kernel/usb4bsd: Remove unused malloc type declaration.
[dragonfly.git] / crypto / openssh / sshd.c
1 /* $OpenBSD: sshd.c,v 1.393 2012/07/10 02:19:15 djm Exp $ */
2 /*
3  * Author: Tatu Ylonen <ylo@cs.hut.fi>
4  * Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
5  *                    All rights reserved
6  * This program is the ssh daemon.  It listens for connections from clients,
7  * and performs authentication, executes use commands or shell, and forwards
8  * information to/from the application to the user client over an encrypted
9  * connection.  This can also handle forwarding of X11, TCP/IP, and
10  * authentication agent connections.
11  *
12  * As far as I am concerned, the code I have written for this software
13  * can be used freely for any purpose.  Any derived versions of this
14  * software must be clearly marked as such, and if the derived work is
15  * incompatible with the protocol description in the RFC file, it must be
16  * called by a name other than "ssh" or "Secure Shell".
17  *
18  * SSH2 implementation:
19  * Privilege Separation:
20  *
21  * Copyright (c) 2000, 2001, 2002 Markus Friedl.  All rights reserved.
22  * Copyright (c) 2002 Niels Provos.  All rights reserved.
23  *
24  * Redistribution and use in source and binary forms, with or without
25  * modification, are permitted provided that the following conditions
26  * are met:
27  * 1. Redistributions of source code must retain the above copyright
28  *    notice, this list of conditions and the following disclaimer.
29  * 2. Redistributions in binary form must reproduce the above copyright
30  *    notice, this list of conditions and the following disclaimer in the
31  *    documentation and/or other materials provided with the distribution.
32  *
33  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
34  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
35  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
36  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
37  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
38  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
39  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
40  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
41  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
42  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
43  */
44
45 #include "includes.h"
46
47 #include <sys/types.h>
48 #include <sys/ioctl.h>
49 #include <sys/socket.h>
50 #ifdef HAVE_SYS_STAT_H
51 # include <sys/stat.h>
52 #endif
53 #ifdef HAVE_SYS_TIME_H
54 # include <sys/time.h>
55 #endif
56 #include "openbsd-compat/sys-tree.h"
57 #include "openbsd-compat/sys-queue.h"
58 #include <sys/wait.h>
59
60 #include <errno.h>
61 #include <fcntl.h>
62 #include <netdb.h>
63 #ifdef HAVE_PATHS_H
64 #include <paths.h>
65 #endif
66 #include <grp.h>
67 #include <pwd.h>
68 #include <signal.h>
69 #include <stdarg.h>
70 #include <stdio.h>
71 #include <stdlib.h>
72 #include <string.h>
73 #include <unistd.h>
74
75 #include <openssl/dh.h>
76 #include <openssl/bn.h>
77 #include <openssl/md5.h>
78 #include <openssl/rand.h>
79 #include "openbsd-compat/openssl-compat.h"
80
81 #ifdef HAVE_SECUREWARE
82 #include <sys/security.h>
83 #include <prot.h>
84 #endif
85
86 #include <resolv.h>
87 #include "xmalloc.h"
88 #include "ssh.h"
89 #include "ssh1.h"
90 #include "ssh2.h"
91 #include "rsa.h"
92 #include "sshpty.h"
93 #include "packet.h"
94 #include "log.h"
95 #include "buffer.h"
96 #include "servconf.h"
97 #include "uidswap.h"
98 #include "compat.h"
99 #include "cipher.h"
100 #include "key.h"
101 #include "kex.h"
102 #include "dh.h"
103 #include "myproposal.h"
104 #include "authfile.h"
105 #include "pathnames.h"
106 #include "atomicio.h"
107 #include "canohost.h"
108 #include "hostfile.h"
109 #include "auth.h"
110 #include "misc.h"
111 #include "msg.h"
112 #include "dispatch.h"
113 #include "channels.h"
114 #include "session.h"
115 #include "monitor_mm.h"
116 #include "monitor.h"
117 #ifdef GSSAPI
118 #include "ssh-gss.h"
119 #endif
120 #include "monitor_wrap.h"
121 #include "roaming.h"
122 #include "ssh-sandbox.h"
123 #include "version.h"
124
125 #ifdef LIBWRAP
126 #include <tcpd.h>
127 #include <syslog.h>
128 int allow_severity;
129 int deny_severity;
130 #endif /* LIBWRAP */
131
132 #ifndef O_NOCTTY
133 #define O_NOCTTY        0
134 #endif
135
136 /* Re-exec fds */
137 #define REEXEC_DEVCRYPTO_RESERVED_FD    (STDERR_FILENO + 1)
138 #define REEXEC_STARTUP_PIPE_FD          (STDERR_FILENO + 2)
139 #define REEXEC_CONFIG_PASS_FD           (STDERR_FILENO + 3)
140 #define REEXEC_MIN_FREE_FD              (STDERR_FILENO + 4)
141
142 int myflag = 0;
143
144
145 extern char *__progname;
146
147 /* Server configuration options. */
148 ServerOptions options;
149
150 /* Name of the server configuration file. */
151 char *config_file_name = _PATH_SERVER_CONFIG_FILE;
152
153 /*
154  * Debug mode flag.  This can be set on the command line.  If debug
155  * mode is enabled, extra debugging output will be sent to the system
156  * log, the daemon will not go to background, and will exit after processing
157  * the first connection.
158  */
159 int debug_flag = 0;
160
161 /* Flag indicating that the daemon should only test the configuration and keys. */
162 int test_flag = 0;
163
164 /* Flag indicating that the daemon is being started from inetd. */
165 int inetd_flag = 0;
166
167 /* Flag indicating that sshd should not detach and become a daemon. */
168 int no_daemon_flag = 0;
169
170 /* debug goes to stderr unless inetd_flag is set */
171 int log_stderr = 0;
172
173 /* Saved arguments to main(). */
174 char **saved_argv;
175 int saved_argc;
176
177 /* re-exec */
178 int rexeced_flag = 0;
179 int rexec_flag = 1;
180 int rexec_argc = 0;
181 char **rexec_argv;
182
183 /*
184  * The sockets that the server is listening; this is used in the SIGHUP
185  * signal handler.
186  */
187 #define MAX_LISTEN_SOCKS        16
188 int listen_socks[MAX_LISTEN_SOCKS];
189 int num_listen_socks = 0;
190
191 /*
192  * the client's version string, passed by sshd2 in compat mode. if != NULL,
193  * sshd will skip the version-number exchange
194  */
195 char *client_version_string = NULL;
196 char *server_version_string = NULL;
197
198 /* for rekeying XXX fixme */
199 Kex *xxx_kex;
200
201 /*
202  * Any really sensitive data in the application is contained in this
203  * structure. The idea is that this structure could be locked into memory so
204  * that the pages do not get written into swap.  However, there are some
205  * problems. The private key contains BIGNUMs, and we do not (in principle)
206  * have access to the internals of them, and locking just the structure is
207  * not very useful.  Currently, memory locking is not implemented.
208  */
209 struct {
210         Key     *server_key;            /* ephemeral server key */
211         Key     *ssh1_host_key;         /* ssh1 host key */
212         Key     **host_keys;            /* all private host keys */
213         Key     **host_certificates;    /* all public host certificates */
214         int     have_ssh1_key;
215         int     have_ssh2_key;
216         u_char  ssh1_cookie[SSH_SESSION_KEY_LENGTH];
217 } sensitive_data;
218
219 /*
220  * Flag indicating whether the RSA server key needs to be regenerated.
221  * Is set in the SIGALRM handler and cleared when the key is regenerated.
222  */
223 static volatile sig_atomic_t key_do_regen = 0;
224
225 /* This is set to true when a signal is received. */
226 static volatile sig_atomic_t received_sighup = 0;
227 static volatile sig_atomic_t received_sigterm = 0;
228
229 /* session identifier, used by RSA-auth */
230 u_char session_id[16];
231
232 /* same for ssh2 */
233 u_char *session_id2 = NULL;
234 u_int session_id2_len = 0;
235
236 /* record remote hostname or ip */
237 u_int utmp_len = MAXHOSTNAMELEN;
238
239 /* options.max_startup sized array of fd ints */
240 int *startup_pipes = NULL;
241 int startup_pipe;               /* in child */
242
243 /* variables used for privilege separation */
244 int use_privsep = -1;
245 struct monitor *pmonitor = NULL;
246 int privsep_is_preauth = 1;
247
248 /* global authentication context */
249 Authctxt *the_authctxt = NULL;
250
251 /* sshd_config buffer */
252 Buffer cfg;
253
254 /* message to be displayed after login */
255 Buffer loginmsg;
256
257 /* Unprivileged user */
258 struct passwd *privsep_pw = NULL;
259
260 /* Prototypes for various functions defined later in this file. */
261 void destroy_sensitive_data(void);
262 void demote_sensitive_data(void);
263
264 static void do_ssh1_kex(void);
265 static void do_ssh2_kex(void);
266
267 /*
268  * Close all listening sockets
269  */
270 static void
271 close_listen_socks(void)
272 {
273         int i;
274
275         for (i = 0; i < num_listen_socks; i++)
276                 close(listen_socks[i]);
277         num_listen_socks = -1;
278 }
279
280 static void
281 close_startup_pipes(void)
282 {
283         int i;
284
285         if (startup_pipes)
286                 for (i = 0; i < options.max_startups; i++)
287                         if (startup_pipes[i] != -1)
288                                 close(startup_pipes[i]);
289 }
290
291 /*
292  * Signal handler for SIGHUP.  Sshd execs itself when it receives SIGHUP;
293  * the effect is to reread the configuration file (and to regenerate
294  * the server key).
295  */
296
297 /*ARGSUSED*/
298 static void
299 sighup_handler(int sig)
300 {
301         int save_errno = errno;
302
303         received_sighup = 1;
304         signal(SIGHUP, sighup_handler);
305         errno = save_errno;
306 }
307
308 /*
309  * Called from the main program after receiving SIGHUP.
310  * Restarts the server.
311  */
312 static void
313 sighup_restart(void)
314 {
315         logit("Received SIGHUP; restarting.");
316         close_listen_socks();
317         close_startup_pipes();
318         alarm(0);  /* alarm timer persists across exec */
319         signal(SIGHUP, SIG_IGN); /* will be restored after exec */
320         execv(saved_argv[0], saved_argv);
321         logit("RESTART FAILED: av[0]='%.100s', error: %.100s.", saved_argv[0],
322             strerror(errno));
323         exit(1);
324 }
325
326 /*
327  * Generic signal handler for terminating signals in the master daemon.
328  */
329 /*ARGSUSED*/
330 static void
331 sigterm_handler(int sig)
332 {
333         received_sigterm = sig;
334 }
335
336 /*
337  * SIGCHLD handler.  This is called whenever a child dies.  This will then
338  * reap any zombies left by exited children.
339  */
340 /*ARGSUSED*/
341 static void
342 main_sigchld_handler(int sig)
343 {
344         int save_errno = errno;
345         pid_t pid;
346         int status;
347
348         while ((pid = waitpid(-1, &status, WNOHANG)) > 0 ||
349             (pid < 0 && errno == EINTR))
350                 ;
351
352         signal(SIGCHLD, main_sigchld_handler);
353         errno = save_errno;
354 }
355
356 /*
357  * Signal handler for the alarm after the login grace period has expired.
