e911d843202fc6f8adfc6c555c34223c7f963255
[dragonfly.git] / crypto / openssh / session.c
1 /* $OpenBSD: session.c,v 1.315 2019/02/22 03:37:11 djm Exp $ */
2 /*
3  * Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
4  *                    All rights reserved
5  *
6  * As far as I am concerned, the code I have written for this software
7  * can be used freely for any purpose.  Any derived versions of this
8  * software must be clearly marked as such, and if the derived work is
9  * incompatible with the protocol description in the RFC file, it must be
10  * called by a name other than "ssh" or "Secure Shell".
11  *
12  * SSH2 support by Markus Friedl.
13  * Copyright (c) 2000, 2001 Markus Friedl.  All rights reserved.
14  *
15  * Redistribution and use in source and binary forms, with or without
16  * modification, are permitted provided that the following conditions
17  * are met:
18  * 1. Redistributions of source code must retain the above copyright
19  *    notice, this list of conditions and the following disclaimer.
20  * 2. Redistributions in binary form must reproduce the above copyright
21  *    notice, this list of conditions and the following disclaimer in the
22  *    documentation and/or other materials provided with the distribution.
23  *
24  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
25  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
26  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
27  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
28  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
29  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
30  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
31  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
32  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
33  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
34  */
35
36 #include "includes.h"
37
38 #include <sys/types.h>
39 #include <sys/param.h>
40 #ifdef HAVE_SYS_STAT_H
41 # include <sys/stat.h>
42 #endif
43 #include <sys/socket.h>
44 #include <sys/un.h>
45 #include <sys/wait.h>
46
47 #include <arpa/inet.h>
48
49 #include <ctype.h>
50 #include <errno.h>
51 #include <fcntl.h>
52 #include <grp.h>
53 #include <netdb.h>
54 #ifdef HAVE_PATHS_H
55 #include <paths.h>
56 #endif
57 #include <pwd.h>
58 #include <signal.h>
59 #include <stdarg.h>
60 #include <stdio.h>
61 #include <stdlib.h>
62 #include <string.h>
63 #include <unistd.h>
64 #include <limits.h>
65
66 #include "openbsd-compat/sys-queue.h"
67 #include "xmalloc.h"
68 #include "ssh.h"
69 #include "ssh2.h"
70 #include "sshpty.h"
71 #include "packet.h"
72 #include "sshbuf.h"
73 #include "ssherr.h"
74 #include "match.h"
75 #include "uidswap.h"
76 #include "compat.h"
77 #include "channels.h"
78 #include "sshkey.h"
79 #include "cipher.h"
80 #ifdef GSSAPI
81 #include "ssh-gss.h"
82 #endif
83 #include "hostfile.h"
84 #include "auth.h"
85 #include "auth-options.h"
86 #include "authfd.h"
87 #include "pathnames.h"
88 #include "log.h"
89 #include "misc.h"
90 #include "servconf.h"
91 #include "sshlogin.h"
92 #include "serverloop.h"
93 #include "canohost.h"
94 #include "session.h"
95 #include "kex.h"
96 #include "monitor_wrap.h"
97 #include "sftp.h"
98 #include "atomicio.h"
99
100 #if defined(KRB5) && defined(USE_AFS)
101 #include <kafs.h>
102 #endif
103
104 #ifdef WITH_SELINUX
105 #include <selinux/selinux.h>
106 #endif
107
108 #define IS_INTERNAL_SFTP(c) \
109         (!strncmp(c, INTERNAL_SFTP_NAME, sizeof(INTERNAL_SFTP_NAME) - 1) && \
110          (c[sizeof(INTERNAL_SFTP_NAME) - 1] == '\0' || \
111           c[sizeof(INTERNAL_SFTP_NAME) - 1] == ' ' || \
112           c[sizeof(INTERNAL_SFTP_NAME) - 1] == '\t'))
113
114 /* func */
115
116 Session *session_new(void);
117 void    session_set_fds(struct ssh *, Session *, int, int, int, int, int);
118 void    session_pty_cleanup(Session *);
119 void    session_proctitle(Session *);
120 int     session_setup_x11fwd(struct ssh *, Session *);
121 int     do_exec_pty(struct ssh *, Session *, const char *);
122 int     do_exec_no_pty(struct ssh *, Session *, const char *);
123 int     do_exec(struct ssh *, Session *, const char *);
124 void    do_login(struct ssh *, Session *, const char *);
125 void    do_child(struct ssh *, Session *, const char *);
126 void    do_motd(void);
127 int     check_quietlogin(Session *, const char *);
128
129 static void do_authenticated2(struct ssh *, Authctxt *);
130
131 static int session_pty_req(struct ssh *, Session *);
132
133 /* import */
134 extern ServerOptions options;
135 extern char *__progname;
136 extern int debug_flag;
137 extern u_int utmp_len;
138 extern int startup_pipe;
