Import OpenSSH-6.7p1.
[dragonfly.git] / crypto / openssh / sshd.c
1 /* $OpenBSD: sshd.c,v 1.428 2014/07/15 15:54:14 millert Exp $ */
2 /*
3  * Author: Tatu Ylonen <ylo@cs.hut.fi>
4  * Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
5  *                    All rights reserved
6  * This program is the ssh daemon.  It listens for connections from clients,
7  * and performs authentication, executes use commands or shell, and forwards
8  * information to/from the application to the user client over an encrypted
9  * connection.  This can also handle forwarding of X11, TCP/IP, and
10  * authentication agent connections.
11  *
12  * As far as I am concerned, the code I have written for this software
13  * can be used freely for any purpose.  Any derived versions of this
14  * software must be clearly marked as such, and if the derived work is
15  * incompatible with the protocol description in the RFC file, it must be
16  * called by a name other than "ssh" or "Secure Shell".
17  *
18  * SSH2 implementation:
19  * Privilege Separation:
20  *
21  * Copyright (c) 2000, 2001, 2002 Markus Friedl.  All rights reserved.
22  * Copyright (c) 2002 Niels Provos.  All rights reserved.
23  *
24  * Redistribution and use in source and binary forms, with or without
25  * modification, are permitted provided that the following conditions
26  * are met:
27  * 1. Redistributions of source code must retain the above copyright
28  *    notice, this list of conditions and the following disclaimer.
29  * 2. Redistributions in binary form must reproduce the above copyright
30  *    notice, this list of conditions and the following disclaimer in the
31  *    documentation and/or other materials provided with the distribution.
32  *
33  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
34  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
35  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
36  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
37  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
38  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
39  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
40  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
41  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
42  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
43  */
44
45 #include "includes.h"
46
47 #include <sys/types.h>
48 #include <sys/ioctl.h>
49 #include <sys/socket.h>
50 #ifdef HAVE_SYS_STAT_H
51 # include <sys/stat.h>
52 #endif
53 #ifdef HAVE_SYS_TIME_H
54 # include <sys/time.h>
55 #endif
56 #include "openbsd-compat/sys-tree.h"
57 #include "openbsd-compat/sys-queue.h"
58 #include <sys/wait.h>
59
60 #include <errno.h>
61 #include <fcntl.h>
62 #include <netdb.h>
63 #ifdef HAVE_PATHS_H
64 #include <paths.h>
65 #endif
66 #include <grp.h>
67 #include <pwd.h>
68 #include <signal.h>
69 #include <stdarg.h>
70 #include <stdio.h>
71 #include <stdlib.h>
72 #include <string.h>
73 #include <unistd.h>
74
75 #ifdef WITH_OPENSSL
76 #include <openssl/dh.h>
77 #include <openssl/bn.h>
78 #include <openssl/rand.h>
79 #include "openbsd-compat/openssl-compat.h"
80 #endif
81
82 #ifdef HAVE_SECUREWARE
83 #include <sys/security.h>
84 #include <prot.h>
85 #endif
86
87 #include "xmalloc.h"
88 #include "ssh.h"
89 #include "ssh1.h"
90 #include "ssh2.h"
91 #include "rsa.h"
92 #include "sshpty.h"
93 #include "packet.h"
94 #include "log.h"
95 #include "buffer.h"
96 #include "misc.h"
97 #include "servconf.h"
98 #include "uidswap.h"
99 #include "compat.h"
100 #include "cipher.h"
101 #include "digest.h"
102 #include "key.h"
103 #include "kex.h"
104 #include "myproposal.h"
105 #include "authfile.h"
106 #include "pathnames.h"
107 #include "atomicio.h"
108 #include "canohost.h"
109 #include "hostfile.h"
110 #include "auth.h"
111 #include "authfd.h"
112 #include "msg.h"
113 #include "dispatch.h"
114 #include "channels.h"
115 #include "session.h"
116 #include "monitor_mm.h"
117 #include "monitor.h"
118 #ifdef GSSAPI
119 #include "ssh-gss.h"
120 #endif
121 #include "monitor_wrap.h"
122 #include "roaming.h"
123 #include "ssh-sandbox.h"
124 #include "version.h"
125
126 #ifndef O_NOCTTY
127 #define O_NOCTTY        0
128 #endif
129
130 /* Re-exec fds */
131 #define REEXEC_DEVCRYPTO_RESERVED_FD    (STDERR_FILENO + 1)
132 #define REEXEC_STARTUP_PIPE_FD          (STDERR_FILENO + 2)
133 #define REEXEC_CONFIG_PASS_FD           (STDERR_FILENO + 3)
134 #define REEXEC_MIN_FREE_FD              (STDERR_FILENO + 4)
135
136 extern char *__progname;
137
138 /* Server configuration options. */
139 ServerOptions options;
140
141 /* Name of the server configuration file. */
142 char *config_file_name = _PATH_SERVER_CONFIG_FILE;
143
144 /*
145  * Debug mode flag.  This can be set on the command line.  If debug
146  * mode is enabled, extra debugging output will be sent to the system
147  * log, the daemon will not go to background, and will exit after processing
148  * the first connection.
149  */
150 int debug_flag = 0;
151
152 /* Flag indicating that the daemon should only test the configuration and keys. */
153 int test_flag = 0;
154
155 /* Flag indicating that the daemon is being started from inetd. */
156 int inetd_flag = 0;
157
158 /* Flag indicating that sshd should not detach and become a daemon. */
159 int no_daemon_flag = 0;
160
161 /* debug goes to stderr unless inetd_flag is set */
162 int log_stderr = 0;
163
164 /* Saved arguments to main(). */
165 char **saved_argv;
166 int saved_argc;
167
168 /* re-exec */
169 int rexeced_flag = 0;
170 int rexec_flag = 1;
171 int rexec_argc = 0;
172 char **rexec_argv;
173
174 /*
175  * The sockets that the server is listening; this is used in the SIGHUP
176  * signal handler.
177  */
178 #define MAX_LISTEN_SOCKS        16
179 int listen_socks[MAX_LISTEN_SOCKS];
180 int num_listen_socks = 0;
181
182 /*
183  * the client's version string, passed by sshd2 in compat mode. if != NULL,
184  * sshd will skip the version-number exchange
185  */
186 char *client_version_string = NULL;
187 char *server_version_string = NULL;
188
189 /* for rekeying XXX fixme */
190 Kex *xxx_kex;
191
192 /* Daemon's agent connection */
193 AuthenticationConnection *auth_conn = NULL;
194 int have_agent = 0;
195
196 /*
197  * Any really sensitive data in the application is contained in this
198  * structure. The idea is that this structure could be locked into memory so
199  * that the pages do not get written into swap.  However, there are some
200  * problems. The private key contains BIGNUMs, and we do not (in principle)
201  * have access to the internals of them, and locking just the structure is
202  * not very useful.  Currently, memory locking is not implemented.
203  */
204 struct {
205         Key     *server_key;            /* ephemeral server key */
206         Key     *ssh1_host_key;         /* ssh1 host key */
207         Key     **host_keys;            /* all private host keys */
208         Key     **host_pubkeys;         /* all public host keys */
209         Key     **host_certificates;    /* all public host certificates */
210         int     have_ssh1_key;
211         int     have_ssh2_key;
212         u_char  ssh1_cookie[SSH_SESSION_KEY_LENGTH];
213 } sensitive_data;
214
215 /*
216  * Flag indicating whether the RSA server key needs to be regenerated.
217  * Is set in the SIGALRM handler and cleared when the key is regenerated.
218  */
219 static volatile sig_atomic_t key_do_regen = 0;
220
221 /* This is set to true when a signal is received. */
222 static volatile sig_atomic_t received_sighup = 0;
223 static volatile sig_atomic_t received_sigterm = 0;
224
225 /* session identifier, used by RSA-auth */
226 u_char session_id[16];
227
228 /* same for ssh2 */
229 u_char *session_id2 = NULL;
230 u_int session_id2_len = 0;
231
232 /* record remote hostname or ip */
233 u_int utmp_len = MAXHOSTNAMELEN;
234
235 /* options.max_startup sized array of fd ints */
236 int *startup_pipes = NULL;
237 int startup_pipe;               /* in child */
238
239 /* variables used for privilege separation */
240 int use_privsep = -1;
241 struct monitor *pmonitor = NULL;
242 int privsep_is_preauth = 1;
243
244 /* global authentication context */
245 Authctxt *the_authctxt = NULL;
246
247 /* sshd_config buffer */
248 Buffer cfg;
249
250 /* message to be displayed after login */
251 Buffer loginmsg;
252
253 /* Unprivileged user */
254 struct passwd *privsep_pw = NULL;
255
256 /* Prototypes for various functions defined later in this file. */
257 void destroy_sensitive_data(void);
258 void demote_sensitive_data(void);
259
260 #ifdef WITH_SSH1
261 static void do_ssh1_kex(void);
262 #endif
263 static void do_ssh2_kex(void);
264
265 /*
266  * Close all listening sockets
267  */
268 static void
269 close_listen_socks(void)
270 {
271         int i;
272
273         for (i = 0; i < num_listen_socks; i++)
274                 close(listen_socks[i]);
275         num_listen_socks = -1;
276 }
277
278 static void
279 close_startup_pipes(void)
280 {
281         int i;
282
283         if (startup_pipes)
284                 for (i = 0; i < options.max_startups; i++)
285                         if (startup_pipes[i] != -1)
286                                 close(startup_pipes[i]);
287 }
288
289 /*
290  * Signal handler for SIGHUP.  Sshd execs itself when it receives SIGHUP;
291  * the effect is to reread the configuration file (and to regenerate
292  * the server key).
293  */
294
295 /*ARGSUSED*/
296 static void
297 sighup_handler(int sig)
298 {
299         int save_errno = errno;
300
301         received_sighup = 1;
302         signal(SIGHUP, sighup_handler);
303         errno = save_errno;
304 }
305
306 /*
307  * Called from the main program after receiving SIGHUP.
308  * Restarts the server.
309  */
310 static void
311 sighup_restart(void)
312 {
313         logit("Received SIGHUP; restarting.");
314         platform_pre_restart();
315         close_listen_socks();
316         close_startup_pipes();
317         alarm(0);  /* alarm timer persists across exec */
318         signal(SIGHUP, SIG_IGN); /* will be restored after exec */
319         execv(saved_argv[0], saved_argv);
320         logit("RESTART FAILED: av[0]='%.100s', error: %.100s.", saved_argv[0],
321             strerror(errno));
322         exit(1);
323 }
324
325 /*
326  * Generic signal handler for terminating signals in the master daemon.
327  */
328 /*ARGSUSED*/
329 static void
330 sigterm_handler(int sig)
331 {
332         received_sigterm = sig;
333 }
334
335 /*
336  * SIGCHLD handler.  This is called whenever a child dies.  This will then
337  * reap any zombies left by exited children.
338  */
339 /*ARGSUSED*/
340 static void
341 main_sigchld_handler(int sig)
342 {
343         int save_errno = errno;
344         pid_t pid;
345         int status;
346
347         while ((pid = waitpid(-1, &status, WNOHANG)) > 0 ||
348             (pid < 0 && errno == EINTR))
349                 ;
350
351         signal(SIGCHLD, main_sigchld_handler);
352         errno = save_errno;
353 }
354
355 /*
356  * Signal handler for the alarm after the login grace period has expired.
357  */
358 /*ARGSUSED*/
359 static void
360 grace_alarm_handler(int sig)
361 {
362         if (use_privsep && pmonitor != NULL && pmonitor->m_pid > 0)
363                 kill(pmonitor->m_pid, SIGALRM);
364
365         /*
366          * Try to kill any processes that we have spawned, E.g. authorized
367          * keys command helpers.