358  */
359 /*ARGSUSED*/
360 static void
361 grace_alarm_handler(int sig)
362 {
363         if (use_privsep && pmonitor != NULL && pmonitor->m_pid > 0)
364                 kill(pmonitor->m_pid, SIGALRM);
365
366         /* Log error and exit. */
367         sigdie("Timeout before authentication for %s", get_remote_ipaddr());
368 }
369
370 /*
371  * Signal handler for the key regeneration alarm.  Note that this
372  * alarm only occurs in the daemon waiting for connections, and it does not
373  * do anything with the private key or random state before forking.
374  * Thus there should be no concurrency control/asynchronous execution
375  * problems.
376  */
377 static void
378 generate_ephemeral_server_key(void)
379 {
380         verbose("Generating %s%d bit RSA key.",
381             sensitive_data.server_key ? "new " : "", options.server_key_bits);
382         if (sensitive_data.server_key != NULL)
383                 key_free(sensitive_data.server_key);
384         sensitive_data.server_key = key_generate(KEY_RSA1,
385             options.server_key_bits);
386         verbose("RSA key generation complete.");
387
388         arc4random_buf(sensitive_data.ssh1_cookie, SSH_SESSION_KEY_LENGTH);
389         arc4random_stir();
390 }
391
392 /*ARGSUSED*/
393 static void
394 key_regeneration_alarm(int sig)
395 {
396         int save_errno = errno;
397
398         signal(SIGALRM, SIG_DFL);
399         errno = save_errno;
400         key_do_regen = 1;
401 }
402
403 static void
404 sshd_exchange_identification(int sock_in, int sock_out)
405 {
406         u_int i;
407         int mismatch;
408         int remote_major, remote_minor;
409         int major, minor;
410         char *s, *newline = "\n";
411         char buf[256];                  /* Must not be larger than remote_version. */
412         char remote_version[256];       /* Must be at least as big as buf. */
413
414         if ((options.protocol & SSH_PROTO_1) &&
415             (options.protocol & SSH_PROTO_2)) {
416                 major = PROTOCOL_MAJOR_1;
417                 minor = 99;
418         } else if (options.protocol & SSH_PROTO_2) {
419                 major = PROTOCOL_MAJOR_2;
420                 minor = PROTOCOL_MINOR_2;
421                 newline = "\r\n";
422         } else {
423                 major = PROTOCOL_MAJOR_1;
424                 minor = PROTOCOL_MINOR_1;
425         }
426
427         xasprintf(&server_version_string, "SSH-%d.%d-%.100s%s%s%s",
428             major, minor, SSH_VERSION,
429             *options.version_addendum == '\0' ? "" : " ",
430             options.version_addendum, newline);
431
432         /* Send our protocol version identification. */
433         if (roaming_atomicio(vwrite, sock_out, server_version_string,
434             strlen(server_version_string))
435             != strlen(server_version_string)) {
436                 logit("Could not write ident string to %s", get_remote_ipaddr());
437                 cleanup_exit(255);
438         }
439
440         /* Read other sides version identification. */
441         memset(buf, 0, sizeof(buf));
442         for (i = 0; i < sizeof(buf) - 1; i++) {
443                 if (roaming_atomicio(read, sock_in, &buf[i], 1) != 1) {
444                         logit("Did not receive identification string from %s",
445                             get_remote_ipaddr());
446                         cleanup_exit(255);
447                 }
448                 if (buf[i] == '\r') {
449                         buf[i] = 0;
450                         /* Kludge for F-Secure Macintosh < 1.0.2 */
451                         if (i == 12 &&
452                             strncmp(buf, "SSH-1.5-W1.0", 12) == 0)
453                                 break;
454                         continue;
455                 }
456                 if (buf[i] == '\n') {
457                         buf[i] = 0;
458                         break;
459                 }
460         }
461         buf[sizeof(buf) - 1] = 0;
462         client_version_string = xstrdup(buf);
463
464         /*
465          * Check that the versions match.  In future this might accept
466          * several versions and set appropriate flags to handle them.
467          */
468         if (sscanf(client_version_string, "SSH-%d.%d-%[^\n]\n",
469             &remote_major, &remote_minor, remote_version) != 3) {
470                 s = "Protocol mismatch.\n";
471                 (void) atomicio(vwrite, sock_out, s, strlen(s));
472                 close(sock_in);
473                 close(sock_out);
474                 logit("Bad protocol version identification '%.100s' from %s",
475                     client_version_string, get_remote_ipaddr());
476                 cleanup_exit(255);
477         }
478         debug("Client protocol version %d.%d; client software version %.100s",
479             remote_major, remote_minor, remote_version);
480         logit("SSH: Server;Ltype: Version;Remote: %s-%d;Protocol: %d.%d;Client: %.100s",
481               get_remote_ipaddr(), get_remote_port(),
482             remote_major, remote_minor, remote_version);
483
484         compat_datafellows(remote_version);
485
486         if (datafellows & SSH_BUG_PROBE) {
487                 logit("probed from %s with %s.  Don't panic.",
488                     get_remote_ipaddr(), client_version_string);
489                 cleanup_exit(255);
490         }
491
492         if (datafellows & SSH_BUG_SCANNER) {
493                 logit("scanned from %s with %s.  Don't panic.",
494                     get_remote_ipaddr(), client_version_string);
495                 cleanup_exit(255);
496         }
497
498         mismatch = 0;
499         switch (remote_major) {
500         case 1:
501                 if (remote_minor == 99) {
502                         if (options.protocol & SSH_PROTO_2)
503                                 enable_compat20();
504                         else
505                                 mismatch = 1;
506                         break;
507                 }
508                 if (!(options.protocol & SSH_PROTO_1)) {
509                         mismatch = 1;
510                         break;
511                 }
512                 if (remote_minor < 3) {
513                         packet_disconnect("Your ssh version is too old and "
514                             "is no longer supported.  Please install a newer version.");
515                 } else if (remote_minor == 3) {
516                         /* note that this disables agent-forwarding */
517                         enable_compat13();
518                 }
519                 break;
520         case 2:
521                 if (options.protocol & SSH_PROTO_2) {
522                         enable_compat20();
523                         break;
524                 }
525                 /* FALLTHROUGH */
526         default:
527                 mismatch = 1;
528                 break;
529         }
530         chop(server_version_string);
531         debug("Local version string %.200s", server_version_string);
532
533         if (mismatch) {
534                 s = "Protocol major versions differ.\n";
535                 (void) atomicio(vwrite, sock_out, s, strlen(s));
536                 close(sock_in);
537                 close(sock_out);
538                 logit("Protocol major versions differ for %s: %.200s vs. %.200s",
539                     get_remote_ipaddr(),
540                     server_version_string, client_version_string);
541                 cleanup_exit(255);
542         }
543 }
544
545 /* Destroy the host and server keys.  They will no longer be needed. */
546 void
547 destroy_sensitive_data(void)
548 {
549         int i;
550
551         if (sensitive_data.server_key) {
552                 key_free(sensitive_data.server_key);
553                 sensitive_data.server_key = NULL;
554         }
555         for (i = 0; i < options.num_host_key_files; i++) {
556                 if (sensitive_data.host_keys[i]) {
557                         key_free(sensitive_data.host_keys[i]);
558                         sensitive_data.host_keys[i] = NULL;
559                 }
560                 if (sensitive_data.host_certificates[i]) {
561                         key_free(sensitive_data.host_certificates[i]);
562                         sensitive_data.host_certificates[i] = NULL;
563                 }
564         }
565         sensitive_data.ssh1_host_key = NULL;
566         memset(sensitive_data.ssh1_cookie, 0, SSH_SESSION_KEY_LENGTH);
567 }
568
569 /* Demote private to public keys for network child */
570 void
571 demote_sensitive_data(void)
572 {
573         Key *tmp;
574         int i;
575
576         if (sensitive_data.server_key) {
577                 tmp = key_demote(sensitive_data.server_key);
578                 key_free(sensitive_data.server_key);
579                 sensitive_data.server_key = tmp;
580         }
581
582         for (i = 0; i < options.num_host_key_files; i++) {
583                 if (sensitive_data.host_keys[i]) {
584                         tmp = key_demote(sensitive_data.host_keys[i]);
585                         key_free(sensitive_data.host_keys[i]);
586                         sensitive_data.host_keys[i] = tmp;
587                         if (tmp->type == KEY_RSA1)
588                                 sensitive_data.ssh1_host_key = tmp;
589                 }
590                 /* Certs do not need demotion */
591         }
592
593         /* We do not clear ssh1_host key and cookie.  XXX - Okay Niels? */
594 }
595
596 static void
597 privsep_preauth_child(void)
598 {
599         u_int32_t rnd[256];
600         gid_t gidset[1];
601
602         /* Enable challenge-response authentication for privilege separation */
603         privsep_challenge_enable();
604
605         arc4random_stir();
606         arc4random_buf(rnd, sizeof(rnd));
607         RAND_seed(rnd, sizeof(rnd));
608
609         /* Demote the private keys to public keys. */
610         demote_sensitive_data();
611
612         /* Change our root directory */
613         if (chroot(_PATH_PRIVSEP_CHROOT_DIR) == -1)
614                 fatal("chroot(\"%s\"): %s", _PATH_PRIVSEP_CHROOT_DIR,
615                     strerror(errno));
616         if (chdir("/") == -1)
617                 fatal("chdir(\"/\"): %s", strerror(errno));
618
619         /* Drop our privileges */
620         debug3("privsep user:group %u:%u", (u_int)privsep_pw->pw_uid,
621             (u_int)privsep_pw->pw_gid);
622 #if 0
623         /* XXX not ready, too heavy after chroot */
624         do_setusercontext(privsep_pw);
625 #else
626         gidset[0] = privsep_pw->pw_gid;
627         if (setgroups(1, gidset) < 0)
628                 fatal("setgroups: %.100s", strerror(errno));
629         permanently_set_uid(privsep_pw);
630 #endif
631 }
632
633 static int
634 privsep_preauth(Authctxt *authctxt)
635 {
636         int status;
637         pid_t pid;
638         struct ssh_sandbox *box = NULL;
639
640         /* Set up unprivileged child process to deal with network data */
641         pmonitor = monitor_init();
642         /* Store a pointer to the kex for later rekeying */
643         pmonitor->m_pkex = &xxx_kex;
644
645         if (use_privsep == PRIVSEP_ON)
646                 box = ssh_sandbox_init();
647         pid = fork();
648         if (pid == -1) {
649                 fatal("fork of unprivileged child failed");
650         } else if (pid != 0) {
651                 debug2("Network child is on pid %ld", (long)pid);
652
653                 pmonitor->m_pid = pid;
654                 if (box != NULL)
655                         ssh_sandbox_parent_preauth(box, pid);
656                 monitor_child_preauth(authctxt, pmonitor);
657
658                 /* Sync memory */
659                 monitor_sync(pmonitor);
660
661                 /* Wait for the child's exit status */
662                 while (waitpid(pid, &status, 0) < 0) {
663                         if (errno == EINTR)
664                                 continue;
665                         pmonitor->m_pid = -1;
666                         fatal("%s: waitpid: %s", __func__, strerror(errno));
667                 }
668                 privsep_is_preauth = 0;
669                 pmonitor->m_pid = -1;
670                 if (WIFEXITED(status)) {
671                         if (WEXITSTATUS(status) != 0)
672                                 fatal("%s: preauth child exited with status %d",
673                                     __func__, WEXITSTATUS(status));
674                 } else if (WIFSIGNALED(status))
675                         fatal("%s: preauth child terminated by signal %d",
676                             __func__, WTERMSIG(status));
677                 if (box != NULL)
678                         ssh_sandbox_parent_finish(box);
679                 return 1;
680         } else {
681                 /* child */
682                 close(pmonitor->m_sendfd);
683                 close(pmonitor->m_log_recvfd);
684
685                 /* Arrange for logging to be sent to the monitor */
686                 set_log_handler(mm_log_handler, pmonitor);
687
688                 /* Demote the child */
689                 if (getuid() == 0 || geteuid() == 0)
690                         privsep_preauth_child();
691                 setproctitle("%s", "[net]");
692                 if (box != NULL)
693                         ssh_sandbox_child(box);
694
695                 return 0;
696         }
697 }
698
699 static void
700 privsep_postauth(Authctxt *authctxt)
701 {
702         u_int32_t rnd[256];
703
704 #ifdef DISABLE_FD_PASSING
705         if (1) {
706 #else
707         if (authctxt->pw->pw_uid == 0 || options.use_login) {
708 #endif
709                 /* File descriptor passing is broken or root login */
710                 use_privsep = 0;
711                 goto skip;
712         }
713
714         /* New socket pair */
715         monitor_reinit(pmonitor);
716
717         pmonitor->m_pid = fork();
718         if (pmonitor->m_pid == -1)
719                 fatal("fork of unprivileged child failed");
720         else if (pmonitor->m_pid != 0) {
721                 verbose("User child is on pid %ld", (long)pmonitor->m_pid);
722                 buffer_clear(&loginmsg);
723                 monitor_child_postauth(pmonitor);
724
725                 /* NEVERREACHED */
726                 exit(0);
727         }
728
729         /* child */
730
731         close(pmonitor->m_sendfd);
732         pmonitor->m_sendfd = -1;
733
734         /* Demote the private keys to public keys. */
735         demote_sensitive_data();
736
737         arc4random_stir();
738         arc4random_buf(rnd, sizeof(rnd));
739         RAND_seed(rnd, sizeof(rnd));
740
741         /* Drop privileges */
742         do_setusercontext(authctxt->pw);
743
744  skip:
745         /* It is safe now to apply the key state */
746         monitor_apply_keystate(pmonitor);
747
748         /*
749          * Tell the packet layer that authentication was successful, since
750          * this information is not part of the key state.