139 extern void destroy_sensitive_data(void);
140 extern struct sshbuf *loginmsg;
141 extern struct sshauthopt *auth_opts;
142 extern char *tun_fwd_ifnames; /* serverloop.c */
143
144 /* original command from peer. */
145 const char *original_command = NULL;
146
147 /* data */
148 static int sessions_first_unused = -1;
149 static int sessions_nalloc = 0;
150 static Session *sessions = NULL;
151
152 #define SUBSYSTEM_NONE                  0
153 #define SUBSYSTEM_EXT                   1
154 #define SUBSYSTEM_INT_SFTP              2
155 #define SUBSYSTEM_INT_SFTP_ERROR        3
156
157 #ifdef HAVE_LOGIN_CAP
158 login_cap_t *lc;
159 #endif
160
161 static int is_child = 0;
162 static int in_chroot = 0;
163
164 /* File containing userauth info, if ExposeAuthInfo set */
165 static char *auth_info_file = NULL;
166
167 /* Name and directory of socket for authentication agent forwarding. */
168 static char *auth_sock_name = NULL;
169 static char *auth_sock_dir = NULL;
170
171 /* removes the agent forwarding socket */
172
173 static void
174 auth_sock_cleanup_proc(struct passwd *pw)
175 {
176         if (auth_sock_name != NULL) {
177                 temporarily_use_uid(pw);
178                 unlink(auth_sock_name);
179                 rmdir(auth_sock_dir);
180                 auth_sock_name = NULL;
181                 restore_uid();
182         }
183 }
184
185 static int
186 auth_input_request_forwarding(struct ssh *ssh, struct passwd * pw)
187 {
188         Channel *nc;
189         int sock = -1;
190
191         if (auth_sock_name != NULL) {
192                 error("authentication forwarding requested twice.");
193                 return 0;
194         }
195
196         /* Temporarily drop privileged uid for mkdir/bind. */
197         temporarily_use_uid(pw);
198
199         /* Allocate a buffer for the socket name, and format the name. */
200         auth_sock_dir = xstrdup("/tmp/ssh-XXXXXXXXXX");
201
202         /* Create private directory for socket */
203         if (mkdtemp(auth_sock_dir) == NULL) {
204                 ssh_packet_send_debug(ssh, "Agent forwarding disabled: "
205                     "mkdtemp() failed: %.100s", strerror(errno));
206                 restore_uid();
207                 free(auth_sock_dir);
208                 auth_sock_dir = NULL;
209                 goto authsock_err;
210         }
211
212         xasprintf(&auth_sock_name, "%s/agent.%ld",
213             auth_sock_dir, (long) getpid());
214
215         /* Start a Unix listener on auth_sock_name. */
216         sock = unix_listener(auth_sock_name, SSH_LISTEN_BACKLOG, 0);
217
218         /* Restore the privileged uid. */
219         restore_uid();
220
221         /* Check for socket/bind/listen failure. */
222         if (sock < 0)
223                 goto authsock_err;
224
225         /* Allocate a channel for the authentication agent socket. */
226         nc = channel_new(ssh, "auth socket",
227             SSH_CHANNEL_AUTH_SOCKET, sock, sock, -1,
228             CHAN_X11_WINDOW_DEFAULT, CHAN_X11_PACKET_DEFAULT,
229             0, "auth socket", 1);
230         nc->path = xstrdup(auth_sock_name);
231         return 1;
232
233  authsock_err:
234         free(auth_sock_name);
235         if (auth_sock_dir != NULL) {
236                 temporarily_use_uid(pw);
237                 rmdir(auth_sock_dir);
238                 restore_uid();
239                 free(auth_sock_dir);
240         }
241         if (sock != -1)
242                 close(sock);
243         auth_sock_name = NULL;
244         auth_sock_dir = NULL;
245         return 0;
246 }
247
248 static void
249 display_loginmsg(void)
250 {
251         int r;
252
253         if (sshbuf_len(loginmsg) == 0)
254                 return;
255         if ((r = sshbuf_put_u8(loginmsg, 0)) != 0)
256                 fatal("%s: buffer error: %s", __func__, ssh_err(r));
257         printf("%s", (char *)sshbuf_ptr(loginmsg));
258         sshbuf_reset(loginmsg);
259 }
260
261 static void
262 prepare_auth_info_file(struct passwd *pw, struct sshbuf *info)
263 {
264         int fd = -1, success = 0;
265
266         if (!options.expose_userauth_info || info == NULL)
267                 return;
268
269         temporarily_use_uid(pw);
270         auth_info_file = xstrdup("/tmp/sshauth.XXXXXXXXXXXXXXX");
271         if ((fd = mkstemp(auth_info_file)) == -1) {
272                 error("%s: mkstemp: %s", __func__, strerror(errno));
273                 goto out;
274         }
275         if (atomicio(vwrite, fd, sshbuf_mutable_ptr(info),
276             sshbuf_len(info)) != sshbuf_len(info)) {
277                 error("%s: write: %s", __func__, strerror(errno));