368          */
369         if (getpgid(0) == getpid()) {
370                 signal(SIGTERM, SIG_IGN);
371                 kill(0, SIGTERM);
372         }
373
374         /* Log error and exit. */
375         sigdie("Timeout before authentication for %s", get_remote_ipaddr());
376 }
377
378 /*
379  * Signal handler for the key regeneration alarm.  Note that this
380  * alarm only occurs in the daemon waiting for connections, and it does not
381  * do anything with the private key or random state before forking.
382  * Thus there should be no concurrency control/asynchronous execution
383  * problems.
384  */
385 static void
386 generate_ephemeral_server_key(void)
387 {
388         verbose("Generating %s%d bit RSA key.",
389             sensitive_data.server_key ? "new " : "", options.server_key_bits);
390         if (sensitive_data.server_key != NULL)
391                 key_free(sensitive_data.server_key);
392         sensitive_data.server_key = key_generate(KEY_RSA1,
393             options.server_key_bits);
394         verbose("RSA key generation complete.");
395
396         arc4random_buf(sensitive_data.ssh1_cookie, SSH_SESSION_KEY_LENGTH);
397 }
398
399 /*ARGSUSED*/
400 static void
401 key_regeneration_alarm(int sig)
402 {
403         int save_errno = errno;
404
405         signal(SIGALRM, SIG_DFL);
406         errno = save_errno;
407         key_do_regen = 1;
408 }
409
410 static void
411 sshd_exchange_identification(int sock_in, int sock_out)
412 {
413         u_int i;
414         int mismatch;
415         int remote_major, remote_minor;
416         int major, minor;
417         char *s, *newline = "\n";
418         char buf[256];                  /* Must not be larger than remote_version. */
419         char remote_version[256];       /* Must be at least as big as buf. */
420
421         if ((options.protocol & SSH_PROTO_1) &&
422             (options.protocol & SSH_PROTO_2)) {
423                 major = PROTOCOL_MAJOR_1;
424                 minor = 99;
425         } else if (options.protocol & SSH_PROTO_2) {
426                 major = PROTOCOL_MAJOR_2;
427                 minor = PROTOCOL_MINOR_2;
428                 newline = "\r\n";
429         } else {
430                 major = PROTOCOL_MAJOR_1;
431                 minor = PROTOCOL_MINOR_1;
432         }
433
434         xasprintf(&server_version_string, "SSH-%d.%d-%.100s%s%s%s",
435             major, minor, SSH_VERSION,
436             *options.version_addendum == '\0' ? "" : " ",
437             options.version_addendum, newline);
438
439         /* Send our protocol version identification. */
440         if (roaming_atomicio(vwrite, sock_out, server_version_string,
441             strlen(server_version_string))
442             != strlen(server_version_string)) {
443                 logit("Could not write ident string to %s", get_remote_ipaddr());
444                 cleanup_exit(255);
445         }
446
447         /* Read other sides version identification. */
448         memset(buf, 0, sizeof(buf));
449         for (i = 0; i < sizeof(buf) - 1; i++) {
450                 if (roaming_atomicio(read, sock_in, &buf[i], 1) != 1) {
451                         logit("Did not receive identification string from %s",
452                             get_remote_ipaddr());
453                         cleanup_exit(255);
454                 }
455                 if (buf[i] == '\r') {
456                         buf[i] = 0;
457                         /* Kludge for F-Secure Macintosh < 1.0.2 */
458                         if (i == 12 &&
459                             strncmp(buf, "SSH-1.5-W1.0", 12) == 0)
460                                 break;
461                         continue;
462                 }
463                 if (buf[i] == '\n') {
464                         buf[i] = 0;
465                         break;
466                 }
467         }
468         buf[sizeof(buf) - 1] = 0;
469         client_version_string = xstrdup(buf);
470
471         /*
472          * Check that the versions match.  In future this might accept
473          * several versions and set appropriate flags to handle them.
474          */
475         if (sscanf(client_version_string, "SSH-%d.%d-%[^\n]\n",
476             &remote_major, &remote_minor, remote_version) != 3) {
477                 s = "Protocol mismatch.\n";
478                 (void) atomicio(vwrite, sock_out, s, strlen(s));
479                 logit("Bad protocol version identification '%.100s' "
480                     "from %s port %d", client_version_string,
481                     get_remote_ipaddr(), get_remote_port());
482                 close(sock_in);
483                 close(sock_out);
484                 cleanup_exit(255);
485         }
486         debug("Client protocol version %d.%d; client software version %.100s",
487             remote_major, remote_minor, remote_version);
488
489         compat_datafellows(remote_version);
490
491         if ((datafellows & SSH_BUG_PROBE) != 0) {
492                 logit("probed from %s with %s.  Don't panic.",
493                     get_remote_ipaddr(), client_version_string);
494                 cleanup_exit(255);
495         }
496         if ((datafellows & SSH_BUG_SCANNER) != 0) {
497                 logit("scanned from %s with %s.  Don't panic.",
498                     get_remote_ipaddr(), client_version_string);
499                 cleanup_exit(255);
500         }
501         if ((datafellows & SSH_BUG_RSASIGMD5) != 0) {
502                 logit("Client version \"%.100s\" uses unsafe RSA signature "
503                     "scheme; disabling use of RSA keys", remote_version);
504         }
505         if ((datafellows & SSH_BUG_DERIVEKEY) != 0) {
506                 fatal("Client version \"%.100s\" uses unsafe key agreement; "
507                     "refusing connection", remote_version);
508         }
509
510         mismatch = 0;
511         switch (remote_major) {
512         case 1:
513                 if (remote_minor == 99) {
514                         if (options.protocol & SSH_PROTO_2)
515                                 enable_compat20();
516                         else
517                                 mismatch = 1;
518                         break;
519                 }
520                 if (!(options.protocol & SSH_PROTO_1)) {
521                         mismatch = 1;
522                         break;
523                 }
524                 if (remote_minor < 3) {
525                         packet_disconnect("Your ssh version is too old and "
526                             "is no longer supported.  Please install a newer version.");
527                 } else if (remote_minor == 3) {
528                         /* note that this disables agent-forwarding */
529                         enable_compat13();
530                 }
531                 break;
532         case 2:
533                 if (options.protocol & SSH_PROTO_2) {
534                         enable_compat20();
535                         break;
536                 }
537                 /* FALLTHROUGH */
538         default:
539                 mismatch = 1;
540                 break;
541         }
542         chop(server_version_string);
543         debug("Local version string %.200s", server_version_string);
544
545         if (mismatch) {
546                 s = "Protocol major versions differ.\n";
547                 (void) atomicio(vwrite, sock_out, s, strlen(s));
548                 close(sock_in);
549                 close(sock_out);
550                 logit("Protocol major versions differ for %s: %.200s vs. %.200s",
551                     get_remote_ipaddr(),
552                     server_version_string, client_version_string);
553                 cleanup_exit(255);
554         }
555 }
556
557 /* Destroy the host and server keys.  They will no longer be needed. */
558 void
559 destroy_sensitive_data(void)
560 {
561         int i;
562
563         if (sensitive_data.server_key) {
564                 key_free(sensitive_data.server_key);
565                 sensitive_data.server_key = NULL;
566         }
567         for (i = 0; i < options.num_host_key_files; i++) {
568                 if (sensitive_data.host_keys[i]) {
569                         key_free(sensitive_data.host_keys[i]);
570                         sensitive_data.host_keys[i] = NULL;
571                 }
572                 if (sensitive_data.host_certificates[i]) {
573                         key_free(sensitive_data.host_certificates[i]);
574                         sensitive_data.host_certificates[i] = NULL;
575                 }
576         }
577         sensitive_data.ssh1_host_key = NULL;
578         explicit_bzero(sensitive_data.ssh1_cookie, SSH_SESSION_KEY_LENGTH);
579 }
580
581 /* Demote private to public keys for network child */
582 void
583 demote_sensitive_data(void)
584 {
585         Key *tmp;
586         int i;
587
588         if (sensitive_data.server_key) {
589                 tmp = key_demote(sensitive_data.server_key);
590                 key_free(sensitive_data.server_key);
591                 sensitive_data.server_key = tmp;
592         }
593
594         for (i = 0; i < options.num_host_key_files; i++) {
595                 if (sensitive_data.host_keys[i]) {
596                         tmp = key_demote(sensitive_data.host_keys[i]);
597                         key_free(sensitive_data.host_keys[i]);
598                         sensitive_data.host_keys[i] = tmp;
599                         if (tmp->type == KEY_RSA1)
600                                 sensitive_data.ssh1_host_key = tmp;
601                 }
602                 /* Certs do not need demotion */
603         }
604
605         /* We do not clear ssh1_host key and cookie.  XXX - Okay Niels? */
606 }
607
608 static void
609 privsep_preauth_child(void)
610 {
611         u_int32_t rnd[256];
612         gid_t gidset[1];
613
614         /* Enable challenge-response authentication for privilege separation */
615         privsep_challenge_enable();
616
617 #ifdef GSSAPI
618         /* Cache supported mechanism OIDs for later use */
619         if (options.gss_authentication)
620                 ssh_gssapi_prepare_supported_oids();
621 #endif
622
623         arc4random_stir();
624         arc4random_buf(rnd, sizeof(rnd));
625         RAND_seed(rnd, sizeof(rnd));
626         explicit_bzero(rnd, sizeof(rnd));
627
628         /* Demote the private keys to public keys. */
629         demote_sensitive_data();
630
631         /* Change our root directory */
632         if (chroot(_PATH_PRIVSEP_CHROOT_DIR) == -1)
633                 fatal("chroot(\"%s\"): %s", _PATH_PRIVSEP_CHROOT_DIR,
634                     strerror(errno));
635         if (chdir("/") == -1)
636                 fatal("chdir(\"/\"): %s", strerror(errno));
637
638         /* Drop our privileges */
639         debug3("privsep user:group %u:%u", (u_int)privsep_pw->pw_uid,
640             (u_int)privsep_pw->pw_gid);
641 #if 0
642         /* XXX not ready, too heavy after chroot */
643         do_setusercontext(privsep_pw);
644 #else
645         gidset[0] = privsep_pw->pw_gid;
646         if (setgroups(1, gidset) < 0)
647                 fatal("setgroups: %.100s", strerror(errno));
648         permanently_set_uid(privsep_pw);
649 #endif
650 }
651
652 static int
653 privsep_preauth(Authctxt *authctxt)
654 {
655         int status;
656         pid_t pid;
657         struct ssh_sandbox *box = NULL;
658
659         /* Set up unprivileged child process to deal with network data */
660         pmonitor = monitor_init();
661         /* Store a pointer to the kex for later rekeying */
662         pmonitor->m_pkex = &xxx_kex;
663
664         if (use_privsep == PRIVSEP_ON)
665                 box = ssh_sandbox_init(pmonitor);
666         pid = fork();
667         if (pid == -1) {
668                 fatal("fork of unprivileged child failed");
669         } else if (pid != 0) {
670                 debug2("Network child is on pid %ld", (long)pid);
671
672                 pmonitor->m_pid = pid;
673                 if (have_agent)
674                         auth_conn = ssh_get_authentication_connection();
675                 if (box != NULL)
676                         ssh_sandbox_parent_preauth(box, pid);
677                 monitor_child_preauth(authctxt, pmonitor);
678
679                 /* Sync memory */
680                 monitor_sync(pmonitor);
681
682                 /* Wait for the child's exit status */
683                 while (waitpid(pid, &status, 0) < 0) {
684                         if (errno == EINTR)
685                                 continue;
686                         pmonitor->m_pid = -1;
687                         fatal("%s: waitpid: %s", __func__, strerror(errno));
688                 }
689                 privsep_is_preauth = 0;
690                 pmonitor->m_pid = -1;
691                 if (WIFEXITED(status)) {
692                         if (WEXITSTATUS(status) != 0)
693                                 fatal("%s: preauth child exited with status %d",
694                                     __func__, WEXITSTATUS(status));
695                 } else if (WIFSIGNALED(status))
696                         fatal("%s: preauth child terminated by signal %d",
697                             __func__, WTERMSIG(status));
698                 if (box != NULL)
699                         ssh_sandbox_parent_finish(box);
700                 return 1;
701         } else {
702                 /* child */
703                 close(pmonitor->m_sendfd);
704                 close(pmonitor->m_log_recvfd);
705
706                 /* Arrange for logging to be sent to the monitor */
707                 set_log_handler(mm_log_handler, pmonitor);
708
709                 /* Demote the child */
710                 if (getuid() == 0 || geteuid() == 0)
711                         privsep_preauth_child();
712                 setproctitle("%s", "[net]");
713                 if (box != NULL)
714                         ssh_sandbox_child(box);
715
716                 return 0;
717         }
718 }
719
720 static void
721 privsep_postauth(Authctxt *authctxt)
722 {
723         u_int32_t rnd[256];
724
725 #ifdef DISABLE_FD_PASSING
726         if (1) {
727 #else
728         if (authctxt->pw->pw_uid == 0 || options.use_login) {
729 #endif
730                 /* File descriptor passing is broken or root login */
731                 use_privsep = 0;
732                 goto skip;
733         }
734
735         /* New socket pair */
736         monitor_reinit(pmonitor);
737
738         pmonitor->m_pid = fork();
739         if (pmonitor->m_pid == -1)
740                 fatal("fork of unprivileged child failed");
741         else if (pmonitor->m_pid != 0) {
742                 verbose("User child is on pid %ld", (long)pmonitor->m_pid);
743                 buffer_clear(&loginmsg);
744                 monitor_child_postauth(pmonitor);
745
746                 /* NEVERREACHED */
747                 exit(0);
748         }
749
750         /* child */
751
752         close(pmonitor->m_sendfd);
753         pmonitor->m_sendfd = -1;
754
755         /* Demote the private keys to public keys. */
756         demote_sensitive_data();
757
758         arc4random_stir();
759         arc4random_buf(rnd, sizeof(rnd));
760         RAND_seed(rnd, sizeof(rnd));
761         explicit_bzero(rnd, sizeof(rnd));
762
763         /* Drop privileges */
764         do_setusercontext(authctxt->pw);
765
766  skip:
767         /* It is safe now to apply the key state */
768         monitor_apply_keystate(pmonitor);
769
770         /*
771          * Tell the packet layer that authentication was successful, since
772          * this information is not part of the key state.