751          */
752         packet_set_authenticated();
753 }
754
755 static char *
756 list_hostkey_types(void)
757 {
758         Buffer b;
759         const char *p;
760         char *ret;
761         int i;
762         Key *key;
763
764         buffer_init(&b);
765         for (i = 0; i < options.num_host_key_files; i++) {
766                 key = sensitive_data.host_keys[i];
767                 if (key == NULL)
768                         continue;
769                 switch (key->type) {
770                 case KEY_RSA:
771                 case KEY_DSA:
772                 case KEY_ECDSA:
773                         if (buffer_len(&b) > 0)
774                                 buffer_append(&b, ",", 1);
775                         p = key_ssh_name(key);
776                         buffer_append(&b, p, strlen(p));
777                         break;
778                 }
779                 /* If the private key has a cert peer, then list that too */
780                 key = sensitive_data.host_certificates[i];
781                 if (key == NULL)
782                         continue;
783                 switch (key->type) {
784                 case KEY_RSA_CERT_V00:
785                 case KEY_DSA_CERT_V00:
786                 case KEY_RSA_CERT:
787                 case KEY_DSA_CERT:
788                 case KEY_ECDSA_CERT:
789                         if (buffer_len(&b) > 0)
790                                 buffer_append(&b, ",", 1);
791                         p = key_ssh_name(key);
792                         buffer_append(&b, p, strlen(p));
793                         break;
794                 }
795         }
796         buffer_append(&b, "\0", 1);
797         ret = xstrdup(buffer_ptr(&b));
798         buffer_free(&b);
799         debug("list_hostkey_types: %s", ret);
800         return ret;
801 }
802
803 static Key *
804 get_hostkey_by_type(int type, int need_private)
805 {
806         int i;
807         Key *key;
808
809         for (i = 0; i < options.num_host_key_files; i++) {
810                 switch (type) {
811                 case KEY_RSA_CERT_V00:
812                 case KEY_DSA_CERT_V00:
813                 case KEY_RSA_CERT:
814                 case KEY_DSA_CERT:
815                 case KEY_ECDSA_CERT:
816                         key = sensitive_data.host_certificates[i];
817                         break;
818                 default:
819                         key = sensitive_data.host_keys[i];
820                         break;
821                 }
822                 if (key != NULL && key->type == type)
823                         return need_private ?
824                             sensitive_data.host_keys[i] : key;
825         }
826         return NULL;
827 }
828
829 Key *
830 get_hostkey_public_by_type(int type)
831 {
832         return get_hostkey_by_type(type, 0);
833 }
834
835 Key *
836 get_hostkey_private_by_type(int type)
837 {
838         return get_hostkey_by_type(type, 1);
839 }
840
841 Key *
842 get_hostkey_by_index(int ind)
843 {
844         if (ind < 0 || ind >= options.num_host_key_files)
845                 return (NULL);
846         return (sensitive_data.host_keys[ind]);
847 }
848
849 int
850 get_hostkey_index(Key *key)
851 {
852         int i;
853
854         for (i = 0; i < options.num_host_key_files; i++) {
855                 if (key_is_cert(key)) {
856                         if (key == sensitive_data.host_certificates[i])
857                                 return (i);
858                 } else {
859                         if (key == sensitive_data.host_keys[i])
860                                 return (i);
861                 }
862         }
863         return (-1);
864 }
865
866 /*
867  * returns 1 if connection should be dropped, 0 otherwise.
868  * dropping starts at connection #max_startups_begin with a probability
869  * of (max_startups_rate/100). the probability increases linearly until
870  * all connections are dropped for startups > max_startups
871  */
872 static int
873 drop_connection(int startups)
874 {
875         int p, r;
876
877         if (startups < options.max_startups_begin)
878                 return 0;
879         if (startups >= options.max_startups)
880                 return 1;
881         if (options.max_startups_rate == 100)
882                 return 1;
883
884         p  = 100 - options.max_startups_rate;
885         p *= startups - options.max_startups_begin;
886         p /= options.max_startups - options.max_startups_begin;
887         p += options.max_startups_rate;
888         r = arc4random_uniform(100);
889
890         debug("drop_connection: p %d, r %d", p, r);
891         return (r < p) ? 1 : 0;
892 }
893
894 static void
895 usage(void)
896 {
897         fprintf(stderr, "%s, %s\n",
898             SSH_RELEASE, SSLeay_version(SSLEAY_VERSION));
899         fprintf(stderr,
900 "usage: sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-c host_cert_file]\n"
901 "            [-f config_file] [-g login_grace_time] [-h host_key_file]\n"
902 "            [-k key_gen_time] [-o option] [-p port] [-u len]\n"
903         );
904         exit(1);
905 }
906
907 static void
908 send_rexec_state(int fd, Buffer *conf)
909 {
910         Buffer m;
911
912         debug3("%s: entering fd = %d config len %d", __func__, fd,
913             buffer_len(conf));
914
915         /*
916          * Protocol from reexec master to child:
917          *      string  configuration
918          *      u_int   ephemeral_key_follows
919          *      bignum  e               (only if ephemeral_key_follows == 1)
920          *      bignum  n                       "
921          *      bignum  d                       "
922          *      bignum  iqmp                    "
923          *      bignum  p                       "
924          *      bignum  q                       "
925          *      string rngseed          (only if OpenSSL is not self-seeded)
926          */
927         buffer_init(&m);
928         buffer_put_cstring(&m, buffer_ptr(conf));
929
930         if (sensitive_data.server_key != NULL &&
931             sensitive_data.server_key->type == KEY_RSA1) {
932                 buffer_put_int(&m, 1);
933                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->e);
934                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->n);
935                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->d);
936                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->iqmp);
937                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->p);
938                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->q);
939         } else
940                 buffer_put_int(&m, 0);
941
942 #ifndef OPENSSL_PRNG_ONLY
943         rexec_send_rng_seed(&m);
944 #endif
945
946         if (ssh_msg_send(fd, 0, &m) == -1)
947                 fatal("%s: ssh_msg_send failed", __func__);
948
949         buffer_free(&m);
950
951         debug3("%s: done", __func__);
952 }
953
954 static void
955 recv_rexec_state(int fd, Buffer *conf)
956 {
957         Buffer m;
958         char *cp;
959         u_int len;
960
961         debug3("%s: entering fd = %d", __func__, fd);
962
963         buffer_init(&m);
964
965         if (ssh_msg_recv(fd, &m) == -1)
966                 fatal("%s: ssh_msg_recv failed", __func__);
967         if (buffer_get_char(&m) != 0)
968                 fatal("%s: rexec version mismatch", __func__);
969
970         cp = buffer_get_string(&m, &len);
971         if (conf != NULL)
972                 buffer_append(conf, cp, len + 1);
973         xfree(cp);
974
975         if (buffer_get_int(&m)) {
976                 if (sensitive_data.server_key != NULL)
977                         key_free(sensitive_data.server_key);
978                 sensitive_data.server_key = key_new_private(KEY_RSA1);
979                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->e);
980                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->n);
981                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->d);
982                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->iqmp);
983                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->p);
984                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->q);
985                 rsa_generate_additional_parameters(
986                     sensitive_data.server_key->rsa);
987         }
988
989 #ifndef OPENSSL_PRNG_ONLY
990         rexec_recv_rng_seed(&m);
991 #endif
992
993         buffer_free(&m);
994
995         debug3("%s: done", __func__);
996 }
997
998 /* Accept a connection from inetd */
999 static void
1000 server_accept_inetd(int *sock_in, int *sock_out)
1001 {
1002         int fd;
1003
1004         startup_pipe = -1;
1005         if (rexeced_flag) {
1006                 close(REEXEC_CONFIG_PASS_FD);
1007                 *sock_in = *sock_out = dup(STDIN_FILENO);
1008                 if (!debug_flag) {
1009                         startup_pipe = dup(REEXEC_STARTUP_PIPE_FD);
1010                         close(REEXEC_STARTUP_PIPE_FD);
1011                 }
1012         } else {
1013                 *sock_in = dup(STDIN_FILENO);
1014                 *sock_out = dup(STDOUT_FILENO);
1015         }
1016         /*
1017          * We intentionally do not close the descriptors 0, 1, and 2
1018          * as our code for setting the descriptors won't work if
1019          * ttyfd happens to be one of those.
