225 {
 226         static time_t allow_mtime, deny_mtime;
 227         struct stat astat, dstat;
 228         int changed = 0;
 229
 230         if (stat("/etc/hosts.allow", &astat) < 0)
 231                 astat.st_mtime = 0;
 232         if (stat("/etc/hosts.deny", &dstat) < 0)
 233                 dstat.st_mtime = 0;
 234
 235         if(!astat.st_mtime || !dstat.st_mtime)
 236                 return changed;
 237
 238         if (astat.st_mtime != allow_mtime)
 239                 changed = 1;
 240         else if (dstat.st_mtime != deny_mtime)
 241                 changed = 1;
 242
 243         allow_mtime = astat.st_mtime;
 244         deny_mtime = dstat.st_mtime;
 245
 246         return changed;
 247 }
 248
 249 /* check_default - additional checks for NULL, DUMP, GETPORT and unknown */
 250
 251 int
 252 check_default(daemon, addr, proc, prog)
 253 char *daemon;
 254 struct sockaddr_in *addr;
 255 u_long  proc;
 256 u_long  prog;
 257 {
 258         haccess_t *acc = NULL;
 259         int changed = check_files();
 260
 261         acc = haccess_lookup(addr, prog);
 262         if (acc && changed == 0)
 263                 return (acc->access);
 264
 265         if (!(from_local(addr) || good_client(daemon, addr))) {
 266                 log_bad_host(addr, proc, prog);
 267                 if (acc)
 268                         acc->access = FALSE;
 269                 else
 270                         haccess_add(addr, prog, FALSE);
 271                 return (FALSE);
 272         }
 273         if (verboselog)
 274                 log_client(addr, proc, prog);
 275
 276         if (acc)
 277                 acc->access = TRUE;
 278         else
 279                 haccess_add(addr, prog, TRUE);
 280     return (TRUE);
 281 }
 282
 283 /* check_privileged_port - additional checks for privileged-port updates */
 284 int
 285 check_privileged_port(struct sockaddr_in *addr,
 286                       u_long proc, u_long prog, u_long port)
 287 {
 288 #ifdef CHECK_PORT
 289     if (!legal_port(addr, port)) {
 290         log_bad_port(addr, proc, prog);
 291         return (FALSE);
 292     }
 293 #endif
 294     return (TRUE);
 295 }
 296
 297 /* toggle_verboselog - toggle verbose logging flag */
 298
 299 static void toggle_verboselog(int sig)
 300 {
 301     (void) signal(sig, toggle_verboselog);
 302     verboselog = !verboselog;
 303 }
 304
 305 /* logit - report events of interest via the syslog daemon */
 306
 307 static void logit(int severity, struct sockaddr_in *addr,
 308                   u_long procnum, u_long prognum, char *text)
 309 {
 310     char   *procname;
 311     char    procbuf[16 + 4 * sizeof(u_long)];
 312     char   *progname;
 313     char    progbuf[16 + 4 * sizeof(u_long)];
 314     struct rpcent *rpc;
 315
 316     /*
 317      * Fork off a process or the portmap daemon might hang while
 318      * getrpcbynumber() or syslog() does its thing.
 319      *
 320      * Don't forget to wait for the children, too...
 321      */
 322
 323     if (fork() == 0) {
 324
 325         /* Try to map program number to name. */
 326
 327         if (prognum == 0) {
 328             progname = "";
 329         } else if ((rpc = getrpcbynumber((int) prognum))) {
 330             progname = rpc->r_name;
 331         } else {
 332             snprintf(progname = progbuf, sizeof (progbuf),
 333                      "prog (%lu)", prognum);
 334         }
 335
 336         /* Try to map procedure number to name. */
 337
 338         snprintf(procname = procbuf, sizeof (procbuf),
 339                  "proc (%lu)", (u_long) procnum);
 340
 341         /* Write syslog record. */
 342
 343         syslog(severity, "connect from %s to %s in %s%s",
 344                inet_ntoa(addr->sin_addr), procname, progname, text);
 345         exit(0);
 346     }
 347 }