773          */
774         packet_set_authenticated();
775 }
776
777 static char *
778 list_hostkey_types(void)
779 {
780         Buffer b;
781         const char *p;
782         char *ret;
783         int i;
784         Key *key;
785
786         buffer_init(&b);
787         for (i = 0; i < options.num_host_key_files; i++) {
788                 key = sensitive_data.host_keys[i];
789                 if (key == NULL)
790                         key = sensitive_data.host_pubkeys[i];
791                 if (key == NULL)
792                         continue;
793                 switch (key->type) {
794                 case KEY_RSA:
795                 case KEY_DSA:
796                 case KEY_ECDSA:
797                 case KEY_ED25519:
798                         if (buffer_len(&b) > 0)
799                                 buffer_append(&b, ",", 1);
800                         p = key_ssh_name(key);
801                         buffer_append(&b, p, strlen(p));
802                         break;
803                 }
804                 /* If the private key has a cert peer, then list that too */
805                 key = sensitive_data.host_certificates[i];
806                 if (key == NULL)
807                         continue;
808                 switch (key->type) {
809                 case KEY_RSA_CERT_V00:
810                 case KEY_DSA_CERT_V00:
811                 case KEY_RSA_CERT:
812                 case KEY_DSA_CERT:
813                 case KEY_ECDSA_CERT:
814                 case KEY_ED25519_CERT:
815                         if (buffer_len(&b) > 0)
816                                 buffer_append(&b, ",", 1);
817                         p = key_ssh_name(key);
818                         buffer_append(&b, p, strlen(p));
819                         break;
820                 }
821         }
822         buffer_append(&b, "\0", 1);
823         ret = xstrdup(buffer_ptr(&b));
824         buffer_free(&b);
825         debug("list_hostkey_types: %s", ret);
826         return ret;
827 }
828
829 static Key *
830 get_hostkey_by_type(int type, int need_private)
831 {
832         int i;
833         Key *key;
834
835         for (i = 0; i < options.num_host_key_files; i++) {
836                 switch (type) {
837                 case KEY_RSA_CERT_V00:
838                 case KEY_DSA_CERT_V00:
839                 case KEY_RSA_CERT:
840                 case KEY_DSA_CERT:
841                 case KEY_ECDSA_CERT:
842                 case KEY_ED25519_CERT:
843                         key = sensitive_data.host_certificates[i];
844                         break;
845                 default:
846                         key = sensitive_data.host_keys[i];
847                         if (key == NULL && !need_private)
848                                 key = sensitive_data.host_pubkeys[i];
849                         break;
850                 }
851                 if (key != NULL && key->type == type)
852                         return need_private ?
853                             sensitive_data.host_keys[i] : key;
854         }
855         return NULL;
856 }
857
858 Key *
859 get_hostkey_public_by_type(int type)
860 {
861         return get_hostkey_by_type(type, 0);
862 }
863
864 Key *
865 get_hostkey_private_by_type(int type)
866 {
867         return get_hostkey_by_type(type, 1);
868 }
869
870 Key *
871 get_hostkey_by_index(int ind)
872 {
873         if (ind < 0 || ind >= options.num_host_key_files)
874                 return (NULL);
875         return (sensitive_data.host_keys[ind]);
876 }
877
878 Key *
879 get_hostkey_public_by_index(int ind)
880 {
881         if (ind < 0 || ind >= options.num_host_key_files)
882                 return (NULL);
883         return (sensitive_data.host_pubkeys[ind]);
884 }
885
886 int
887 get_hostkey_index(Key *key)
888 {
889         int i;
890
891         for (i = 0; i < options.num_host_key_files; i++) {
892                 if (key_is_cert(key)) {
893                         if (key == sensitive_data.host_certificates[i])
894                                 return (i);
895                 } else {
896                         if (key == sensitive_data.host_keys[i])
897                                 return (i);
898                         if (key == sensitive_data.host_pubkeys[i])
899                                 return (i);
900                 }
901         }
902         return (-1);
903 }
904
905 /*
906  * returns 1 if connection should be dropped, 0 otherwise.
907  * dropping starts at connection #max_startups_begin with a probability
908  * of (max_startups_rate/100). the probability increases linearly until
909  * all connections are dropped for startups > max_startups
910  */
911 static int
912 drop_connection(int startups)
913 {
914         int p, r;
915
916         if (startups < options.max_startups_begin)
917                 return 0;
918         if (startups >= options.max_startups)
919                 return 1;
920         if (options.max_startups_rate == 100)
921                 return 1;
922
923         p  = 100 - options.max_startups_rate;
924         p *= startups - options.max_startups_begin;
925         p /= options.max_startups - options.max_startups_begin;
926         p += options.max_startups_rate;
927         r = arc4random_uniform(100);
928
929         debug("drop_connection: p %d, r %d", p, r);
930         return (r < p) ? 1 : 0;
931 }
932
933 static void
934 usage(void)
935 {
936         fprintf(stderr, "%s, %s\n",
937             SSH_RELEASE,
938 #ifdef WITH_OPENSSL
939             SSLeay_version(SSLEAY_VERSION)
940 #else
941             "without OpenSSL"
942 #endif
943         );
944         fprintf(stderr,
945 "usage: sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-c host_cert_file]\n"
946 "            [-E log_file] [-f config_file] [-g login_grace_time]\n"
947 "            [-h host_key_file] [-k key_gen_time] [-o option] [-p port]\n"
948 "            [-u len]\n"
949         );
950         exit(1);
951 }
952
953 static void
954 send_rexec_state(int fd, Buffer *conf)
955 {
956         Buffer m;
957
958         debug3("%s: entering fd = %d config len %d", __func__, fd,
959             buffer_len(conf));
960
961         /*
962          * Protocol from reexec master to child:
963          *      string  configuration
964          *      u_int   ephemeral_key_follows
965          *      bignum  e               (only if ephemeral_key_follows == 1)
966          *      bignum  n                       "
967          *      bignum  d                       "
968          *      bignum  iqmp                    "
969          *      bignum  p                       "
970          *      bignum  q                       "
971          *      string rngseed          (only if OpenSSL is not self-seeded)
972          */
973         buffer_init(&m);
974         buffer_put_cstring(&m, buffer_ptr(conf));
975
976 #ifdef WITH_SSH1
977         if (sensitive_data.server_key != NULL &&
978             sensitive_data.server_key->type == KEY_RSA1) {
979                 buffer_put_int(&m, 1);
980                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->e);
981                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->n);
982                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->d);
983                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->iqmp);
984                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->p);
985                 buffer_put_bignum(&m, sensitive_data.server_key->rsa->q);
986         } else
987 #endif
988                 buffer_put_int(&m, 0);
989
990 #ifndef OPENSSL_PRNG_ONLY
991         rexec_send_rng_seed(&m);
992 #endif
993
994         if (ssh_msg_send(fd, 0, &m) == -1)
995                 fatal("%s: ssh_msg_send failed", __func__);
996
997         buffer_free(&m);
998
999         debug3("%s: done", __func__);
1000 }
1001
1002 static void
1003 recv_rexec_state(int fd, Buffer *conf)
1004 {
1005         Buffer m;
1006         char *cp;
1007         u_int len;
1008
1009         debug3("%s: entering fd = %d", __func__, fd);
1010
1011         buffer_init(&m);
1012
1013         if (ssh_msg_recv(fd, &m) == -1)
1014                 fatal("%s: ssh_msg_recv failed", __func__);
1015         if (buffer_get_char(&m) != 0)
1016                 fatal("%s: rexec version mismatch", __func__);
1017
1018         cp = buffer_get_string(&m, &len);
1019         if (conf != NULL)
1020                 buffer_append(conf, cp, len + 1);
1021         free(cp);
1022
1023         if (buffer_get_int(&m)) {
1024 #ifdef WITH_SSH1
1025                 if (sensitive_data.server_key != NULL)
1026                         key_free(sensitive_data.server_key);
1027                 sensitive_data.server_key = key_new_private(KEY_RSA1);
1028                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->e);
1029                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->n);
1030                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->d);
1031                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->iqmp);
1032                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->p);
1033                 buffer_get_bignum(&m, sensitive_data.server_key->rsa->q);
1034                 if (rsa_generate_additional_parameters(
1035                     sensitive_data.server_key->rsa) != 0)
1036                         fatal("%s: rsa_generate_additional_parameters "
1037                             "error", __func__);
1038 #else
1039                 fatal("ssh1 not supported");
1040 #endif
1041         }
1042
1043 #ifndef OPENSSL_PRNG_ONLY
1044         rexec_recv_rng_seed(&m);
1045 #endif
1046
1047         buffer_free(&m);
1048
1049         debug3("%s: done", __func__);
1050 }
1051
1052 /* Accept a connection from inetd */
1053 static void
1054 server_accept_inetd(int *sock_in, int *sock_out)
1055 {
1056         int fd;
1057
1058         startup_pipe = -1;
1059         if (rexeced_flag) {
1060                 close(REEXEC_CONFIG_PASS_FD);
1061                 *sock_in = *sock_out = dup(STDIN_FILENO);
1062                 if (!debug_flag) {
1063                         startup_pipe = dup(REEXEC_STARTUP_PIPE_FD);
1064                         close(REEXEC_STARTUP_PIPE_FD);
1065                 }
1066         } else {
1067                 *sock_in = dup(STDIN_FILENO);
1068                 *sock_out = dup(STDOUT_FILENO);
1069         }
1070         /*
1071          * We intentionally do not close the descriptors 0, 1, and 2
1072          * as our code for setting the descriptors won't work if
1073          * ttyfd happens to be one of those.