1020          */
1021         if ((fd = open(_PATH_DEVNULL, O_RDWR, 0)) != -1) {
1022                 dup2(fd, STDIN_FILENO);
1023                 dup2(fd, STDOUT_FILENO);
1024                 if (fd > STDOUT_FILENO)
1025                         close(fd);
1026         }
1027         debug("inetd sockets after dupping: %d, %d", *sock_in, *sock_out);
1028 }
1029
1030 /*
1031  * Listen for TCP connections
1032  */
1033 static void
1034 server_listen(void)
1035 {
1036         int ret, listen_sock, on = 1;
1037         struct addrinfo *ai;
1038         char ntop[NI_MAXHOST], strport[NI_MAXSERV];
1039         int socksize;
1040         int socksizelen = sizeof(int);
1041
1042         for (ai = options.listen_addrs; ai; ai = ai->ai_next) {
1043                 if (ai->ai_family != AF_INET && ai->ai_family != AF_INET6)
1044                         continue;
1045                 if (num_listen_socks >= MAX_LISTEN_SOCKS)
1046                         fatal("Too many listen sockets. "
1047                             "Enlarge MAX_LISTEN_SOCKS");
1048                 if ((ret = getnameinfo(ai->ai_addr, ai->ai_addrlen,
1049                     ntop, sizeof(ntop), strport, sizeof(strport),
1050                     NI_NUMERICHOST|NI_NUMERICSERV)) != 0) {
1051                         error("getnameinfo failed: %.100s",
1052                             ssh_gai_strerror(ret));
1053                         continue;
1054                 }
1055                 /* Create socket for listening. */
1056                 listen_sock = socket(ai->ai_family, ai->ai_socktype,
1057                     ai->ai_protocol);
1058                 if (listen_sock < 0) {
1059                         /* kernel may not support ipv6 */
1060                         verbose("socket: %.100s", strerror(errno));
1061                         continue;
1062                 }
1063                 if (set_nonblock(listen_sock) == -1) {
1064                         close(listen_sock);
1065                         continue;
1066                 }
1067                 /*
1068                  * Set socket options.
1069                  * Allow local port reuse in TIME_WAIT.
1070                  */
1071                 if (setsockopt(listen_sock, SOL_SOCKET, SO_REUSEADDR,
1072                     &on, sizeof(on)) == -1)
1073                         error("setsockopt SO_REUSEADDR: %s", strerror(errno));
1074
1075                 /* Only communicate in IPv6 over AF_INET6 sockets. */
1076                 if (ai->ai_family == AF_INET6)
1077                         sock_set_v6only(listen_sock);
1078
1079                 debug("Bind to port %s on %s.", strport, ntop);
1080
1081                 getsockopt(listen_sock, SOL_SOCKET, SO_RCVBUF,
1082                                    &socksize, &socksizelen);
1083                 debug("Server TCP RWIN socket size: %d", socksize);
1084                 debug("HPN Buffer Size: %d", options.hpn_buffer_size);
1085
1086                 /* Bind the socket to the desired port. */
1087                 if (bind(listen_sock, ai->ai_addr, ai->ai_addrlen) < 0) {
1088                         error("Bind to port %s on %s failed: %.200s.",
1089                             strport, ntop, strerror(errno));
1090                         close(listen_sock);
1091                         continue;
1092                 }
1093                 listen_socks[num_listen_socks] = listen_sock;
1094                 num_listen_socks++;
1095
1096                 /* Start listening on the port. */
1097                 if (listen(listen_sock, SSH_LISTEN_BACKLOG) < 0)
1098                         fatal("listen on [%s]:%s: %.100s",
1099                             ntop, strport, strerror(errno));
1100                 logit("Server listening on %s port %s.", ntop, strport);
1101         }
1102         freeaddrinfo(options.listen_addrs);
1103
1104         if (!num_listen_socks)
1105                 fatal("Cannot bind any address.");
1106 }
1107
1108 /*
1109  * The main TCP accept loop. Note that, for the non-debug case, returns
1110  * from this function are in a forked subprocess.
1111  */
1112 static void
1113 server_accept_loop(int *sock_in, int *sock_out, int *newsock, int *config_s)
1114 {
1115         fd_set *fdset;
1116         int i, j, ret, maxfd;
1117         int key_used = 0, startups = 0;
1118         int startup_p[2] = { -1 , -1 };
1119         struct sockaddr_storage from;
1120         socklen_t fromlen;
1121         pid_t pid;
1122
1123         /* setup fd set for accept */
1124         fdset = NULL;
1125         maxfd = 0;
1126         for (i = 0; i < num_listen_socks; i++)
1127                 if (listen_socks[i] > maxfd)
1128                         maxfd = listen_socks[i];
1129         /* pipes connected to unauthenticated childs */
1130         startup_pipes = xcalloc(options.max_startups, sizeof(int));
1131         for (i = 0; i < options.max_startups; i++)
1132                 startup_pipes[i] = -1;
1133
1134         /*
1135          * Stay listening for connections until the system crashes or
1136          * the daemon is killed with a signal.
1137          */
1138         for (;;) {
1139                 if (received_sighup)
1140                         sighup_restart();
1141                 if (fdset != NULL)
1142                         xfree(fdset);
1143                 fdset = (fd_set *)xcalloc(howmany(maxfd + 1, NFDBITS),
1144                     sizeof(fd_mask));
1145
1146                 for (i = 0; i < num_listen_socks; i++)
1147                         FD_SET(listen_socks[i], fdset);
1148                 for (i = 0; i < options.max_startups; i++)
1149                         if (startup_pipes[i] != -1)
1150                                 FD_SET(startup_pipes[i], fdset);
1151
1152                 /* Wait in select until there is a connection. */
1153                 ret = select(maxfd+1, fdset, NULL, NULL, NULL);
1154                 if (ret < 0 && errno != EINTR)
1155                         error("select: %.100s", strerror(errno));
1156                 if (received_sigterm) {
1157                         logit("Received signal %d; terminating.",
1158                             (int) received_sigterm);
1159                         close_listen_socks();
1160                         unlink(options.pid_file);
1161                         exit(received_sigterm == SIGTERM ? 0 : 255);
1162                 }
1163                 if (key_used && key_do_regen) {
1164                         generate_ephemeral_server_key();
1165                         key_used = 0;
1166                         key_do_regen = 0;
1167                 }
1168                 if (ret < 0)
1169                         continue;
1170
1171                 for (i = 0; i < options.max_startups; i++)
1172                         if (startup_pipes[i] != -1 &&
1173                             FD_ISSET(startup_pipes[i], fdset)) {
1174                                 /*
1175                                  * the read end of the pipe is ready
1176                                  * if the child has closed the pipe
1177                                  * after successful authentication
1178                                  * or if the child has died
1179                                  */
1180                                 close(startup_pipes[i]);
1181                                 startup_pipes[i] = -1;
1182                                 startups--;
1183                         }
1184                 for (i = 0; i < num_listen_socks; i++) {
1185                         if (!FD_ISSET(listen_socks[i], fdset))
1186                                 continue;
1187                         fromlen = sizeof(from);
1188                         *newsock = accept(listen_socks[i],
1189                             (struct sockaddr *)&from, &fromlen);
1190                         if (*newsock < 0) {
1191                                 if (errno != EINTR && errno != EAGAIN &&
1192                                     errno != EWOULDBLOCK)
1193                                         error("accept: %.100s",
1194                                             strerror(errno));
1195                                 if (errno == EMFILE || errno == ENFILE)
1196                                         usleep(100 * 1000);
1197                                 continue;
1198                         }
1199                         if (unset_nonblock(*newsock) == -1) {
1200                                 close(*newsock);
1201                                 continue;
1202                         }
1203                         if (drop_connection(startups) == 1) {
1204                                 debug("drop connection #%d", startups);
1205                                 close(*newsock);
1206                                 continue;
1207                         }
1208                         if (pipe(startup_p) == -1) {
1209                                 close(*newsock);
1210                                 continue;
1211                         }
1212
1213                         if (rexec_flag && socketpair(AF_UNIX,
1214                             SOCK_STREAM, 0, config_s) == -1) {
1215                                 error("reexec socketpair: %s",
1216                                     strerror(errno));
1217                                 close(*newsock);
1218                                 close(startup_p[0]);
1219                                 close(startup_p[1]);
1220                                 continue;
1221                         }
1222
1223                         for (j = 0; j < options.max_startups; j++)
1224                                 if (startup_pipes[j] == -1) {
1225                                         startup_pipes[j] = startup_p[0];
1226                                         if (maxfd < startup_p[0])
1227                                                 maxfd = startup_p[0];
1228                                         startups++;
1229                                         break;
1230                                 }
1231
1232                         /*
1233                          * Got connection.  Fork a child to handle it, unless
1234                          * we are in debugging mode.
1235                          */
1236                         if (debug_flag) {
1237                                 /*
1238                                  * In debugging mode.  Close the listening
1239                                  * socket, and start processing the
1240                                  * connection without forking.
1241                                  */
1242                                 debug("Server will not fork when running in debugging mode.");
1243                                 close_listen_socks();
1244                                 *sock_in = *newsock;
1245                                 *sock_out = *newsock;
1246                                 close(startup_p[0]);
1247                                 close(startup_p[1]);
1248                                 startup_pipe = -1;
1249                                 pid = getpid();
1250                                 if (rexec_flag) {
1251                                         send_rexec_state(config_s[0],
1252                                             &cfg);
1253                                         close(config_s[0]);
1254                                 }
1255                                 break;
1256                         }
1257
1258                         /*
1259                          * Normal production daemon.  Fork, and have
1260                          * the child process the connection. The
1261                          * parent continues listening.
1262                          */
1263                         platform_pre_fork();
1264                         if ((pid = fork()) == 0) {
1265                                 /*
1266                                  * Child.  Close the listening and
1267                                  * max_startup sockets.  Start using
1268                                  * the accepted socket. Reinitialize
1269                                  * logging (since our pid has changed).
1270                                  * We break out of the loop to handle
1271                                  * the connection.
1272                                  */
1273                                 platform_post_fork_child();
1274                                 startup_pipe = startup_p[1];
1275                                 close_startup_pipes();
1276                                 close_listen_socks();
1277                                 *sock_in = *newsock;
1278                                 *sock_out = *newsock;
1279                                 log_init(__progname,
1280                                     options.log_level,
1281                                     options.log_facility,
1282                                     log_stderr);
1283                                 if (rexec_flag)
1284                                         close(config_s[0]);
1285                                 break;
1286                         }
1287
1288                         /* Parent.  Stay in the loop. */
1289                         platform_post_fork_parent(pid);
1290                         if (pid < 0)
1291                                 error("fork: %.100s", strerror(errno));
1292                         else
1293                                 debug("Forked child %ld.", (long)pid);
1294
1295                         close(startup_p[1]);
1296
1297                         if (rexec_flag) {
1298                                 send_rexec_state(config_s[0], &cfg);
1299                                 close(config_s[0]);
1300                                 close(config_s[1]);
1301                         }
1302
1303                         /*
1304                          * Mark that the key has been used (it
1305                          * was "given" to the child).
1306                          */
1307                         if ((options.protocol & SSH_PROTO_1) &&
1308                             key_used == 0) {
1309                                 /* Schedule server key regeneration alarm. */
1310                                 signal(SIGALRM, key_regeneration_alarm);
1311                                 alarm(options.key_regeneration_time);
1312                                 key_used = 1;
1313                         }
1314
1315                         close(*newsock);
1316
1317                         /*
1318                          * Ensure that our random state differs
1319                          * from that of the child
1320                          */
1321                         arc4random_stir();
1322                 }
1323
1324                 /* child process check (or debug mode) */
1325                 if (num_listen_socks < 0)
1326                         break;
1327         }
1328 }
1329
1330
1331 /*
1332  * Main program for the daemon.