278                 goto out;
279         }
280         if (close(fd) != 0) {
281                 error("%s: close: %s", __func__, strerror(errno));
282                 goto out;
283         }
284         success = 1;
285  out:
286         if (!success) {
287                 if (fd != -1)
288                         close(fd);
289                 free(auth_info_file);
290                 auth_info_file = NULL;
291         }
292         restore_uid();
293 }
294
295 static void
296 set_fwdpermit_from_authopts(struct ssh *ssh, const struct sshauthopt *opts)
297 {
298         char *tmp, *cp, *host;
299         int port;
300         size_t i;
301
302         if ((options.allow_tcp_forwarding & FORWARD_LOCAL) != 0) {
303                 channel_clear_permission(ssh, FORWARD_USER, FORWARD_LOCAL);
304                 for (i = 0; i < auth_opts->npermitopen; i++) {
305                         tmp = cp = xstrdup(auth_opts->permitopen[i]);
306                         /* This shouldn't fail as it has already been checked */
307                         if ((host = hpdelim(&cp)) == NULL)
308                                 fatal("%s: internal error: hpdelim", __func__);
309                         host = cleanhostname(host);
310                         if (cp == NULL || (port = permitopen_port(cp)) < 0)
311                                 fatal("%s: internal error: permitopen port",
312                                     __func__);
313                         channel_add_permission(ssh,
314                             FORWARD_USER, FORWARD_LOCAL, host, port);
315                         free(tmp);
316                 }
317         }
318         if ((options.allow_tcp_forwarding & FORWARD_REMOTE) != 0) {
319                 channel_clear_permission(ssh, FORWARD_USER, FORWARD_REMOTE);
320                 for (i = 0; i < auth_opts->npermitlisten; i++) {
321                         tmp = cp = xstrdup(auth_opts->permitlisten[i]);
322                         /* This shouldn't fail as it has already been checked */
323                         if ((host = hpdelim(&cp)) == NULL)
324                                 fatal("%s: internal error: hpdelim", __func__);
325                         host = cleanhostname(host);
326                         if (cp == NULL || (port = permitopen_port(cp)) < 0)
327                                 fatal("%s: internal error: permitlisten port",
328                                     __func__);
329                         channel_add_permission(ssh,
330                             FORWARD_USER, FORWARD_REMOTE, host, port);
331                         free(tmp);
332                 }
333         }
334 }
335
336 void
337 do_authenticated(struct ssh *ssh, Authctxt *authctxt)
338 {
339         setproctitle("%s", authctxt->pw->pw_name);
340
341         auth_log_authopts("active", auth_opts, 0);
342
343         /* setup the channel layer */
344         /* XXX - streamlocal? */
345         set_fwdpermit_from_authopts(ssh, auth_opts);
346
347         if (!auth_opts->permit_port_forwarding_flag ||
348             options.disable_forwarding) {
349                 channel_disable_admin(ssh, FORWARD_LOCAL);
350                 channel_disable_admin(ssh, FORWARD_REMOTE);
351         } else {
352                 if ((options.allow_tcp_forwarding & FORWARD_LOCAL) == 0)
353                         channel_disable_admin(ssh, FORWARD_LOCAL);
354                 else
355                         channel_permit_all(ssh, FORWARD_LOCAL);
356                 if ((options.allow_tcp_forwarding & FORWARD_REMOTE) == 0)
357                         channel_disable_admin(ssh, FORWARD_REMOTE);
358                 else
359                         channel_permit_all(ssh, FORWARD_REMOTE);
360         }
361         auth_debug_send(ssh);
362
363         prepare_auth_info_file(authctxt->pw, authctxt->session_info);
364
365         do_authenticated2(ssh, authctxt);
366
367         do_cleanup(ssh, authctxt);
368 }
369
370 /* Check untrusted xauth strings for metacharacters */
371 static int
372 xauth_valid_string(const char *s)
373 {
374         size_t i;
375
376         for (i = 0; s[i] != '\0'; i++) {
377                 if (!isalnum((u_char)s[i]) &&
378                     s[i] != '.' && s[i] != ':' && s[i] != '/' &&
379                     s[i] != '-' && s[i] != '_')
380                         return 0;
381         }
382         return 1;
383 }
384
385 #define USE_PIPES 1
386 /*
387  * This is called to fork and execute a command when we have no tty.  This
388  * will call do_child from the child, and server_loop from the parent after
389  * setting up file descriptors and such.