1074          */
1075         if ((fd = open(_PATH_DEVNULL, O_RDWR, 0)) != -1) {
1076                 dup2(fd, STDIN_FILENO);
1077                 dup2(fd, STDOUT_FILENO);
1078                 if (!log_stderr)
1079                         dup2(fd, STDERR_FILENO);
1080                 if (fd > (log_stderr ? STDERR_FILENO : STDOUT_FILENO))
1081                         close(fd);
1082         }
1083         debug("inetd sockets after dupping: %d, %d", *sock_in, *sock_out);
1084 }
1085
1086 /*
1087  * Listen for TCP connections
1088  */
1089 static void
1090 server_listen(void)
1091 {
1092         int ret, listen_sock, on = 1;
1093         struct addrinfo *ai;
1094         char ntop[NI_MAXHOST], strport[NI_MAXSERV];
1095
1096         for (ai = options.listen_addrs; ai; ai = ai->ai_next) {
1097                 if (ai->ai_family != AF_INET && ai->ai_family != AF_INET6)
1098                         continue;
1099                 if (num_listen_socks >= MAX_LISTEN_SOCKS)
1100                         fatal("Too many listen sockets. "
1101                             "Enlarge MAX_LISTEN_SOCKS");
1102                 if ((ret = getnameinfo(ai->ai_addr, ai->ai_addrlen,
1103                     ntop, sizeof(ntop), strport, sizeof(strport),
1104                     NI_NUMERICHOST|NI_NUMERICSERV)) != 0) {
1105                         error("getnameinfo failed: %.100s",
1106                             ssh_gai_strerror(ret));
1107                         continue;
1108                 }
1109                 /* Create socket for listening. */
1110                 listen_sock = socket(ai->ai_family, ai->ai_socktype,
1111                     ai->ai_protocol);
1112                 if (listen_sock < 0) {
1113                         /* kernel may not support ipv6 */
1114                         verbose("socket: %.100s", strerror(errno));
1115                         continue;
1116                 }
1117                 if (set_nonblock(listen_sock) == -1) {
1118                         close(listen_sock);
1119                         continue;
1120                 }
1121                 /*
1122                  * Set socket options.
1123                  * Allow local port reuse in TIME_WAIT.
1124                  */
1125                 if (setsockopt(listen_sock, SOL_SOCKET, SO_REUSEADDR,
1126                     &on, sizeof(on)) == -1)
1127                         error("setsockopt SO_REUSEADDR: %s", strerror(errno));
1128
1129                 /* Only communicate in IPv6 over AF_INET6 sockets. */
1130                 if (ai->ai_family == AF_INET6)
1131                         sock_set_v6only(listen_sock);
1132
1133                 debug("Bind to port %s on %s.", strport, ntop);
1134
1135                 /* Bind the socket to the desired port. */
1136                 if (bind(listen_sock, ai->ai_addr, ai->ai_addrlen) < 0) {
1137                         error("Bind to port %s on %s failed: %.200s.",
1138                             strport, ntop, strerror(errno));
1139                         close(listen_sock);
1140                         continue;
1141                 }
1142                 listen_socks[num_listen_socks] = listen_sock;
1143                 num_listen_socks++;
1144
1145                 /* Start listening on the port. */
1146                 if (listen(listen_sock, SSH_LISTEN_BACKLOG) < 0)
1147                         fatal("listen on [%s]:%s: %.100s",
1148                             ntop, strport, strerror(errno));
1149                 logit("Server listening on %s port %s.", ntop, strport);
1150         }
1151         freeaddrinfo(options.listen_addrs);
1152
1153         if (!num_listen_socks)
1154                 fatal("Cannot bind any address.");
1155 }
1156
1157 /*
1158  * The main TCP accept loop. Note that, for the non-debug case, returns
1159  * from this function are in a forked subprocess.
1160  */
1161 static void
1162 server_accept_loop(int *sock_in, int *sock_out, int *newsock, int *config_s)
1163 {
1164         fd_set *fdset;
1165         int i, j, ret, maxfd;
1166         int key_used = 0, startups = 0;
1167         int startup_p[2] = { -1 , -1 };
1168         struct sockaddr_storage from;
1169         socklen_t fromlen;
1170         pid_t pid;
1171         u_char rnd[256];
1172
1173         /* setup fd set for accept */
1174         fdset = NULL;
1175         maxfd = 0;
1176         for (i = 0; i < num_listen_socks; i++)
1177                 if (listen_socks[i] > maxfd)
1178                         maxfd = listen_socks[i];
1179         /* pipes connected to unauthenticated childs */
1180         startup_pipes = xcalloc(options.max_startups, sizeof(int));
1181         for (i = 0; i < options.max_startups; i++)
1182                 startup_pipes[i] = -1;
1183
1184         /*
1185          * Stay listening for connections until the system crashes or
1186          * the daemon is killed with a signal.
1187          */
1188         for (;;) {
1189                 if (received_sighup)
1190                         sighup_restart();
1191                 if (fdset != NULL)
1192                         free(fdset);
1193                 fdset = (fd_set *)xcalloc(howmany(maxfd + 1, NFDBITS),
1194                     sizeof(fd_mask));
1195
1196                 for (i = 0; i < num_listen_socks; i++)
1197                         FD_SET(listen_socks[i], fdset);
1198                 for (i = 0; i < options.max_startups; i++)
1199                         if (startup_pipes[i] != -1)
1200                                 FD_SET(startup_pipes[i], fdset);
1201
1202                 /* Wait in select until there is a connection. */
1203                 ret = select(maxfd+1, fdset, NULL, NULL, NULL);
1204                 if (ret < 0 && errno != EINTR)
1205                         error("select: %.100s", strerror(errno));
1206                 if (received_sigterm) {
1207                         logit("Received signal %d; terminating.",
1208                             (int) received_sigterm);
1209                         close_listen_socks();
1210                         unlink(options.pid_file);
1211                         exit(received_sigterm == SIGTERM ? 0 : 255);
1212                 }
1213                 if (key_used && key_do_regen) {
1214                         generate_ephemeral_server_key();
1215                         key_used = 0;
1216                         key_do_regen = 0;
1217                 }
1218                 if (ret < 0)
1219                         continue;
1220
1221                 for (i = 0; i < options.max_startups; i++)
1222                         if (startup_pipes[i] != -1 &&
1223                             FD_ISSET(startup_pipes[i], fdset)) {
1224                                 /*
1225                                  * the read end of the pipe is ready
1226                                  * if the child has closed the pipe
1227                                  * after successful authentication
1228                                  * or if the child has died
1229                                  */
1230                                 close(startup_pipes[i]);
1231                                 startup_pipes[i] = -1;
1232                                 startups--;
1233                         }
1234                 for (i = 0; i < num_listen_socks; i++) {
1235                         if (!FD_ISSET(listen_socks[i], fdset))
1236                                 continue;
1237                         fromlen = sizeof(from);
1238                         *newsock = accept(listen_socks[i],
1239                             (struct sockaddr *)&from, &fromlen);
1240                         if (*newsock < 0) {
1241                                 if (errno != EINTR && errno != EWOULDBLOCK &&
1242                                     errno != ECONNABORTED && errno != EAGAIN)
1243                                         error("accept: %.100s",
1244                                             strerror(errno));
1245                                 if (errno == EMFILE || errno == ENFILE)
1246                                         usleep(100 * 1000);
1247                                 continue;
1248                         }
1249                         if (unset_nonblock(*newsock) == -1) {
1250                                 close(*newsock);
1251                                 continue;
1252                         }
1253                         if (drop_connection(startups) == 1) {
1254                                 debug("drop connection #%d", startups);
1255                                 close(*newsock);
1256                                 continue;
1257                         }
1258                         if (pipe(startup_p) == -1) {
1259                                 close(*newsock);
1260                                 continue;
1261                         }
1262
1263                         if (rexec_flag && socketpair(AF_UNIX,
1264                             SOCK_STREAM, 0, config_s) == -1) {
1265                                 error("reexec socketpair: %s",
1266                                     strerror(errno));
1267                                 close(*newsock);
1268                                 close(startup_p[0]);
1269                                 close(startup_p[1]);
1270                                 continue;
1271                         }
1272
1273                         for (j = 0; j < options.max_startups; j++)
1274                                 if (startup_pipes[j] == -1) {
1275                                         startup_pipes[j] = startup_p[0];
1276                                         if (maxfd < startup_p[0])
1277                                                 maxfd = startup_p[0];
1278                                         startups++;
1279                                         break;
1280                                 }
1281
1282                         /*
1283                          * Got connection.  Fork a child to handle it, unless
1284                          * we are in debugging mode.
1285                          */
1286                         if (debug_flag) {
1287                                 /*
1288                                  * In debugging mode.  Close the listening
1289                                  * socket, and start processing the
1290                                  * connection without forking.
1291                                  */
1292                                 debug("Server will not fork when running in debugging mode.");
1293                                 close_listen_socks();
1294                                 *sock_in = *newsock;
1295                                 *sock_out = *newsock;
1296                                 close(startup_p[0]);
1297                                 close(startup_p[1]);
1298                                 startup_pipe = -1;
1299                                 pid = getpid();
1300                                 if (rexec_flag) {
1301                                         send_rexec_state(config_s[0],
1302                                             &cfg);
1303                                         close(config_s[0]);
1304                                 }
1305                                 break;
1306                         }
1307
1308                         /*
1309                          * Normal production daemon.  Fork, and have
1310                          * the child process the connection. The
1311                          * parent continues listening.
1312                          */
1313                         platform_pre_fork();
1314                         if ((pid = fork()) == 0) {
1315                                 /*
1316                                  * Child.  Close the listening and
1317                                  * max_startup sockets.  Start using
1318                                  * the accepted socket. Reinitialize
1319                                  * logging (since our pid has changed).
1320                                  * We break out of the loop to handle
1321                                  * the connection.
1322                                  */
1323                                 platform_post_fork_child();
1324                                 startup_pipe = startup_p[1];
1325                                 close_startup_pipes();
1326                                 close_listen_socks();
1327                                 *sock_in = *newsock;
1328                                 *sock_out = *newsock;
1329                                 log_init(__progname,
1330                                     options.log_level,
1331                                     options.log_facility,
1332                                     log_stderr);
1333                                 if (rexec_flag)
1334                                         close(config_s[0]);
1335                                 break;
1336                         }
1337
1338                         /* Parent.  Stay in the loop. */
1339                         platform_post_fork_parent(pid);
1340                         if (pid < 0)
1341                                 error("fork: %.100s", strerror(errno));
1342                         else
1343                                 debug("Forked child %ld.", (long)pid);
1344
1345                         close(startup_p[1]);
1346
1347                         if (rexec_flag) {
1348                                 send_rexec_state(config_s[0], &cfg);
1349                                 close(config_s[0]);
1350                                 close(config_s[1]);
1351                         }
1352
1353                         /*
1354                          * Mark that the key has been used (it
1355                          * was "given" to the child).
1356                          */
1357                         if ((options.protocol & SSH_PROTO_1) &&
1358                             key_used == 0) {
1359                                 /* Schedule server key regeneration alarm. */
1360                                 signal(SIGALRM, key_regeneration_alarm);
1361                                 alarm(options.key_regeneration_time);
1362                                 key_used = 1;
1363                         }
1364
1365                         close(*newsock);
1366
1367                         /*
1368                          * Ensure that our random state differs
1369                          * from that of the child
1370                          */
1371                         arc4random_stir();
1372                         arc4random_buf(rnd, sizeof(rnd));
1373                         RAND_seed(rnd, sizeof(rnd));
1374                         explicit_bzero(rnd, sizeof(rnd));
1375                 }
1376
1377                 /* child process check (or debug mode) */
1378                 if (num_listen_socks < 0)
1379                         break;
1380         }
1381 }
1382
1383
1384 /*
1385  * Main program for the daemon.