1333  */
1334 int
1335 main(int ac, char **av)
1336 {
1337         extern char *optarg;
1338         extern int optind;
1339         int opt, i, j, on = 1;
1340         int sock_in = -1, sock_out = -1, newsock = -1;
1341         const char *remote_ip;
1342         int remote_port;
1343         char *line;
1344         int config_s[2] = { -1 , -1 };
1345         u_int64_t ibytes, obytes;
1346         mode_t new_umask;
1347         Key *key;
1348         Authctxt *authctxt;
1349         struct connection_info *connection_info = get_connection_info(0, 0);
1350
1351 #ifdef HAVE_SECUREWARE
1352         (void)set_auth_parameters(ac, av);
1353 #endif
1354         __progname = ssh_get_progname(av[0]);
1355
1356         /* Save argv. Duplicate so setproctitle emulation doesn't clobber it */
1357         saved_argc = ac;
1358         rexec_argc = ac;
1359         saved_argv = xcalloc(ac + 1, sizeof(*saved_argv));
1360         for (i = 0; i < ac; i++)
1361                 saved_argv[i] = xstrdup(av[i]);
1362         saved_argv[i] = NULL;
1363
1364 #ifndef HAVE_SETPROCTITLE
1365         /* Prepare for later setproctitle emulation */
1366         compat_init_setproctitle(ac, av);
1367         av = saved_argv;
1368 #endif
1369
1370         if (geteuid() == 0 && setgroups(0, NULL) == -1)
1371                 debug("setgroups(): %.200s", strerror(errno));
1372
1373         /* Ensure that fds 0, 1 and 2 are open or directed to /dev/null */
1374         sanitise_stdfd();
1375
1376         /* Initialize configuration options to their default values. */
1377         initialize_server_options(&options);
1378
1379         /* Parse command-line arguments. */
1380         while ((opt = getopt(ac, av, "f:p:b:k:h:g:u:o:C:dDeiqrtQRT46")) != -1) {
1381                 switch (opt) {
1382                 case '4':
1383                         options.address_family = AF_INET;
1384                         break;
1385                 case '6':
1386                         options.address_family = AF_INET6;
1387                         break;
1388                 case 'f':
1389                         config_file_name = optarg;
1390                         break;
1391                 case 'c':
1392                         if (options.num_host_cert_files >= MAX_HOSTCERTS) {
1393                                 fprintf(stderr, "too many host certificates.\n");
1394                                 exit(1);
1395                         }
1396                         options.host_cert_files[options.num_host_cert_files++] =
1397                            derelativise_path(optarg);
1398                         break;
1399                 case 'd':
1400                         if (debug_flag == 0) {
1401                                 debug_flag = 1;
1402                                 options.log_level = SYSLOG_LEVEL_DEBUG1;
1403                         } else if (options.log_level < SYSLOG_LEVEL_DEBUG3)
1404                                 options.log_level++;
1405                         break;
1406                 case 'D':
1407                         no_daemon_flag = 1;
1408                         break;
1409                 case 'e':
1410                         log_stderr = 1;
1411                         break;
1412                 case 'i':
1413                         inetd_flag = 1;
1414                         break;
1415                 case 'r':
1416                         rexec_flag = 0;
1417                         break;
1418                 case 'R':
1419                         rexeced_flag = 1;
1420                         inetd_flag = 1;
1421                         break;
1422                 case 'Q':
1423                         /* ignored */
1424                         break;
1425                 case 'q':
1426                         options.log_level = SYSLOG_LEVEL_QUIET;
1427                         break;
1428                 case 'b':
1429                         options.server_key_bits = (int)strtonum(optarg, 256,
1430                             32768, NULL);
1431                         break;
1432                 case 'p':
1433                         options.ports_from_cmdline = 1;
1434                         if (options.num_ports >= MAX_PORTS) {
1435                                 fprintf(stderr, "too many ports.\n");
1436                                 exit(1);
1437                         }
1438                         options.ports[options.num_ports++] = a2port(optarg);
1439                         if (options.ports[options.num_ports-1] <= 0) {
1440                                 fprintf(stderr, "Bad port number.\n");
1441                                 exit(1);
1442                         }
1443                         break;
1444                 case 'g':
1445                         if ((options.login_grace_time = convtime(optarg)) == -1) {
1446                                 fprintf(stderr, "Invalid login grace time.\n");
1447                                 exit(1);
1448                         }
1449                         break;
1450                 case 'k':
1451                         if ((options.key_regeneration_time = convtime(optarg)) == -1) {
1452                                 fprintf(stderr, "Invalid key regeneration interval.\n");
1453                                 exit(1);
1454                         }
1455                         break;
1456                 case 'h':
1457                         if (options.num_host_key_files >= MAX_HOSTKEYS) {
1458                                 fprintf(stderr, "too many host keys.\n");
1459                                 exit(1);
1460                         }
1461                         options.host_key_files[options.num_host_key_files++] = 
1462                            derelativise_path(optarg);
1463                         break;
1464                 case 't':
1465                         test_flag = 1;
1466                         break;
1467                 case 'T':
1468                         test_flag = 2;
1469                         break;
1470                 case 'C':
1471                         if (parse_server_match_testspec(connection_info,
1472                             optarg) == -1)
1473                                 exit(1);
1474                         break;
1475                 case 'u':
1476                         utmp_len = (u_int)strtonum(optarg, 0, MAXHOSTNAMELEN+1, NULL);
1477                         if (utmp_len > MAXHOSTNAMELEN) {
1478                                 fprintf(stderr, "Invalid utmp length.\n");
1479                                 exit(1);
1480                         }
1481                         break;
1482                 case 'o':
1483                         line = xstrdup(optarg);
1484                         if (process_server_config_line(&options, line,
1485                             "command-line", 0, NULL, NULL) != 0)
1486                                 exit(1);
1487                         xfree(line);
1488                         break;
1489                 case '?':
1490                 default:
1491                         usage();
1492                         break;
1493                 }
1494         }
1495         if (rexeced_flag || inetd_flag)
1496                 rexec_flag = 0;
1497         if (!test_flag && (rexec_flag && (av[0] == NULL || *av[0] != '/')))
1498                 fatal("sshd re-exec requires execution with an absolute path");
1499         if (rexeced_flag)
1500                 closefrom(REEXEC_MIN_FREE_FD);
1501         else
1502                 closefrom(REEXEC_DEVCRYPTO_RESERVED_FD);
1503
1504         OpenSSL_add_all_algorithms();
1505
1506         /*
1507          * Force logging to stderr until we have loaded the private host
1508          * key (unless started from inetd)
1509          */
1510         log_init(__progname,
1511             options.log_level == SYSLOG_LEVEL_NOT_SET ?
1512             SYSLOG_LEVEL_INFO : options.log_level,
1513             options.log_facility == SYSLOG_FACILITY_NOT_SET ?
1514             SYSLOG_FACILITY_AUTH : options.log_facility,
1515             log_stderr || !inetd_flag);
1516
1517         /*
1518          * Unset KRB5CCNAME, otherwise the user's session may inherit it from
1519          * root's environment
1520          */
1521         if (getenv("KRB5CCNAME") != NULL)
1522                 (void) unsetenv("KRB5CCNAME");
1523
1524 #ifdef _UNICOS
1525         /* Cray can define user privs drop all privs now!
1526          * Not needed on PRIV_SU systems!
1527          */
1528         drop_cray_privs();
1529 #endif
1530
1531         sensitive_data.server_key = NULL;
1532         sensitive_data.ssh1_host_key = NULL;
1533         sensitive_data.have_ssh1_key = 0;
1534         sensitive_data.have_ssh2_key = 0;
1535
1536         /*
1537          * If we're doing an extended config test, make sure we have all of
1538          * the parameters we need.  If we're not doing an extended test,
1539          * do not silently ignore connection test params.
1540          */
1541         if (test_flag >= 2 && server_match_spec_complete(connection_info) == 0)
1542                 fatal("user, host and addr are all required when testing "
1543                    "Match configs");
1544         if (test_flag < 2 && server_match_spec_complete(connection_info) >= 0)
1545                 fatal("Config test connection parameter (-C) provided without "
1546                    "test mode (-T)");
1547
1548         /* Fetch our configuration */
1549         buffer_init(&cfg);
1550         if (rexeced_flag)
1551                 recv_rexec_state(REEXEC_CONFIG_PASS_FD, &cfg);
1552         else
1553                 load_server_config(config_file_name, &cfg);
1554
1555         parse_server_config(&options, rexeced_flag ? "rexec" : config_file_name,
1556             &cfg, NULL);
1557
1558         seed_rng();
1559
1560         /* Fill in default values for those options not explicitly set. */
1561         fill_default_server_options(&options);
1562
1563         /* challenge-response is implemented via keyboard interactive */
1564         if (options.challenge_response_authentication)
1565                 options.kbd_interactive_authentication = 1;
1566
1567         /* set default channel AF */
1568         channel_set_af(options.address_family);
1569
1570         /* Check that there are no remaining arguments. */
1571         if (optind < ac) {
1572                 fprintf(stderr, "Extra argument %s.\n", av[optind]);
1573                 exit(1);
1574         }
1575
1576         debug("sshd version %.100s", SSH_RELEASE);
1577
1578         /* Store privilege separation user for later use if required. */
1579         if ((privsep_pw = getpwnam(SSH_PRIVSEP_USER)) == NULL) {
1580                 if (use_privsep || options.kerberos_authentication)
1581                         fatal("Privilege separation user %s does not exist",
1582                             SSH_PRIVSEP_USER);
1583         } else {
1584                 memset(privsep_pw->pw_passwd, 0, strlen(privsep_pw->pw_passwd));
1585                 privsep_pw = pwcopy(privsep_pw);
1586                 xfree(privsep_pw->pw_passwd);
1587                 privsep_pw->pw_passwd = xstrdup("*");
1588         }
1589         endpwent();
1590
1591         /* load private host keys */
1592         sensitive_data.host_keys = xcalloc(options.num_host_key_files,
1593             sizeof(Key *));
1594         for (i = 0; i < options.num_host_key_files; i++)
1595                 sensitive_data.host_keys[i] = NULL;
1596
1597         for (i = 0; i < options.num_host_key_files; i++) {
1598                 key = key_load_private(options.host_key_files[i], "", NULL);
1599                 if (key && blacklisted_key(key)) {
1600                         char *fp;
1601                         fp = key_fingerprint(key, SSH_FP_MD5, SSH_FP_HEX);
1602                         if (options.permit_blacklisted_keys)
1603                                 error("Host key %s blacklisted (see "
1604                                     "ssh-vulnkey(1)); continuing anyway", fp);
1605                         else
1606                                 error("Host key %s blacklisted (see "
1607                                     "ssh-vulnkey(1))", fp);
1608                         xfree(fp);
1609                         if (!options.permit_blacklisted_keys) {
1610                                 sensitive_data.host_keys[i] = NULL;
1611                                 continue;
1612                         }
1613                 }
1614                 sensitive_data.host_keys[i] = key;
1615                 if (key == NULL) {
1616                         error("Could not load host key: %s",
1617                             options.host_key_files[i]);
1618                         sensitive_data.host_keys[i] = NULL;
1619                         continue;
1620                 }
1621                 switch (key->type) {
1622                 case KEY_RSA1:
1623                         sensitive_data.ssh1_host_key = key;
1624                         sensitive_data.have_ssh1_key = 1;
1625                         break;
1626                 case KEY_RSA:
1627                 case KEY_DSA:
1628                 case KEY_ECDSA:
1629                         sensitive_data.have_ssh2_key = 1;
1630                         break;
1631                 }
1632                 debug("private host key: #%d type %d %s", i, key->type,
1633                     key_type(key));
1634         }
1635         if ((options.protocol & SSH_PROTO_1) && !sensitive_data.have_ssh1_key) {
1636                 logit("Disabling protocol version 1. Could not load host key");
1637                 options.protocol &= ~SSH_PROTO_1;
1638         }
1639         if ((options.protocol & SSH_PROTO_2) && !sensitive_data.have_ssh2_key) {
1640                 logit("Disabling protocol version 2. Could not load host key");
1641                 options.protocol &= ~SSH_PROTO_2;
1642         }
1643         if (!(options.protocol & (SSH_PROTO_1|SSH_PROTO_2))) {
1644                 logit("sshd: no hostkeys available -- exiting.");
1645                 exit(1);
1646         }
1647
1648         /*
1649          * Load certificates. They are stored in an array at identical
1650          * indices to the public keys that they relate to.
