nfsidmap: Allow a particular key to be revoked.
authorSteve Dickson <steved@redhat.com>
Thu, 17 Nov 2011 19:39:43 +0000 (14:39 -0500)
committerSteve Dickson <steved@redhat.com>
Mon, 5 Dec 2011 14:43:12 +0000 (09:43 -0500)
Introducing three new command line arguments
that allow particular keys to be revoke

  -u will remove a uid key
  -g will revoke a gid key
  -r will revoke both the uid and gid keys

A user name has also needs to be supply with
these new flags.

Signed-off-by: Steve Dickson <steved@redhat.com>
utils/nfsidmap/nfsidmap.c
utils/nfsidmap/nfsidmap.man

index cec2cb3..c6b730b 100644 (file)
@@ -13,7 +13,7 @@
 #include "xlog.h"
 
 int verbose = 0;
-char *usage="Usage: %s [-v] [-c || [-t timeout] key desc]";
+char *usage="Usage: %s [-v] [-c || [-u|-g|-r key] || [-t timeout] key desc]";
 
 #define MAX_ID_LEN   11
 #define IDMAP_NAMESZ 128
@@ -26,6 +26,9 @@ char *usage="Usage: %s [-v] [-c || [-t timeout] key desc]";
 #endif
 
 
+#define UIDKEYS 0x1
+#define GIDKEYS 0x2
+
 /*
  * Find either a user or group id based on the name@domain string
  */
@@ -137,6 +140,67 @@ static int keyring_clear(char *keyring)
        fclose(fp);
        return 1;
 }
+/*
+ * Revoke a key 
+ */
+static int key_revoke(char *keystr, int keymask)
+{
+       FILE *fp;
+       char buf[BUFSIZ], *ptr;
+       key_serial_t key;
+       int mask;
+
+       xlog_syslog(0);
+
+       if ((fp = fopen(PROCKEYS, "r")) == NULL) {
+               xlog_err("fopen(%s) failed: %m", PROCKEYS);
+               return 1;
+       }
+
+       while(fgets(buf, BUFSIZ, fp) != NULL) {
+               if (strstr(buf, "keyring") != NULL)
+                       continue;
+
+               mask = 0;
+               if ((ptr = strstr(buf, "uid:")) != NULL)
+                       mask = UIDKEYS;
+               else if ((ptr = strstr(buf, "gid:")) != NULL)
+                       mask = GIDKEYS;
+               else 
+                       continue;
+
+               if ((keymask & mask) == 0)
+                       continue;
+
+               if (strncmp(ptr+4, keystr, strlen(keystr)) != NULL)
+                       continue;
+
+               if (verbose) {
+                       *(strchr(buf, '\n')) = '\0';
+                       xlog_warn("revoking '%s'", buf);
+               }
+               /*
+                * The key is the first arugment in the string
+                */
+               *(strchr(buf, ' ')) = '\0';
+               sscanf(buf, "%x", &key);
+
+               if (keyctl_revoke(key) < 0) {
+                       xlog_err("keyctl_revoke(0x%x) failed: %m", key);
+                       fclose(fp);
+                       return 1;
+               }
+
+               keymask &= ~mask;
+               if (keymask == 0) {
+                       fclose(fp);
+                       return 0;
+               }
+       }
+       xlog_err("'%s' key was not found.", keystr);
+       fclose(fp);
+       return 1;
+}
 
 int main(int argc, char **argv)
 {
@@ -146,8 +210,8 @@ int main(int argc, char **argv)
        int rc = 1, opt;
        int timeout = 600;
        key_serial_t key;
-       char *progname;
-       int clearring;
+       char *progname, *keystr = NULL;
+       int clearring, keymask = 0;
 
        /* Set the basename */
        if ((progname = strrchr(argv[0], '/')) != NULL)
@@ -157,8 +221,20 @@ int main(int argc, char **argv)
 
        xlog_open(progname);
 
-       while ((opt = getopt(argc, argv, "ct:v")) != -1) {
+       while ((opt = getopt(argc, argv, "u:g:r:ct:v")) != -1) {
                switch (opt) {
+               case 'u':
+                       keymask = UIDKEYS;
+                       keystr = strdup(optarg);
+                       break;
+               case 'g':
+                       keymask = GIDKEYS;
+                       keystr = strdup(optarg);
+                       break;
+               case 'r':
+                       keymask = GIDKEYS|UIDKEYS;
+                       keystr = strdup(optarg);
+                       break;
                case 'c':
                        clearring++;
                        break;
@@ -174,6 +250,10 @@ int main(int argc, char **argv)
                }
        }
 
+       if (keystr) {
+               rc = key_revoke(keystr, keymask);
+               return rc;              
+       }
        if (clearring) {
                rc = keyring_clear(DEFAULT_KEYRING);
                return rc;              
index 9badb3f..3a3a523 100644 (file)
@@ -9,6 +9,8 @@ nfsidmap \- The NFS idmapper upcall program
 .B "nfsidmap [-v] [-t timeout] key desc"
 .br
 .B "nfsidmap [-v] [-c]"
+.br
+.B "nfsidmap [-v] [-u|-g|-r user]"
 .SH DESCRIPTION
 The file
 .I /usr/sbin/nfsidmap
@@ -20,18 +22,29 @@ is called by /sbin/request-key, and will perform the translation and
 initialize a key with the resulting information.
 .PP
 .I nfsidmap
-can also used to clear the keyring of all the keys.  
-This is useful when all the mappings have failed to due to an DNS outage
-or some other error resulting in all the cached uid/gid to be invalid.
+can also used to clear the keyring of all the keys or 
+revoke one particular key.  
+This is useful when the id mappings have failed to due 
+to a lookup error resulting in all the cached uids/gids to be set 
+to the user id nobody.
 .SH OPTIONS
 .TP
 .B -c 
 Clear the keyring of all the keys.
 .TP
+.B -g user
+Revoke the gid key of the given user.
+.TP
+.B -r user
+Revoke both the uid and gid key of the given user.
+.TP
 .B -t timeout
 Set the expiration timer, in seconds, on the key.
 The default is 600 seconds (10 mins).
 .TP
+.B -u user
+Revoke the uid key of the given user.
+.TP
 .B -v
 Increases the verbosity of the output to syslog 
 (can be specified multiple times).