1386  */
1387 int
1388 main(int ac, char **av)
1389 {
1390         extern char *optarg;
1391         extern int optind;
1392         int opt, i, j, on = 1;
1393         int sock_in = -1, sock_out = -1, newsock = -1;
1394         const char *remote_ip;
1395         int remote_port;
1396         char *line, *logfile = NULL;
1397         int config_s[2] = { -1 , -1 };
1398         u_int n;
1399         u_int64_t ibytes, obytes;
1400         mode_t new_umask;
1401         Key *key;
1402         Key *pubkey;
1403         int keytype;
1404         Authctxt *authctxt;
1405         struct connection_info *connection_info = get_connection_info(0, 0);
1406
1407 #ifdef HAVE_SECUREWARE
1408         (void)set_auth_parameters(ac, av);
1409 #endif
1410         __progname = ssh_get_progname(av[0]);
1411
1412         /* Save argv. Duplicate so setproctitle emulation doesn't clobber it */
1413         saved_argc = ac;
1414         rexec_argc = ac;
1415         saved_argv = xcalloc(ac + 1, sizeof(*saved_argv));
1416         for (i = 0; i < ac; i++)
1417                 saved_argv[i] = xstrdup(av[i]);
1418         saved_argv[i] = NULL;
1419
1420 #ifndef HAVE_SETPROCTITLE
1421         /* Prepare for later setproctitle emulation */
1422         compat_init_setproctitle(ac, av);
1423         av = saved_argv;
1424 #endif
1425
1426         if (geteuid() == 0 && setgroups(0, NULL) == -1)
1427                 debug("setgroups(): %.200s", strerror(errno));
1428
1429         /* Ensure that fds 0, 1 and 2 are open or directed to /dev/null */
1430         sanitise_stdfd();
1431
1432         /* Initialize configuration options to their default values. */
1433         initialize_server_options(&options);
1434
1435         /* Parse command-line arguments. */
1436         while ((opt = getopt(ac, av, "f:p:b:k:h:g:u:o:C:dDeE:iqrtQRT46")) != -1) {
1437                 switch (opt) {
1438                 case '4':
1439                         options.address_family = AF_INET;
1440                         break;
1441                 case '6':
1442                         options.address_family = AF_INET6;
1443                         break;
1444                 case 'f':
1445                         config_file_name = optarg;
1446                         break;
1447                 case 'c':
1448                         if (options.num_host_cert_files >= MAX_HOSTCERTS) {
1449                                 fprintf(stderr, "too many host certificates.\n");
1450                                 exit(1);
1451                         }
1452                         options.host_cert_files[options.num_host_cert_files++] =
1453                            derelativise_path(optarg);
1454                         break;
1455                 case 'd':
1456                         if (debug_flag == 0) {
1457                                 debug_flag = 1;
1458                                 options.log_level = SYSLOG_LEVEL_DEBUG1;
1459                         } else if (options.log_level < SYSLOG_LEVEL_DEBUG3)
1460                                 options.log_level++;
1461                         break;
1462                 case 'D':
1463                         no_daemon_flag = 1;
1464                         break;
1465                 case 'E':
1466                         logfile = xstrdup(optarg);
1467                         /* FALLTHROUGH */
1468                 case 'e':
1469                         log_stderr = 1;
1470                         break;
1471                 case 'i':
1472                         inetd_flag = 1;
1473                         break;
1474                 case 'r':
1475                         rexec_flag = 0;
1476                         break;
1477                 case 'R':
1478                         rexeced_flag = 1;
1479                         inetd_flag = 1;
1480                         break;
1481                 case 'Q':
1482                         /* ignored */
1483                         break;
1484                 case 'q':
1485                         options.log_level = SYSLOG_LEVEL_QUIET;
1486                         break;
1487                 case 'b':
1488                         options.server_key_bits = (int)strtonum(optarg, 256,
1489                             32768, NULL);
1490                         break;
1491                 case 'p':
1492                         options.ports_from_cmdline = 1;
1493                         if (options.num_ports >= MAX_PORTS) {
1494                                 fprintf(stderr, "too many ports.\n");
1495                                 exit(1);
1496                         }
1497                         options.ports[options.num_ports++] = a2port(optarg);
1498                         if (options.ports[options.num_ports-1] <= 0) {
1499                                 fprintf(stderr, "Bad port number.\n");
1500                                 exit(1);
1501                         }
1502                         break;
1503                 case 'g':
1504                         if ((options.login_grace_time = convtime(optarg)) == -1) {
1505                                 fprintf(stderr, "Invalid login grace time.\n");
1506                                 exit(1);
1507                         }
1508                         break;
1509                 case 'k':
1510                         if ((options.key_regeneration_time = convtime(optarg)) == -1) {
1511                                 fprintf(stderr, "Invalid key regeneration interval.\n");
1512                                 exit(1);
1513                         }
1514                         break;
1515                 case 'h':
1516                         if (options.num_host_key_files >= MAX_HOSTKEYS) {
1517                                 fprintf(stderr, "too many host keys.\n");
1518                                 exit(1);
1519                         }
1520                         options.host_key_files[options.num_host_key_files++] = 
1521                            derelativise_path(optarg);
1522                         break;
1523                 case 't':
1524                         test_flag = 1;
1525                         break;
1526                 case 'T':
1527                         test_flag = 2;
1528                         break;
1529                 case 'C':
1530                         if (parse_server_match_testspec(connection_info,
1531                             optarg) == -1)
1532                                 exit(1);
1533                         break;
1534                 case 'u':
1535                         utmp_len = (u_int)strtonum(optarg, 0, MAXHOSTNAMELEN+1, NULL);
1536                         if (utmp_len > MAXHOSTNAMELEN) {
1537                                 fprintf(stderr, "Invalid utmp length.\n");
1538                                 exit(1);
1539                         }
1540                         break;
1541                 case 'o':
1542                         line = xstrdup(optarg);
1543                         if (process_server_config_line(&options, line,
1544                             "command-line", 0, NULL, NULL) != 0)
1545                                 exit(1);
1546                         free(line);
1547                         break;
1548                 case '?':
1549                 default:
1550                         usage();
1551                         break;
1552                 }
1553         }
1554         if (rexeced_flag || inetd_flag)
1555                 rexec_flag = 0;
1556         if (!test_flag && (rexec_flag && (av[0] == NULL || *av[0] != '/')))
1557                 fatal("sshd re-exec requires execution with an absolute path");
1558         if (rexeced_flag)
1559                 closefrom(REEXEC_MIN_FREE_FD);
1560         else
1561                 closefrom(REEXEC_DEVCRYPTO_RESERVED_FD);
1562
1563 #ifdef WITH_OPENSSL
1564         OpenSSL_add_all_algorithms();
1565 #endif
1566
1567         /* If requested, redirect the logs to the specified logfile. */
1568         if (logfile != NULL) {
1569                 log_redirect_stderr_to(logfile);
1570                 free(logfile);
1571         }
1572         /*
1573          * Force logging to stderr until we have loaded the private host
1574          * key (unless started from inetd)
1575          */
1576         log_init(__progname,
1577             options.log_level == SYSLOG_LEVEL_NOT_SET ?
1578             SYSLOG_LEVEL_INFO : options.log_level,
1579             options.log_facility == SYSLOG_FACILITY_NOT_SET ?
1580             SYSLOG_FACILITY_AUTH : options.log_facility,
1581             log_stderr || !inetd_flag);
1582
1583         /*
1584          * Unset KRB5CCNAME, otherwise the user's session may inherit it from
1585          * root's environment
1586          */
1587         if (getenv("KRB5CCNAME") != NULL)
1588                 (void) unsetenv("KRB5CCNAME");
1589
1590 #ifdef _UNICOS
1591         /* Cray can define user privs drop all privs now!
1592          * Not needed on PRIV_SU systems!
1593          */
1594         drop_cray_privs();
1595 #endif
1596
1597         sensitive_data.server_key = NULL;
1598         sensitive_data.ssh1_host_key = NULL;
1599         sensitive_data.have_ssh1_key = 0;
1600         sensitive_data.have_ssh2_key = 0;
1601
1602         /*
1603          * If we're doing an extended config test, make sure we have all of
1604          * the parameters we need.  If we're not doing an extended test,
1605          * do not silently ignore connection test params.
1606          */
1607         if (test_flag >= 2 && server_match_spec_complete(connection_info) == 0)
1608                 fatal("user, host and addr are all required when testing "
1609                    "Match configs");
1610         if (test_flag < 2 && server_match_spec_complete(connection_info) >= 0)
1611                 fatal("Config test connection parameter (-C) provided without "
1612                    "test mode (-T)");
1613
1614         /* Fetch our configuration */
1615         buffer_init(&cfg);
1616         if (rexeced_flag)
1617                 recv_rexec_state(REEXEC_CONFIG_PASS_FD, &cfg);
1618         else
1619                 load_server_config(config_file_name, &cfg);
1620
1621         parse_server_config(&options, rexeced_flag ? "rexec" : config_file_name,
1622             &cfg, NULL);
1623
1624         seed_rng();
1625
1626         /* Fill in default values for those options not explicitly set. */
1627         fill_default_server_options(&options);
1628
1629         /* challenge-response is implemented via keyboard interactive */
1630         if (options.challenge_response_authentication)
1631                 options.kbd_interactive_authentication = 1;
1632
1633         /* Check that options are sensible */
1634         if (options.authorized_keys_command_user == NULL &&
1635             (options.authorized_keys_command != NULL &&
1636             strcasecmp(options.authorized_keys_command, "none") != 0))
1637                 fatal("AuthorizedKeysCommand set without "
1638                     "AuthorizedKeysCommandUser");
1639
1640         /*
1641          * Check whether there is any path through configured auth methods.
1642          * Unfortunately it is not possible to verify this generally before
1643          * daemonisation in the presence of Match block, but this catches
1644          * and warns for trivial misconfigurations that could break login.