1651          */
1652         sensitive_data.host_certificates = xcalloc(options.num_host_key_files,
1653             sizeof(Key *));
1654         for (i = 0; i < options.num_host_key_files; i++)
1655                 sensitive_data.host_certificates[i] = NULL;
1656
1657         for (i = 0; i < options.num_host_cert_files; i++) {
1658                 key = key_load_public(options.host_cert_files[i], NULL);
1659                 if (key == NULL) {
1660                         error("Could not load host certificate: %s",
1661                             options.host_cert_files[i]);
1662                         continue;
1663                 }
1664                 if (!key_is_cert(key)) {
1665                         error("Certificate file is not a certificate: %s",
1666                             options.host_cert_files[i]);
1667                         key_free(key);
1668                         continue;
1669                 }
1670                 /* Find matching private key */
1671                 for (j = 0; j < options.num_host_key_files; j++) {
1672                         if (key_equal_public(key,
1673                             sensitive_data.host_keys[j])) {
1674                                 sensitive_data.host_certificates[j] = key;
1675                                 break;
1676                         }
1677                 }
1678                 if (j >= options.num_host_key_files) {
1679                         error("No matching private key for certificate: %s",
1680                             options.host_cert_files[i]);
1681                         key_free(key);
1682                         continue;
1683                 }
1684                 sensitive_data.host_certificates[j] = key;
1685                 debug("host certificate: #%d type %d %s", j, key->type,
1686                     key_type(key));
1687         }
1688         /* Check certain values for sanity. */
1689         if (options.protocol & SSH_PROTO_1) {
1690                 if (options.server_key_bits < 512 ||
1691                     options.server_key_bits > 32768) {
1692                         fprintf(stderr, "Bad server key size.\n");
1693                         exit(1);
1694                 }
1695                 /*
1696                  * Check that server and host key lengths differ sufficiently. This
1697                  * is necessary to make double encryption work with rsaref. Oh, I
1698                  * hate software patents. I dont know if this can go? Niels
1699                  */
1700                 if (options.server_key_bits >
1701                     BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) -
1702                     SSH_KEY_BITS_RESERVED && options.server_key_bits <
1703                     BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) +
1704                     SSH_KEY_BITS_RESERVED) {
1705                         options.server_key_bits =
1706                             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) +
1707                             SSH_KEY_BITS_RESERVED;
1708                         debug("Forcing server key to %d bits to make it differ from host key.",
1709                             options.server_key_bits);
1710                 }
1711         }
1712
1713         if (use_privsep) {
1714                 struct stat st;
1715
1716                 if ((stat(_PATH_PRIVSEP_CHROOT_DIR, &st) == -1) ||
1717                     (S_ISDIR(st.st_mode) == 0))
1718                         fatal("Missing privilege separation directory: %s",
1719                             _PATH_PRIVSEP_CHROOT_DIR);
1720
1721 #ifdef HAVE_CYGWIN
1722                 if (check_ntsec(_PATH_PRIVSEP_CHROOT_DIR) &&
1723                     (st.st_uid != getuid () ||
1724                     (st.st_mode & (S_IWGRP|S_IWOTH)) != 0))
1725 #else
1726                 if (st.st_uid != 0 || (st.st_mode & (S_IWGRP|S_IWOTH)) != 0)
1727 #endif
1728                         fatal("%s must be owned by root and not group or "
1729                             "world-writable.", _PATH_PRIVSEP_CHROOT_DIR);
1730         }
1731
1732         if (test_flag > 1) {
1733                 if (server_match_spec_complete(connection_info) == 1)
1734                         parse_server_match_config(&options, connection_info);
1735                 dump_config(&options);
1736         }
1737
1738         /* Configuration looks good, so exit if in test mode. */
1739         if (test_flag)
1740                 exit(0);
1741
1742         /*
1743          * Clear out any supplemental groups we may have inherited.  This
1744          * prevents inadvertent creation of files with bad modes (in the
1745          * portable version at least, it's certainly possible for PAM
1746          * to create a file, and we can't control the code in every
1747          * module which might be used).
1748          */
1749         if (setgroups(0, NULL) < 0)
1750                 debug("setgroups() failed: %.200s", strerror(errno));
1751
1752         if (rexec_flag) {
1753                 rexec_argv = xcalloc(rexec_argc + 2, sizeof(char *));
1754                 for (i = 0; i < rexec_argc; i++) {
1755                         debug("rexec_argv[%d]='%s'", i, saved_argv[i]);
1756                         rexec_argv[i] = saved_argv[i];
1757                 }
1758                 rexec_argv[rexec_argc] = "-R";
1759                 rexec_argv[rexec_argc + 1] = NULL;
1760         }
1761
1762         /* Ensure that umask disallows at least group and world write */
1763         new_umask = umask(0077) | 0022;
1764         (void) umask(new_umask);
1765
1766         /* Initialize the log (it is reinitialized below in case we forked). */
1767         if (debug_flag && (!inetd_flag || rexeced_flag))
1768                 log_stderr = 1;
1769         log_init(__progname, options.log_level, options.log_facility, log_stderr);
1770
1771         /*
1772          * If not in debugging mode, and not started from inetd, disconnect
1773          * from the controlling terminal, and fork.  The original process
1774          * exits.
1775          */
1776         if (!(debug_flag || inetd_flag || no_daemon_flag)) {
1777 #ifdef TIOCNOTTY
1778                 int fd;
1779 #endif /* TIOCNOTTY */
1780                 if (daemon(0, 0) < 0)
1781                         fatal("daemon() failed: %.200s", strerror(errno));
1782
1783                 /* Disconnect from the controlling tty. */
1784 #ifdef TIOCNOTTY
1785                 fd = open(_PATH_TTY, O_RDWR | O_NOCTTY);
1786                 if (fd >= 0) {
1787                         (void) ioctl(fd, TIOCNOTTY, NULL);
1788                         close(fd);
1789                 }
1790 #endif /* TIOCNOTTY */
1791         }
1792         /* Reinitialize the log (because of the fork above). */
1793         log_init(__progname, options.log_level, options.log_facility, log_stderr);
1794
1795         /* Initialize the random number generator. */
1796         arc4random_stir();
1797
1798         /* Chdir to the root directory so that the current disk can be
1799            unmounted if desired. */
1800         chdir("/");
1801
1802         /* ignore SIGPIPE */
1803         signal(SIGPIPE, SIG_IGN);
1804
1805         /* Get a connection, either from inetd or a listening TCP socket */
1806         if (inetd_flag) {
1807                 server_accept_inetd(&sock_in, &sock_out);
1808         } else {
1809                 platform_pre_listen();
1810                 server_listen();
1811
1812                 if (options.protocol & SSH_PROTO_1)
1813                         generate_ephemeral_server_key();
1814
1815                 signal(SIGHUP, sighup_handler);
1816                 signal(SIGCHLD, main_sigchld_handler);
1817                 signal(SIGTERM, sigterm_handler);
1818                 signal(SIGQUIT, sigterm_handler);
1819
1820                 /*
1821                  * Write out the pid file after the sigterm handler
1822                  * is setup and the listen sockets are bound
1823                  */
1824                 if (!debug_flag) {
1825                         FILE *f = fopen(options.pid_file, "w");
1826
1827                         if (f == NULL) {
1828                                 error("Couldn't create pid file \"%s\": %s",
1829                                     options.pid_file, strerror(errno));
1830                         } else {
1831                                 fprintf(f, "%ld\n", (long) getpid());
1832                                 fclose(f);
1833                         }
1834                 }
1835
1836                 /* Accept a connection and return in a forked child */
1837                 server_accept_loop(&sock_in, &sock_out,
1838                     &newsock, config_s);
1839         }
1840
1841         /* This is the child processing a new connection. */
1842         setproctitle("%s", "[accepted]");
1843
1844        /*
1845         * Initialize the resolver.  This may not happen automatically
1846         * before privsep chroot().
1847         */
1848        if ((_res.options & RES_INIT) == 0) {
1849                debug("res_init()");
1850                res_init();
1851        }
1852
1853         /*
1854          * Create a new session and process group since the 4.4BSD
1855          * setlogin() affects the entire process group.  We don't
1856          * want the child to be able to affect the parent.
1857          */
1858 #if !defined(SSHD_ACQUIRES_CTTY)
1859         /*
1860          * If setsid is called, on some platforms sshd will later acquire a
1861          * controlling terminal which will result in "could not set
1862          * controlling tty" errors.
1863          */
1864         if (!debug_flag && !inetd_flag && setsid() < 0)
1865                 error("setsid: %.100s", strerror(errno));
1866 #endif
1867
1868         if (rexec_flag) {
1869                 int fd;
1870
1871                 debug("rexec start in %d out %d newsock %d pipe %d sock %d",
1872                     sock_in, sock_out, newsock, startup_pipe, config_s[0]);
1873                 dup2(newsock, STDIN_FILENO);
1874                 dup2(STDIN_FILENO, STDOUT_FILENO);
1875                 if (startup_pipe == -1)
1876                         close(REEXEC_STARTUP_PIPE_FD);
1877                 else
1878                         dup2(startup_pipe, REEXEC_STARTUP_PIPE_FD);
1879
1880                 dup2(config_s[1], REEXEC_CONFIG_PASS_FD);
1881                 close(config_s[1]);
1882                 if (startup_pipe != -1)
1883                         close(startup_pipe);
1884
1885                 execv(rexec_argv[0], rexec_argv);
1886
1887                 /* Reexec has failed, fall back and continue */
1888                 error("rexec of %s failed: %s", rexec_argv[0], strerror(errno));
1889                 recv_rexec_state(REEXEC_CONFIG_PASS_FD, NULL);
1890                 log_init(__progname, options.log_level,
1891                     options.log_facility, log_stderr);
1892
1893                 /* Clean up fds */
1894                 startup_pipe = REEXEC_STARTUP_PIPE_FD;
1895                 close(config_s[1]);
1896                 close(REEXEC_CONFIG_PASS_FD);
1897                 newsock = sock_out = sock_in = dup(STDIN_FILENO);
1898                 if ((fd = open(_PATH_DEVNULL, O_RDWR, 0)) != -1) {
1899                         dup2(fd, STDIN_FILENO);
1900                         dup2(fd, STDOUT_FILENO);
1901                         if (fd > STDERR_FILENO)
1902                                 close(fd);
1903                 }
1904                 debug("rexec cleanup in %d out %d newsock %d pipe %d sock %d",
1905                     sock_in, sock_out, newsock, startup_pipe, config_s[0]);
1906         }
1907
1908         /* Executed child processes don't need these. */
1909         fcntl(sock_out, F_SETFD, FD_CLOEXEC);
1910         fcntl(sock_in, F_SETFD, FD_CLOEXEC);
1911
1912         /*
1913          * Disable the key regeneration alarm.  We will not regenerate the
1914          * key since we are no longer in a position to give it to anyone. We
1915          * will not restart on SIGHUP since it no longer makes sense.
1916          */
1917         alarm(0);
1918         signal(SIGALRM, SIG_DFL);
1919         signal(SIGHUP, SIG_DFL);
1920         signal(SIGTERM, SIG_DFL);
1921         signal(SIGQUIT, SIG_DFL);
1922         signal(SIGCHLD, SIG_DFL);
1923         signal(SIGINT, SIG_DFL);
1924
1925         /*
1926          * Register our connection.  This turns encryption off because we do
1927          * not have a key.
1928          */
1929         packet_set_connection(sock_in, sock_out);
1930         packet_set_server();
1931
1932         /* Set SO_KEEPALIVE if requested. */
1933         if (options.tcp_keep_alive && packet_connection_is_on_socket() &&
1934             setsockopt(sock_in, SOL_SOCKET, SO_KEEPALIVE, &on, sizeof(on)) < 0)
1935                 error("setsockopt SO_KEEPALIVE: %.100s", strerror(errno));
1936
1937         if ((remote_port = get_remote_port()) < 0) {
1938                 debug("get_remote_port failed");
1939                 cleanup_exit(255);
1940         }
1941
1942         /*
1943          * We use get_canonical_hostname with usedns = 0 instead of
1944          * get_remote_ipaddr here so IP options will be checked.
1945          */
1946         (void) get_canonical_hostname(0);
1947         /*
1948          * The rest of the code depends on the fact that
1949          * get_remote_ipaddr() caches the remote ip, even if
1950          * the socket goes away.
1951          */
1952         remote_ip = get_remote_ipaddr();
1953
1954 #ifdef SSH_AUDIT_EVENTS
1955         audit_connection_from(remote_ip, remote_port);
1956 #endif
1957 #ifdef LIBWRAP
1958         allow_severity = options.log_facility|LOG_INFO;
1959         deny_severity = options.log_facility|LOG_WARNING;
1960         /* Check whether logins are denied from this host. */
1961         if (packet_connection_is_on_socket()) {
1962                 struct request_info req;
1963
1964                 request_init(&req, RQ_DAEMON, __progname, RQ_FILE, sock_in, 0);
1965                 fromhost(&req);
1966
1967                 if (!hosts_access(&req)) {
1968                         debug("Connection refused by tcp wrapper");
1969                         refuse(&req);
1970                         /* NOTREACHED */
1971                         fatal("libwrap refuse returns");
1972                 }
1973         }
1974 #endif /* LIBWRAP */
1975
1976         /* Log the connection. */
1977         verbose("Connection from %.500s port %d", remote_ip, remote_port);
1978
1979         /* set the HPN options for the child */
1980         channel_set_hpn(options.hpn_disabled, options.hpn_buffer_size);
1981
1982         /*
1983          * We don't want to listen forever unless the other side
1984          * successfully authenticates itself.  So we set up an alarm which is
1985          * cleared after successful authentication.  A limit of zero
1986          * indicates no limit. Note that we don't set the alarm in debugging
1987          * mode; it is just annoying to have the server exit just when you
1988          * are about to discover the bug.
1989          */
1990         signal(SIGALRM, grace_alarm_handler);
1991         if (!debug_flag)
1992                 alarm(options.login_grace_time);
1993
1994         sshd_exchange_identification(sock_in, sock_out);
1995
1996         /* In inetd mode, generate ephemeral key only for proto 1 connections */
1997         if (!compat20 && inetd_flag && sensitive_data.server_key == NULL)
1998                 generate_ephemeral_server_key();
1999
2000         packet_set_nonblocking();
2001
2002         /* allocate authentication context */
2003         authctxt = xcalloc(1, sizeof(*authctxt));
2004
2005         authctxt->loginmsg = &loginmsg;
2006
2007         /* XXX global for cleanup, access from other modules */
2008         the_authctxt = authctxt;
2009
2010         /* prepare buffer to collect messages to display to user after login */
2011         buffer_init(&loginmsg);
2012         auth_debug_reset();
2013
2014         if (use_privsep)
2015                 if (privsep_preauth(authctxt) == 1)
2016                         goto authenticated;
2017
2018         /* perform the key exchange */
2019         /* authenticate user and start session */
2020         if (compat20) {
2021                 do_ssh2_kex();
2022                 do_authentication2(authctxt);
2023         } else {
2024                 do_ssh1_kex();
2025                 do_authentication(authctxt);
2026         }
2027         /*
2028          * If we use privilege separation, the unprivileged child transfers
2029          * the current keystate and exits
2030          */
2031         if (use_privsep) {
2032                 mm_send_keystate(pmonitor);
2033                 exit(0);
2034         }
2035
2036  authenticated:
2037         /*
2038          * Cancel the alarm we set to limit the time taken for
2039          * authentication.
2040          */
2041         alarm(0);
2042         signal(SIGALRM, SIG_DFL);
2043         authctxt->authenticated = 1;
2044         if (startup_pipe != -1) {
2045                 close(startup_pipe);
2046                 startup_pipe = -1;
2047         }
2048
2049 #ifdef SSH_AUDIT_EVENTS
2050         audit_event(SSH_AUTH_SUCCESS);
2051 #endif
2052
2053 #ifdef GSSAPI
2054         if (options.gss_authentication) {
2055                 temporarily_use_uid(authctxt->pw);
2056                 ssh_gssapi_storecreds();
2057                 restore_uid();
2058         }
2059 #endif
2060 #ifdef USE_PAM
2061         if (options.use_pam) {
2062                 do_pam_setcred(1);
2063                 do_pam_session();
2064         }
2065 #endif
2066
2067         /*
2068          * In privilege separation, we fork another child and prepare
2069          * file descriptor passing.
2070          */
2071         if (use_privsep) {
2072                 privsep_postauth(authctxt);
2073                 /* the monitor process [priv] will not return */
2074                 if (!compat20)
2075                         destroy_sensitive_data();
2076         }
2077
2078         packet_set_timeout(options.client_alive_interval,
2079             options.client_alive_count_max);
2080
2081         /* Start session. */
2082         do_authenticated(authctxt);
2083
2084         /* The connection has been terminated. */
2085         packet_get_state(MODE_IN, NULL, NULL, NULL, &ibytes);
2086         packet_get_state(MODE_OUT, NULL, NULL, NULL, &obytes);
2087         verbose("Transferred: sent %llu, received %llu bytes",
2088             (unsigned long long)obytes, (unsigned long long)ibytes);
2089
2090         verbose("Closing connection to %.500s port %d", remote_ip, remote_port);
2091
2092 #ifdef USE_PAM
2093         if (options.use_pam)
2094                 finish_pam();
2095 #endif /* USE_PAM */
2096
2097 #ifdef SSH_AUDIT_EVENTS
2098         PRIVSEP(audit_event(SSH_CONNECTION_CLOSE));
2099 #endif
2100
2101         packet_close();
2102
2103         if (use_privsep)
2104                 mm_terminate();
2105
2106         exit(0);
2107 }
2108
2109 /*
2110  * Decrypt session_key_int using our private server key and private host key
2111  * (key with larger modulus first).
2112  */
2113 int
2114 ssh1_session_key(BIGNUM *session_key_int)
2115 {
2116         int rsafail = 0;
2117
2118         if (BN_cmp(sensitive_data.server_key->rsa->n,
2119             sensitive_data.ssh1_host_key->rsa->n) > 0) {
2120                 /* Server key has bigger modulus. */
2121                 if (BN_num_bits(sensitive_data.server_key->rsa->n) <
2122                     BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) +
2123                     SSH_KEY_BITS_RESERVED) {
2124                         fatal("do_connection: %s: "
2125                             "server_key %d < host_key %d + SSH_KEY_BITS_RESERVED %d",
2126                             get_remote_ipaddr(),
2127                             BN_num_bits(sensitive_data.server_key->rsa->n),
2128                             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n),
2129                             SSH_KEY_BITS_RESERVED);
2130                 }
2131                 if (rsa_private_decrypt(session_key_int, session_key_int,
2132                     sensitive_data.server_key->rsa) <= 0)
2133                         rsafail++;
2134                 if (rsa_private_decrypt(session_key_int, session_key_int,
2135                     sensitive_data.ssh1_host_key->rsa) <= 0)
2136                         rsafail++;
2137         } else {
2138                 /* Host key has bigger modulus (or they are equal). */
2139                 if (BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) <
2140                     BN_num_bits(sensitive_data.server_key->rsa->n) +
2141                     SSH_KEY_BITS_RESERVED) {
2142                         fatal("do_connection: %s: "
2143                             "host_key %d < server_key %d + SSH_KEY_BITS_RESERVED %d",
2144                             get_remote_ipaddr(),
2145                             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n),
2146                             BN_num_bits(sensitive_data.server_key->rsa->n),
2147                             SSH_KEY_BITS_RESERVED);
2148                 }
2149                 if (rsa_private_decrypt(session_key_int, session_key_int,
2150                     sensitive_data.ssh1_host_key->rsa) < 0)
2151                         rsafail++;
2152                 if (rsa_private_decrypt(session_key_int, session_key_int,
2153                     sensitive_data.server_key->rsa) < 0)
2154                         rsafail++;
2155         }
2156         return (rsafail);
2157 }
2158 /*
2159  * SSH1 key exchange
2160  */
2161 static void
2162 do_ssh1_kex(void)
2163 {
2164         int i, len;
2165         int rsafail = 0;
2166         BIGNUM *session_key_int;
2167         u_char session_key[SSH_SESSION_KEY_LENGTH];
2168         u_char cookie[8];
2169         u_int cipher_type, auth_mask, protocol_flags;
2170
2171         /*
2172          * Generate check bytes that the client must send back in the user
2173          * packet in order for it to be accepted; this is used to defy ip
2174          * spoofing attacks.  Note that this only works against somebody
2175          * doing IP spoofing from a remote machine; any machine on the local
2176          * network can still see outgoing packets and catch the random
2177          * cookie.  This only affects rhosts authentication, and this is one
2178          * of the reasons why it is inherently insecure.