1645          */
1646         if (options.num_auth_methods != 0) {
1647                 if ((options.protocol & SSH_PROTO_1))
1648                         fatal("AuthenticationMethods is not supported with "
1649                             "SSH protocol 1");
1650                 for (n = 0; n < options.num_auth_methods; n++) {
1651                         if (auth2_methods_valid(options.auth_methods[n],
1652                             1) == 0)
1653                                 break;
1654                 }
1655                 if (n >= options.num_auth_methods)
1656                         fatal("AuthenticationMethods cannot be satisfied by "
1657                             "enabled authentication methods");
1658         }
1659
1660         /* set default channel AF */
1661         channel_set_af(options.address_family);
1662
1663         /* Check that there are no remaining arguments. */
1664         if (optind < ac) {
1665                 fprintf(stderr, "Extra argument %s.\n", av[optind]);
1666                 exit(1);
1667         }
1668
1669         debug("sshd version %s, %s", SSH_VERSION,
1670 #ifdef WITH_OPENSSL
1671             SSLeay_version(SSLEAY_VERSION)
1672 #else
1673             "without OpenSSL"
1674 #endif
1675         );
1676
1677         /* Store privilege separation user for later use if required. */
1678         if ((privsep_pw = getpwnam(SSH_PRIVSEP_USER)) == NULL) {
1679                 if (use_privsep || options.kerberos_authentication)
1680                         fatal("Privilege separation user %s does not exist",
1681                             SSH_PRIVSEP_USER);
1682         } else {
1683                 explicit_bzero(privsep_pw->pw_passwd,
1684                     strlen(privsep_pw->pw_passwd));
1685                 privsep_pw = pwcopy(privsep_pw);
1686                 free(privsep_pw->pw_passwd);
1687                 privsep_pw->pw_passwd = xstrdup("*");
1688         }
1689         endpwent();
1690
1691         /* load host keys */
1692         sensitive_data.host_keys = xcalloc(options.num_host_key_files,
1693             sizeof(Key *));
1694         sensitive_data.host_pubkeys = xcalloc(options.num_host_key_files,
1695             sizeof(Key *));
1696         for (i = 0; i < options.num_host_key_files; i++) {
1697                 sensitive_data.host_keys[i] = NULL;
1698                 sensitive_data.host_pubkeys[i] = NULL;
1699         }
1700
1701         if (options.host_key_agent) {
1702                 if (strcmp(options.host_key_agent, SSH_AUTHSOCKET_ENV_NAME))
1703                         setenv(SSH_AUTHSOCKET_ENV_NAME,
1704                             options.host_key_agent, 1);
1705                 have_agent = ssh_agent_present();
1706         }
1707
1708         for (i = 0; i < options.num_host_key_files; i++) {
1709                 key = key_load_private(options.host_key_files[i], "", NULL);
1710                 pubkey = key_load_public(options.host_key_files[i], NULL);
1711                 sensitive_data.host_keys[i] = key;
1712                 sensitive_data.host_pubkeys[i] = pubkey;
1713
1714                 if (key == NULL && pubkey != NULL && pubkey->type != KEY_RSA1 &&
1715                     have_agent) {
1716                         debug("will rely on agent for hostkey %s",
1717                             options.host_key_files[i]);
1718                         keytype = pubkey->type;
1719                 } else if (key != NULL) {
1720                         keytype = key->type;
1721                 } else {
1722                         error("Could not load host key: %s",
1723                             options.host_key_files[i]);
1724                         sensitive_data.host_keys[i] = NULL;
1725                         sensitive_data.host_pubkeys[i] = NULL;
1726                         continue;
1727                 }
1728
1729                 switch (keytype) {
1730                 case KEY_RSA1:
1731                         sensitive_data.ssh1_host_key = key;
1732                         sensitive_data.have_ssh1_key = 1;
1733                         break;
1734                 case KEY_RSA:
1735                 case KEY_DSA:
1736                 case KEY_ECDSA:
1737                 case KEY_ED25519:
1738                         sensitive_data.have_ssh2_key = 1;
1739                         break;
1740                 }
1741                 debug("private host key: #%d type %d %s", i, keytype,
1742                     key_type(key ? key : pubkey));
1743         }
1744         if ((options.protocol & SSH_PROTO_1) && !sensitive_data.have_ssh1_key) {
1745                 logit("Disabling protocol version 1. Could not load host key");
1746                 options.protocol &= ~SSH_PROTO_1;
1747         }
1748         if ((options.protocol & SSH_PROTO_2) && !sensitive_data.have_ssh2_key) {
1749                 logit("Disabling protocol version 2. Could not load host key");
1750                 options.protocol &= ~SSH_PROTO_2;
1751         }
1752         if (!(options.protocol & (SSH_PROTO_1|SSH_PROTO_2))) {
1753                 logit("sshd: no hostkeys available -- exiting.");
1754                 exit(1);
1755         }
1756
1757         /*
1758          * Load certificates. They are stored in an array at identical
1759          * indices to the public keys that they relate to.
1760          */
1761         sensitive_data.host_certificates = xcalloc(options.num_host_key_files,
1762             sizeof(Key *));
1763         for (i = 0; i < options.num_host_key_files; i++)
1764                 sensitive_data.host_certificates[i] = NULL;
1765
1766         for (i = 0; i < options.num_host_cert_files; i++) {
1767                 key = key_load_public(options.host_cert_files[i], NULL);
1768                 if (key == NULL) {
1769                         error("Could not load host certificate: %s",
1770                             options.host_cert_files[i]);
1771                         continue;
1772                 }
1773                 if (!key_is_cert(key)) {
1774                         error("Certificate file is not a certificate: %s",
1775                             options.host_cert_files[i]);
1776                         key_free(key);
1777                         continue;
1778                 }
1779                 /* Find matching private key */
1780                 for (j = 0; j < options.num_host_key_files; j++) {
1781                         if (key_equal_public(key,
1782                             sensitive_data.host_keys[j])) {
1783                                 sensitive_data.host_certificates[j] = key;
1784                                 break;
1785                         }
1786                 }
1787                 if (j >= options.num_host_key_files) {
1788                         error("No matching private key for certificate: %s",
1789                             options.host_cert_files[i]);
1790                         key_free(key);
1791                         continue;
1792                 }
1793                 sensitive_data.host_certificates[j] = key;
1794                 debug("host certificate: #%d type %d %s", j, key->type,
1795                     key_type(key));
1796         }
1797
1798 #ifdef WITH_SSH1
1799         /* Check certain values for sanity. */
1800         if (options.protocol & SSH_PROTO_1) {
1801                 if (options.server_key_bits < 512 ||
1802                     options.server_key_bits > 32768) {
1803                         fprintf(stderr, "Bad server key size.\n");
1804                         exit(1);
1805                 }
1806                 /*
1807                  * Check that server and host key lengths differ sufficiently. This
1808                  * is necessary to make double encryption work with rsaref. Oh, I
1809                  * hate software patents. I dont know if this can go? Niels
1810                  */
1811                 if (options.server_key_bits >
1812                     BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) -
1813                     SSH_KEY_BITS_RESERVED && options.server_key_bits <
1814                     BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) +
1815                     SSH_KEY_BITS_RESERVED) {
1816                         options.server_key_bits =
1817                             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) +
1818                             SSH_KEY_BITS_RESERVED;
1819                         debug("Forcing server key to %d bits to make it differ from host key.",
1820                             options.server_key_bits);
1821                 }
1822         }
1823 #endif
1824
1825         if (use_privsep) {
1826                 struct stat st;
1827
1828                 if ((stat(_PATH_PRIVSEP_CHROOT_DIR, &st) == -1) ||
1829                     (S_ISDIR(st.st_mode) == 0))
1830                         fatal("Missing privilege separation directory: %s",
1831                             _PATH_PRIVSEP_CHROOT_DIR);
1832
1833 #ifdef HAVE_CYGWIN
1834                 if (check_ntsec(_PATH_PRIVSEP_CHROOT_DIR) &&
1835                     (st.st_uid != getuid () ||
1836                     (st.st_mode & (S_IWGRP|S_IWOTH)) != 0))
1837 #else
1838                 if (st.st_uid != 0 || (st.st_mode & (S_IWGRP|S_IWOTH)) != 0)
1839 #endif
1840                         fatal("%s must be owned by root and not group or "
1841                             "world-writable.", _PATH_PRIVSEP_CHROOT_DIR);
1842         }
1843
1844         if (test_flag > 1) {
1845                 if (server_match_spec_complete(connection_info) == 1)
1846                         parse_server_match_config(&options, connection_info);
1847                 dump_config(&options);
1848         }
1849
1850         /* Configuration looks good, so exit if in test mode. */
1851         if (test_flag)
1852                 exit(0);
1853
1854         /*
1855          * Clear out any supplemental groups we may have inherited.  This
1856          * prevents inadvertent creation of files with bad modes (in the
1857          * portable version at least, it's certainly possible for PAM
1858          * to create a file, and we can't control the code in every
1859          * module which might be used).
1860          */
1861         if (setgroups(0, NULL) < 0)
1862                 debug("setgroups() failed: %.200s", strerror(errno));
1863
1864         if (rexec_flag) {
1865                 rexec_argv = xcalloc(rexec_argc + 2, sizeof(char *));
1866                 for (i = 0; i < rexec_argc; i++) {
1867                         debug("rexec_argv[%d]='%s'", i, saved_argv[i]);
1868                         rexec_argv[i] = saved_argv[i];
1869                 }
1870                 rexec_argv[rexec_argc] = "-R";
1871                 rexec_argv[rexec_argc + 1] = NULL;
1872         }
1873
1874         /* Ensure that umask disallows at least group and world write */
1875         new_umask = umask(0077) | 0022;
1876         (void) umask(new_umask);
1877
1878         /* Initialize the log (it is reinitialized below in case we forked). */
1879         if (debug_flag && (!inetd_flag || rexeced_flag))
1880                 log_stderr = 1;
1881         log_init(__progname, options.log_level, options.log_facility, log_stderr);
1882
1883         /*
1884          * If not in debugging mode, and not started from inetd, disconnect
1885          * from the controlling terminal, and fork.  The original process
1886          * exits.
1887          */
1888         if (!(debug_flag || inetd_flag || no_daemon_flag)) {
1889 #ifdef TIOCNOTTY
1890                 int fd;
1891 #endif /* TIOCNOTTY */
1892                 if (daemon(0, 0) < 0)
1893                         fatal("daemon() failed: %.200s", strerror(errno));
1894
1895                 /* Disconnect from the controlling tty. */
1896 #ifdef TIOCNOTTY
1897                 fd = open(_PATH_TTY, O_RDWR | O_NOCTTY);
1898                 if (fd >= 0) {
1899                         (void) ioctl(fd, TIOCNOTTY, NULL);
1900                         close(fd);
1901                 }
1902 #endif /* TIOCNOTTY */
1903         }
1904         /* Reinitialize the log (because of the fork above). */
1905         log_init(__progname, options.log_level, options.log_facility, log_stderr);
1906
1907         /* Chdir to the root directory so that the current disk can be
1908            unmounted if desired. */
1909         if (chdir("/") == -1)
1910                 error("chdir(\"/\"): %s", strerror(errno));
1911
1912         /* ignore SIGPIPE */
1913         signal(SIGPIPE, SIG_IGN);
1914
1915         /* Get a connection, either from inetd or a listening TCP socket */
1916         if (inetd_flag) {
1917                 server_accept_inetd(&sock_in, &sock_out);
1918         } else {
1919                 platform_pre_listen();
1920                 server_listen();
1921
1922                 if (options.protocol & SSH_PROTO_1)
1923                         generate_ephemeral_server_key();
1924
1925                 signal(SIGHUP, sighup_handler);
1926                 signal(SIGCHLD, main_sigchld_handler);
1927                 signal(SIGTERM, sigterm_handler);
1928                 signal(SIGQUIT, sigterm_handler);
1929
1930                 /*
1931                  * Write out the pid file after the sigterm handler
1932                  * is setup and the listen sockets are bound
1933                  */
1934                 if (!debug_flag) {
1935                         FILE *f = fopen(options.pid_file, "w");
1936
1937                         if (f == NULL) {
1938                                 error("Couldn't create pid file \"%s\": %s",
1939                                     options.pid_file, strerror(errno));
1940                         } else {
1941                                 fprintf(f, "%ld\n", (long) getpid());
1942                                 fclose(f);
1943                         }
1944                 }
1945
1946                 /* Accept a connection and return in a forked child */
1947                 server_accept_loop(&sock_in, &sock_out,
1948                     &newsock, config_s);
1949         }
1950
1951         /* This is the child processing a new connection. */
1952         setproctitle("%s", "[accepted]");
1953
1954         /*
1955          * Create a new session and process group since the 4.4BSD
1956          * setlogin() affects the entire process group.  We don't
1957          * want the child to be able to affect the parent.
1958          */
1959 #if !defined(SSHD_ACQUIRES_CTTY)
1960         /*
1961          * If setsid is called, on some platforms sshd will later acquire a
1962          * controlling terminal which will result in "could not set
1963          * controlling tty" errors.
1964          */
1965         if (!debug_flag && !inetd_flag && setsid() < 0)
1966                 error("setsid: %.100s", strerror(errno));
1967 #endif
1968
1969         if (rexec_flag) {
1970                 int fd;
1971
1972                 debug("rexec start in %d out %d newsock %d pipe %d sock %d",
1973                     sock_in, sock_out, newsock, startup_pipe, config_s[0]);
1974                 dup2(newsock, STDIN_FILENO);
1975                 dup2(STDIN_FILENO, STDOUT_FILENO);
1976                 if (startup_pipe == -1)
1977                         close(REEXEC_STARTUP_PIPE_FD);
1978                 else if (startup_pipe != REEXEC_STARTUP_PIPE_FD) {
1979                         dup2(startup_pipe, REEXEC_STARTUP_PIPE_FD);
1980                         close(startup_pipe);
1981                         startup_pipe = REEXEC_STARTUP_PIPE_FD;
1982                 }
1983
1984                 dup2(config_s[1], REEXEC_CONFIG_PASS_FD);
1985                 close(config_s[1]);
1986
1987                 execv(rexec_argv[0], rexec_argv);
1988
1989                 /* Reexec has failed, fall back and continue */
1990                 error("rexec of %s failed: %s", rexec_argv[0], strerror(errno));
1991                 recv_rexec_state(REEXEC_CONFIG_PASS_FD, NULL);
1992                 log_init(__progname, options.log_level,
1993                     options.log_facility, log_stderr);
1994
1995                 /* Clean up fds */
1996                 close(REEXEC_CONFIG_PASS_FD);
1997                 newsock = sock_out = sock_in = dup(STDIN_FILENO);
1998                 if ((fd = open(_PATH_DEVNULL, O_RDWR, 0)) != -1) {
1999                         dup2(fd, STDIN_FILENO);
2000                         dup2(fd, STDOUT_FILENO);
2001                         if (fd > STDERR_FILENO)
2002                                 close(fd);
2003                 }
2004                 debug("rexec cleanup in %d out %d newsock %d pipe %d sock %d",
2005                     sock_in, sock_out, newsock, startup_pipe, config_s[0]);
2006         }
2007
2008         /* Executed child processes don't need these. */
2009         fcntl(sock_out, F_SETFD, FD_CLOEXEC);
2010         fcntl(sock_in, F_SETFD, FD_CLOEXEC);
2011
2012         /*
2013          * Disable the key regeneration alarm.  We will not regenerate the
2014          * key since we are no longer in a position to give it to anyone. We
2015          * will not restart on SIGHUP since it no longer makes sense.
2016          */
2017         alarm(0);
2018         signal(SIGALRM, SIG_DFL);
2019         signal(SIGHUP, SIG_DFL);
2020         signal(SIGTERM, SIG_DFL);
2021         signal(SIGQUIT, SIG_DFL);
2022         signal(SIGCHLD, SIG_DFL);
2023         signal(SIGINT, SIG_DFL);
2024
2025         /*
2026          * Register our connection.  This turns encryption off because we do
2027          * not have a key.
2028          */
2029         packet_set_connection(sock_in, sock_out);
2030         packet_set_server();
2031
2032         /* Set SO_KEEPALIVE if requested. */
2033         if (options.tcp_keep_alive && packet_connection_is_on_socket() &&
2034             setsockopt(sock_in, SOL_SOCKET, SO_KEEPALIVE, &on, sizeof(on)) < 0)
2035                 error("setsockopt SO_KEEPALIVE: %.100s", strerror(errno));
2036
2037         if ((remote_port = get_remote_port()) < 0) {
2038                 debug("get_remote_port failed");
2039                 cleanup_exit(255);
2040         }
2041
2042         /*
2043          * We use get_canonical_hostname with usedns = 0 instead of
2044          * get_remote_ipaddr here so IP options will be checked.
2045          */
2046         (void) get_canonical_hostname(0);
2047         /*
2048          * The rest of the code depends on the fact that
2049          * get_remote_ipaddr() caches the remote ip, even if
2050          * the socket goes away.
2051          */
2052         remote_ip = get_remote_ipaddr();
2053
2054 #ifdef SSH_AUDIT_EVENTS
2055         audit_connection_from(remote_ip, remote_port);
2056 #endif
2057
2058         /* Log the connection. */
2059         verbose("Connection from %s port %d on %s port %d",
2060             remote_ip, remote_port,
2061             get_local_ipaddr(sock_in), get_local_port());
2062
2063         /*
2064          * We don't want to listen forever unless the other side
2065          * successfully authenticates itself.  So we set up an alarm which is
2066          * cleared after successful authentication.  A limit of zero
2067          * indicates no limit. Note that we don't set the alarm in debugging
2068          * mode; it is just annoying to have the server exit just when you
2069          * are about to discover the bug.
2070          */
2071         signal(SIGALRM, grace_alarm_handler);
2072         if (!debug_flag)
2073                 alarm(options.login_grace_time);
2074
2075         sshd_exchange_identification(sock_in, sock_out);
2076
2077         /* In inetd mode, generate ephemeral key only for proto 1 connections */
2078         if (!compat20 && inetd_flag && sensitive_data.server_key == NULL)
2079                 generate_ephemeral_server_key();
2080
2081         packet_set_nonblocking();
2082
2083         /* allocate authentication context */
2084         authctxt = xcalloc(1, sizeof(*authctxt));
2085
2086         authctxt->loginmsg = &loginmsg;
2087
2088         /* XXX global for cleanup, access from other modules */
2089         the_authctxt = authctxt;
2090
2091         /* prepare buffer to collect messages to display to user after login */
2092         buffer_init(&loginmsg);
2093         auth_debug_reset();
2094
2095         if (use_privsep) {
2096                 if (privsep_preauth(authctxt) == 1)
2097                         goto authenticated;
2098         } else if (compat20 && have_agent)
2099                 auth_conn = ssh_get_authentication_connection();
2100
2101         /* perform the key exchange */
2102         /* authenticate user and start session */
2103         if (compat20) {
2104                 do_ssh2_kex();
2105                 do_authentication2(authctxt);
2106         } else {
2107 #ifdef WITH_SSH1
2108                 do_ssh1_kex();
2109                 do_authentication(authctxt);
2110 #else
2111                 fatal("ssh1 not supported");
2112 #endif
2113         }
2114         /*
2115          * If we use privilege separation, the unprivileged child transfers
2116          * the current keystate and exits
2117          */
2118         if (use_privsep) {
2119                 mm_send_keystate(pmonitor);
2120                 exit(0);
2121         }
2122
2123  authenticated:
2124         /*
2125          * Cancel the alarm we set to limit the time taken for
2126          * authentication.
2127          */
2128         alarm(0);
2129         signal(SIGALRM, SIG_DFL);
2130         authctxt->authenticated = 1;
2131         if (startup_pipe != -1) {
2132                 close(startup_pipe);
2133                 startup_pipe = -1;
2134         }
2135
2136 #ifdef SSH_AUDIT_EVENTS
2137         audit_event(SSH_AUTH_SUCCESS);
2138 #endif
2139
2140 #ifdef GSSAPI
2141         if (options.gss_authentication) {
2142                 temporarily_use_uid(authctxt->pw);
2143                 ssh_gssapi_storecreds();
2144                 restore_uid();
2145         }
2146 #endif
2147 #ifdef USE_PAM
2148         if (options.use_pam) {
2149                 do_pam_setcred(1);
2150                 do_pam_session();
2151         }
2152 #endif
2153
2154         /*
2155          * In privilege separation, we fork another child and prepare
2156          * file descriptor passing.
2157          */
2158         if (use_privsep) {
2159                 privsep_postauth(authctxt);
2160                 /* the monitor process [priv] will not return */
2161                 if (!compat20)
2162                         destroy_sensitive_data();
2163         }
2164
2165         packet_set_timeout(options.client_alive_interval,
2166             options.client_alive_count_max);
2167
2168         /* Start session. */
2169         do_authenticated(authctxt);
2170
2171         /* The connection has been terminated. */
2172         packet_get_state(MODE_IN, NULL, NULL, NULL, &ibytes);
2173         packet_get_state(MODE_OUT, NULL, NULL, NULL, &obytes);
2174         verbose("Transferred: sent %llu, received %llu bytes",
2175             (unsigned long long)obytes, (unsigned long long)ibytes);
2176
2177         verbose("Closing connection to %.500s port %d", remote_ip, remote_port);
2178
2179 #ifdef USE_PAM
2180         if (options.use_pam)
2181                 finish_pam();
2182 #endif /* USE_PAM */
2183
2184 #ifdef SSH_AUDIT_EVENTS
2185         PRIVSEP(audit_event(SSH_CONNECTION_CLOSE));
2186 #endif
2187
2188         packet_close();
2189
2190         if (use_privsep)
2191                 mm_terminate();
2192
2193         exit(0);
2194 }
2195
2196 #ifdef WITH_SSH1
2197 /*
2198  * Decrypt session_key_int using our private server key and private host key
2199  * (key with larger modulus first).
2200  */
2201 int
2202 ssh1_session_key(BIGNUM *session_key_int)
2203 {
2204         int rsafail = 0;
2205
2206         if (BN_cmp(sensitive_data.server_key->rsa->n,
2207             sensitive_data.ssh1_host_key->rsa->n) > 0) {
2208                 /* Server key has bigger modulus. */
2209                 if (BN_num_bits(sensitive_data.server_key->rsa->n) <
2210                     BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) +
2211                     SSH_KEY_BITS_RESERVED) {
2212                         fatal("do_connection: %s: "
2213                             "server_key %d < host_key %d + SSH_KEY_BITS_RESERVED %d",
2214                             get_remote_ipaddr(),
2215                             BN_num_bits(sensitive_data.server_key->rsa->n),
2216                             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n),
2217                             SSH_KEY_BITS_RESERVED);
2218                 }
2219                 if (rsa_private_decrypt(session_key_int, session_key_int,
2220                     sensitive_data.server_key->rsa) != 0)
2221                         rsafail++;
2222                 if (rsa_private_decrypt(session_key_int, session_key_int,
2223                     sensitive_data.ssh1_host_key->rsa) != 0)
2224                         rsafail++;
2225         } else {
2226                 /* Host key has bigger modulus (or they are equal). */
2227                 if (BN_num_bits(sensitive_data.ssh1_host_key->rsa->n) <
2228                     BN_num_bits(sensitive_data.server_key->rsa->n) +
2229                     SSH_KEY_BITS_RESERVED) {
2230                         fatal("do_connection: %s: "
2231                             "host_key %d < server_key %d + SSH_KEY_BITS_RESERVED %d",
2232                             get_remote_ipaddr(),
2233                             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n),
2234                             BN_num_bits(sensitive_data.server_key->rsa->n),
2235                             SSH_KEY_BITS_RESERVED);
2236                 }
2237                 if (rsa_private_decrypt(session_key_int, session_key_int,
2238                     sensitive_data.ssh1_host_key->rsa) != 0)
2239                         rsafail++;
2240                 if (rsa_private_decrypt(session_key_int, session_key_int,
2241                     sensitive_data.server_key->rsa) != 0)
2242                         rsafail++;
2243         }
2244         return (rsafail);
2245 }
2246
2247 /*
2248  * SSH1 key exchange
2249  */
2250 static void
2251 do_ssh1_kex(void)
2252 {
2253         int i, len;
2254         int rsafail = 0;
2255         BIGNUM *session_key_int;
2256         u_char session_key[SSH_SESSION_KEY_LENGTH];
2257         u_char cookie[8];
2258         u_int cipher_type, auth_mask, protocol_flags;
2259
2260         /*
2261          * Generate check bytes that the client must send back in the user
2262          * packet in order for it to be accepted; this is used to defy ip
2263          * spoofing attacks.  Note that this only works against somebody
2264          * doing IP spoofing from a remote machine; any machine on the local
2265          * network can still see outgoing packets and catch the random
2266          * cookie.  This only affects rhosts authentication, and this is one
2267          * of the reasons why it is inherently insecure.
2268          */
2269         arc4random_buf(cookie, sizeof(cookie));
2270
2271         /*
2272          * Send our public key.  We include in the packet 64 bits of random
2273          * data that must be matched in the reply in order to prevent IP
2274          * spoofing.