2179          */
2180         arc4random_buf(cookie, sizeof(cookie));
2181
2182         /*
2183          * Send our public key.  We include in the packet 64 bits of random
2184          * data that must be matched in the reply in order to prevent IP
2185          * spoofing.
2186          */
2187         packet_start(SSH_SMSG_PUBLIC_KEY);
2188         for (i = 0; i < 8; i++)
2189                 packet_put_char(cookie[i]);
2190
2191         /* Store our public server RSA key. */
2192         packet_put_int(BN_num_bits(sensitive_data.server_key->rsa->n));
2193         packet_put_bignum(sensitive_data.server_key->rsa->e);
2194         packet_put_bignum(sensitive_data.server_key->rsa->n);
2195
2196         /* Store our public host RSA key. */
2197         packet_put_int(BN_num_bits(sensitive_data.ssh1_host_key->rsa->n));
2198         packet_put_bignum(sensitive_data.ssh1_host_key->rsa->e);
2199         packet_put_bignum(sensitive_data.ssh1_host_key->rsa->n);
2200
2201         /* Put protocol flags. */
2202         packet_put_int(SSH_PROTOFLAG_HOST_IN_FWD_OPEN);
2203
2204         /* Declare which ciphers we support. */
2205         packet_put_int(cipher_mask_ssh1(0));
2206
2207         /* Declare supported authentication types. */
2208         auth_mask = 0;
2209         if (options.rhosts_rsa_authentication)
2210                 auth_mask |= 1 << SSH_AUTH_RHOSTS_RSA;
2211         if (options.rsa_authentication)
2212                 auth_mask |= 1 << SSH_AUTH_RSA;
2213         if (options.challenge_response_authentication == 1)
2214                 auth_mask |= 1 << SSH_AUTH_TIS;
2215         if (options.password_authentication)
2216                 auth_mask |= 1 << SSH_AUTH_PASSWORD;
2217         packet_put_int(auth_mask);
2218
2219         /* Send the packet and wait for it to be sent. */
2220         packet_send();
2221         packet_write_wait();
2222
2223         debug("Sent %d bit server key and %d bit host key.",
2224             BN_num_bits(sensitive_data.server_key->rsa->n),
2225             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n));
2226
2227         /* Read clients reply (cipher type and session key). */
2228         packet_read_expect(SSH_CMSG_SESSION_KEY);
2229
2230         /* Get cipher type and check whether we accept this. */
2231         cipher_type = packet_get_char();
2232
2233         if (!(cipher_mask_ssh1(0) & (1 << cipher_type)))
2234                 packet_disconnect("Warning: client selects unsupported cipher.");
2235
2236         /* Get check bytes from the packet.  These must match those we
2237            sent earlier with the public key packet. */
2238         for (i = 0; i < 8; i++)
2239                 if (cookie[i] != packet_get_char())
2240                         packet_disconnect("IP Spoofing check bytes do not match.");
2241
2242         debug("Encryption type: %.200s", cipher_name(cipher_type));
2243
2244         /* Get the encrypted integer. */
2245         if ((session_key_int = BN_new()) == NULL)
2246                 fatal("do_ssh1_kex: BN_new failed");
2247         packet_get_bignum(session_key_int);
2248
2249         protocol_flags = packet_get_int();
2250         packet_set_protocol_flags(protocol_flags);
2251         packet_check_eom();
2252
2253         /* Decrypt session_key_int using host/server keys */
2254         rsafail = PRIVSEP(ssh1_session_key(session_key_int));
2255
2256         /*
2257          * Extract session key from the decrypted integer.  The key is in the
2258          * least significant 256 bits of the integer; the first byte of the
2259          * key is in the highest bits.
2260          */
2261         if (!rsafail) {
2262                 (void) BN_mask_bits(session_key_int, sizeof(session_key) * 8);
2263                 len = BN_num_bytes(session_key_int);
2264                 if (len < 0 || (u_int)len > sizeof(session_key)) {
2265                         error("do_ssh1_kex: bad session key len from %s: "
2266                             "session_key_int %d > sizeof(session_key) %lu",
2267                             get_remote_ipaddr(), len, (u_long)sizeof(session_key));
2268                         rsafail++;
2269                 } else {
2270                         memset(session_key, 0, sizeof(session_key));
2271                         BN_bn2bin(session_key_int,
2272                             session_key + sizeof(session_key) - len);
2273
2274                         derive_ssh1_session_id(
2275                             sensitive_data.ssh1_host_key->rsa->n,
2276                             sensitive_data.server_key->rsa->n,
2277                             cookie, session_id);
2278                         /*
2279                          * Xor the first 16 bytes of the session key with the
2280                          * session id.
2281                          */
2282                         for (i = 0; i < 16; i++)
2283                                 session_key[i] ^= session_id[i];
2284                 }
2285         }
2286         if (rsafail) {
2287                 int bytes = BN_num_bytes(session_key_int);
2288                 u_char *buf = xmalloc(bytes);
2289                 MD5_CTX md;
2290
2291                 logit("do_connection: generating a fake encryption key");
2292                 BN_bn2bin(session_key_int, buf);
2293                 MD5_Init(&md);
2294                 MD5_Update(&md, buf, bytes);
2295                 MD5_Update(&md, sensitive_data.ssh1_cookie, SSH_SESSION_KEY_LENGTH);
2296                 MD5_Final(session_key, &md);
2297                 MD5_Init(&md);
2298                 MD5_Update(&md, session_key, 16);
2299                 MD5_Update(&md, buf, bytes);
2300                 MD5_Update(&md, sensitive_data.ssh1_cookie, SSH_SESSION_KEY_LENGTH);
2301                 MD5_Final(session_key + 16, &md);
2302                 memset(buf, 0, bytes);
2303                 xfree(buf);
2304                 for (i = 0; i < 16; i++)
2305                         session_id[i] = session_key[i] ^ session_key[i + 16];
2306         }
2307         /* Destroy the private and public keys. No longer. */
2308         destroy_sensitive_data();
2309
2310         if (use_privsep)
2311                 mm_ssh1_session_id(session_id);
2312
2313         /* Destroy the decrypted integer.  It is no longer needed. */
2314         BN_clear_free(session_key_int);
2315
2316         /* Set the session key.  From this on all communications will be encrypted. */
2317         packet_set_encryption_key(session_key, SSH_SESSION_KEY_LENGTH, cipher_type);
2318
2319         /* Destroy our copy of the session key.  It is no longer needed. */
2320         memset(session_key, 0, sizeof(session_key));
2321
2322         debug("Received session key; encryption turned on.");
2323
2324         /* Send an acknowledgment packet.  Note that this packet is sent encrypted. */
2325         packet_start(SSH_SMSG_SUCCESS);
2326         packet_send();
2327         packet_write_wait();
2328 }
2329
2330 /*
2331  * SSH2 key exchange: diffie-hellman-group1-sha1
2332  */
2333 static void
2334 do_ssh2_kex(void)
2335 {
2336         Kex *kex;
2337
2338         myflag++;
2339         debug ("MYFLAG IS %d", myflag);
2340         if (options.ciphers != NULL) {
2341                 myproposal[PROPOSAL_ENC_ALGS_CTOS] =
2342                 myproposal[PROPOSAL_ENC_ALGS_STOC] = options.ciphers;
2343         } else if (options.none_enabled == 1) {
2344                 debug ("WARNING: None cipher enabled");
2345                 myproposal[PROPOSAL_ENC_ALGS_CTOS] =
2346                 myproposal[PROPOSAL_ENC_ALGS_STOC] = KEX_ENCRYPT_INCLUDE_NONE;
2347         }
2348         myproposal[PROPOSAL_ENC_ALGS_CTOS] =
2349             compat_cipher_proposal(myproposal[PROPOSAL_ENC_ALGS_CTOS]);
2350         myproposal[PROPOSAL_ENC_ALGS_STOC] =
2351             compat_cipher_proposal(myproposal[PROPOSAL_ENC_ALGS_STOC]);
2352
2353         if (options.macs != NULL) {
2354                 myproposal[PROPOSAL_MAC_ALGS_CTOS] =
2355                 myproposal[PROPOSAL_MAC_ALGS_STOC] = options.macs;
2356         }
2357         if (options.compression == COMP_NONE) {
2358                 myproposal[PROPOSAL_COMP_ALGS_CTOS] =
2359                 myproposal[PROPOSAL_COMP_ALGS_STOC] = "none";
2360         } else if (options.compression == COMP_DELAYED) {
2361                 myproposal[PROPOSAL_COMP_ALGS_CTOS] =
2362                 myproposal[PROPOSAL_COMP_ALGS_STOC] = "none,zlib@openssh.com";
2363         }
2364         if (options.kex_algorithms != NULL)
2365                 myproposal[PROPOSAL_KEX_ALGS] = options.kex_algorithms;
2366
2367         myproposal[PROPOSAL_SERVER_HOST_KEY_ALGS] = list_hostkey_types();
2368
2369         /* start key exchange */
2370         kex = kex_setup(myproposal);
2371         kex->kex[KEX_DH_GRP1_SHA1] = kexdh_server;
2372         kex->kex[KEX_DH_GRP14_SHA1] = kexdh_server;
2373         kex->kex[KEX_DH_GEX_SHA1] = kexgex_server;
2374         kex->kex[KEX_DH_GEX_SHA256] = kexgex_server;
2375         kex->kex[KEX_ECDH_SHA2] = kexecdh_server;
2376         kex->server = 1;
2377         kex->client_version_string=client_version_string;
2378         kex->server_version_string=server_version_string;
2379         kex->load_host_public_key=&get_hostkey_public_by_type;
2380         kex->load_host_private_key=&get_hostkey_private_by_type;
2381         kex->host_key_index=&get_hostkey_index;
2382
2383         xxx_kex = kex;
2384
2385         dispatch_run(DISPATCH_BLOCK, &kex->done, kex);
2386
2387         session_id2 = kex->session_id;
2388         session_id2_len = kex->session_id_len;
2389
2390 #ifdef DEBUG_KEXDH
2391         /* send 1st encrypted/maced/compressed message */
2392         packet_start(SSH2_MSG_IGNORE);
2393         packet_put_cstring("markus");
2394         packet_send();
2395         packet_write_wait();
2396 #endif
2397         debug("KEX done");
2398 }
2399
2400 /* server specific fatal cleanup */
2401 void
2402 cleanup_exit(int i)
2403 {
2404         if (the_authctxt) {
2405                 do_cleanup(the_authctxt);
2406                 if (use_privsep && privsep_is_preauth && pmonitor->m_pid > 1) {
2407                         debug("Killing privsep child %d", pmonitor->m_pid);
2408                         if (kill(pmonitor->m_pid, SIGKILL) != 0 &&
2409                             errno != ESRCH)
2410                                 error("%s: kill(%d): %s", __func__,
2411                                     pmonitor->m_pid, strerror(errno));
2412                 }
2413         }
2414 #ifdef SSH_AUDIT_EVENTS
2415         /* done after do_cleanup so it can cancel the PAM auth 'thread' */
2416         if (!use_privsep || mm_is_monitor())
2417                 audit_event(SSH_CONNECTION_ABANDON);
2418 #endif
2419         _exit(i);
2420 }