2275          */
2276         packet_start(SSH_SMSG_PUBLIC_KEY);
2277         for (i = 0; i < 8; i++)
2278                 packet_put_char(cookie[i]);
2279
2280         /* Store our public server RSA key. */
2281         packet_put_int(BN_num_bits(sensitive_data.server_key->rsa->n));
2282         packet_put_bignum(sensitive_data.server_key->rsa->e);
2283         packet_put_bignum(sensitive_data.server_key->rsa->n);
2284
2285         /* Store our public host RSA key. */
2286         packet_put_int(BN_num_bits(sensitive_data.ssh1_host_key->rsa->n));
2287         packet_put_bignum(sensitive_data.ssh1_host_key->rsa->e);
2288         packet_put_bignum(sensitive_data.ssh1_host_key->rsa->n);
2289
2290         /* Put protocol flags. */
2291         packet_put_int(SSH_PROTOFLAG_HOST_IN_FWD_OPEN);
2292
2293         /* Declare which ciphers we support. */
2294         packet_put_int(cipher_mask_ssh1(0));
2295
2296         /* Declare supported authentication types. */
2297         auth_mask = 0;
2298         if (options.rhosts_rsa_authentication)
2299                 auth_mask |= 1 << SSH_AUTH_RHOSTS_RSA;
2300         if (options.rsa_authentication)
2301                 auth_mask |= 1 << SSH_AUTH_RSA;
2302         if (options.challenge_response_authentication == 1)
2303                 auth_mask |= 1 << SSH_AUTH_TIS;
2304         if (options.password_authentication)
2305                 auth_mask |= 1 << SSH_AUTH_PASSWORD;
2306         packet_put_int(auth_mask);
2307
2308         /* Send the packet and wait for it to be sent. */
2309         packet_send();
2310         packet_write_wait();
2311
2312         debug("Sent %d bit server key and %d bit host key.",
2313             BN_num_bits(sensitive_data.server_key->rsa->n),
2314             BN_num_bits(sensitive_data.ssh1_host_key->rsa->n));
2315
2316         /* Read clients reply (cipher type and session key). */
2317         packet_read_expect(SSH_CMSG_SESSION_KEY);
2318
2319         /* Get cipher type and check whether we accept this. */
2320         cipher_type = packet_get_char();
2321
2322         if (!(cipher_mask_ssh1(0) & (1 << cipher_type)))
2323                 packet_disconnect("Warning: client selects unsupported cipher.");
2324
2325         /* Get check bytes from the packet.  These must match those we
2326            sent earlier with the public key packet. */
2327         for (i = 0; i < 8; i++)
2328                 if (cookie[i] != packet_get_char())
2329                         packet_disconnect("IP Spoofing check bytes do not match.");
2330
2331         debug("Encryption type: %.200s", cipher_name(cipher_type));
2332
2333         /* Get the encrypted integer. */
2334         if ((session_key_int = BN_new()) == NULL)
2335                 fatal("do_ssh1_kex: BN_new failed");
2336         packet_get_bignum(session_key_int);
2337
2338         protocol_flags = packet_get_int();
2339         packet_set_protocol_flags(protocol_flags);
2340         packet_check_eom();
2341
2342         /* Decrypt session_key_int using host/server keys */
2343         rsafail = PRIVSEP(ssh1_session_key(session_key_int));
2344
2345         /*
2346          * Extract session key from the decrypted integer.  The key is in the
2347          * least significant 256 bits of the integer; the first byte of the
2348          * key is in the highest bits.
2349          */
2350         if (!rsafail) {
2351                 (void) BN_mask_bits(session_key_int, sizeof(session_key) * 8);
2352                 len = BN_num_bytes(session_key_int);
2353                 if (len < 0 || (u_int)len > sizeof(session_key)) {
2354                         error("do_ssh1_kex: bad session key len from %s: "
2355                             "session_key_int %d > sizeof(session_key) %lu",
2356                             get_remote_ipaddr(), len, (u_long)sizeof(session_key));
2357                         rsafail++;
2358                 } else {
2359                         explicit_bzero(session_key, sizeof(session_key));
2360                         BN_bn2bin(session_key_int,
2361                             session_key + sizeof(session_key) - len);
2362
2363                         derive_ssh1_session_id(
2364                             sensitive_data.ssh1_host_key->rsa->n,
2365                             sensitive_data.server_key->rsa->n,
2366                             cookie, session_id);
2367                         /*
2368                          * Xor the first 16 bytes of the session key with the
2369                          * session id.
2370                          */
2371                         for (i = 0; i < 16; i++)
2372                                 session_key[i] ^= session_id[i];
2373                 }
2374         }
2375         if (rsafail) {
2376                 int bytes = BN_num_bytes(session_key_int);
2377                 u_char *buf = xmalloc(bytes);
2378                 struct ssh_digest_ctx *md;
2379
2380                 logit("do_connection: generating a fake encryption key");
2381                 BN_bn2bin(session_key_int, buf);
2382                 if ((md = ssh_digest_start(SSH_DIGEST_MD5)) == NULL ||
2383                     ssh_digest_update(md, buf, bytes) < 0 ||
2384                     ssh_digest_update(md, sensitive_data.ssh1_cookie,
2385                     SSH_SESSION_KEY_LENGTH) < 0 ||
2386                     ssh_digest_final(md, session_key, sizeof(session_key)) < 0)
2387                         fatal("%s: md5 failed", __func__);
2388                 ssh_digest_free(md);
2389                 if ((md = ssh_digest_start(SSH_DIGEST_MD5)) == NULL ||
2390                     ssh_digest_update(md, session_key, 16) < 0 ||
2391                     ssh_digest_update(md, sensitive_data.ssh1_cookie,
2392                     SSH_SESSION_KEY_LENGTH) < 0 ||
2393                     ssh_digest_final(md, session_key + 16,
2394                     sizeof(session_key) - 16) < 0)
2395                         fatal("%s: md5 failed", __func__);
2396                 ssh_digest_free(md);
2397                 explicit_bzero(buf, bytes);
2398                 free(buf);
2399                 for (i = 0; i < 16; i++)
2400                         session_id[i] = session_key[i] ^ session_key[i + 16];
2401         }
2402         /* Destroy the private and public keys. No longer. */
2403         destroy_sensitive_data();
2404
2405         if (use_privsep)
2406                 mm_ssh1_session_id(session_id);
2407
2408         /* Destroy the decrypted integer.  It is no longer needed. */
2409         BN_clear_free(session_key_int);
2410
2411         /* Set the session key.  From this on all communications will be encrypted. */
2412         packet_set_encryption_key(session_key, SSH_SESSION_KEY_LENGTH, cipher_type);
2413
2414         /* Destroy our copy of the session key.  It is no longer needed. */
2415         explicit_bzero(session_key, sizeof(session_key));
2416
2417         debug("Received session key; encryption turned on.");
2418
2419         /* Send an acknowledgment packet.  Note that this packet is sent encrypted. */
2420         packet_start(SSH_SMSG_SUCCESS);
2421         packet_send();
2422         packet_write_wait();
2423 }
2424 #endif
2425
2426 void
2427 sshd_hostkey_sign(Key *privkey, Key *pubkey, u_char **signature, u_int *slen,
2428     u_char *data, u_int dlen)
2429 {
2430         if (privkey) {
2431                 if (PRIVSEP(key_sign(privkey, signature, slen, data, dlen) < 0))
2432                         fatal("%s: key_sign failed", __func__);
2433         } else if (use_privsep) {
2434                 if (mm_key_sign(pubkey, signature, slen, data, dlen) < 0)
2435                         fatal("%s: pubkey_sign failed", __func__);
2436         } else {
2437                 if (ssh_agent_sign(auth_conn, pubkey, signature, slen, data,
2438                     dlen))
2439                         fatal("%s: ssh_agent_sign failed", __func__);
2440         }
2441 }
2442
2443 /*
2444  * SSH2 key exchange: diffie-hellman-group1-sha1
2445  */
2446 static void
2447 do_ssh2_kex(void)
2448 {
2449         char *myproposal[PROPOSAL_MAX] = { KEX_SERVER };
2450         Kex *kex;
2451
2452         if (options.ciphers != NULL) {
2453                 myproposal[PROPOSAL_ENC_ALGS_CTOS] =
2454                 myproposal[PROPOSAL_ENC_ALGS_STOC] = options.ciphers;
2455         }
2456         myproposal[PROPOSAL_ENC_ALGS_CTOS] =
2457             compat_cipher_proposal(myproposal[PROPOSAL_ENC_ALGS_CTOS]);
2458         myproposal[PROPOSAL_ENC_ALGS_STOC] =
2459             compat_cipher_proposal(myproposal[PROPOSAL_ENC_ALGS_STOC]);
2460
2461         if (options.macs != NULL) {
2462                 myproposal[PROPOSAL_MAC_ALGS_CTOS] =
2463                 myproposal[PROPOSAL_MAC_ALGS_STOC] = options.macs;
2464         }
2465         if (options.compression == COMP_NONE) {
2466                 myproposal[PROPOSAL_COMP_ALGS_CTOS] =
2467                 myproposal[PROPOSAL_COMP_ALGS_STOC] = "none";
2468         } else if (options.compression == COMP_DELAYED) {
2469                 myproposal[PROPOSAL_COMP_ALGS_CTOS] =
2470                 myproposal[PROPOSAL_COMP_ALGS_STOC] = "none,zlib@openssh.com";
2471         }
2472         if (options.kex_algorithms != NULL)
2473                 myproposal[PROPOSAL_KEX_ALGS] = options.kex_algorithms;
2474
2475         myproposal[PROPOSAL_KEX_ALGS] = compat_kex_proposal(
2476             myproposal[PROPOSAL_KEX_ALGS]);
2477
2478         if (options.rekey_limit || options.rekey_interval)
2479                 packet_set_rekey_limits((u_int32_t)options.rekey_limit,
2480                     (time_t)options.rekey_interval);
2481
2482         myproposal[PROPOSAL_SERVER_HOST_KEY_ALGS] = compat_pkalg_proposal(
2483             list_hostkey_types());
2484
2485         /* start key exchange */
2486         kex = kex_setup(myproposal);
2487 #ifdef WITH_OPENSSL
2488         kex->kex[KEX_DH_GRP1_SHA1] = kexdh_server;
2489         kex->kex[KEX_DH_GRP14_SHA1] = kexdh_server;
2490         kex->kex[KEX_DH_GEX_SHA1] = kexgex_server;
2491         kex->kex[KEX_DH_GEX_SHA256] = kexgex_server;
2492         kex->kex[KEX_ECDH_SHA2] = kexecdh_server;
2493 #endif
2494         kex->kex[KEX_C25519_SHA256] = kexc25519_server;
2495         kex->server = 1;
2496         kex->client_version_string=client_version_string;
2497         kex->server_version_string=server_version_string;
2498         kex->load_host_public_key=&get_hostkey_public_by_type;
2499         kex->load_host_private_key=&get_hostkey_private_by_type;
2500         kex->host_key_index=&get_hostkey_index;
2501         kex->sign = sshd_hostkey_sign;
2502
2503         xxx_kex = kex;
2504
2505         dispatch_run(DISPATCH_BLOCK, &kex->done, kex);
2506
2507         session_id2 = kex->session_id;
2508         session_id2_len = kex->session_id_len;
2509
2510 #ifdef DEBUG_KEXDH
2511         /* send 1st encrypted/maced/compressed message */
2512         packet_start(SSH2_MSG_IGNORE);
2513         packet_put_cstring("markus");
2514         packet_send();
2515         packet_write_wait();
2516 #endif
2517         debug("KEX done");
2518 }
2519
2520 /* server specific fatal cleanup */
2521 void
2522 cleanup_exit(int i)
2523 {
2524         if (the_authctxt) {
2525                 do_cleanup(the_authctxt);
2526                 if (use_privsep && privsep_is_preauth &&
2527                     pmonitor != NULL && pmonitor->m_pid > 1) {
2528                         debug("Killing privsep child %d", pmonitor->m_pid);
2529                         if (kill(pmonitor->m_pid, SIGKILL) != 0 &&
2530                             errno != ESRCH)
2531                                 error("%s: kill(%d): %s", __func__,
2532                                     pmonitor->m_pid, strerror(errno));
2533                 }
2534         }
2535 #ifdef SSH_AUDIT_EVENTS
2536         /* done after do_cleanup so it can cancel the PAM auth 'thread' */
2537         if (!use_privsep || mm_is_monitor())
2538                 audit_event(SSH_CONNECTION_ABANDON);
2539 #endif
2540         _exit(i);
2541 }