390  */
391 int
392 do_exec_no_pty(struct ssh *ssh, Session *s, const char *command)
393 {
394         pid_t pid;
395 #ifdef USE_PIPES
396         int pin[2], pout[2], perr[2];
397
398         if (s == NULL)
399                 fatal("do_exec_no_pty: no session");
400
401         /* Allocate pipes for communicating with the program. */
402         if (pipe(pin) < 0) {
403                 error("%s: pipe in: %.100s", __func__, strerror(errno));
404                 return -1;
405         }
406         if (pipe(pout) < 0) {
407                 error("%s: pipe out: %.100s", __func__, strerror(errno));
408                 close(pin[0]);
409                 close(pin[1]);
410                 return -1;
411         }
412         if (pipe(perr) < 0) {
413                 error("%s: pipe err: %.100s", __func__,
414                     strerror(errno));
415                 close(pin[0]);
416                 close(pin[1]);
417                 close(pout[0]);
418                 close(pout[1]);
419                 return -1;
420         }
421 #else
422         int inout[2], err[2];
423
424         if (s == NULL)
425                 fatal("do_exec_no_pty: no session");
426
427         /* Uses socket pairs to communicate with the program. */
428         if (socketpair(AF_UNIX, SOCK_STREAM, 0, inout) < 0) {
429                 error("%s: socketpair #1: %.100s", __func__, strerror(errno));
430                 return -1;
431         }
432         if (socketpair(AF_UNIX, SOCK_STREAM, 0, err) < 0) {
433                 error("%s: socketpair #2: %.100s", __func__,
434                     strerror(errno));
435                 close(inout[0]);
436                 close(inout[1]);
437                 return -1;
438         }
439 #endif
440
441         session_proctitle(s);
442
443         /* Fork the child. */
444         switch ((pid = fork())) {
445         case -1:
446                 error("%s: fork: %.100s", __func__, strerror(errno));
447 #ifdef USE_PIPES
448                 close(pin[0]);
449                 close(pin[1]);
450                 close(pout[0]);
451                 close(pout[1]);
452                 close(perr[0]);
453                 close(perr[1]);
454 #else
455                 close(inout[0]);
456                 close(inout[1]);
457                 close(err[0]);
458                 close(err[1]);
459 #endif
460                 return -1;
461         case 0:
462                 is_child = 1;
463
464                 /*
465                  * Create a new session and process group since the 4.4BSD
466                  * setlogin() affects the entire process group.
467                  */
468                 if (setsid() < 0)
469                         error("setsid failed: %.100s", strerror(errno));
470
471 #ifdef USE_PIPES
472                 /*
473                  * Redirect stdin.  We close the parent side of the socket
474                  * pair, and make the child side the standard input.
475                  */
476                 close(pin[1]);
477                 if (dup2(pin[0], 0) < 0)
478                         perror("dup2 stdin");
479                 close(pin[0]);
480
481                 /* Redirect stdout. */
482                 close(pout[0]);
483                 if (dup2(pout[1], 1) < 0)
484                         perror("dup2 stdout");
485                 close(pout[1]);
486
487                 /* Redirect stderr. */
488                 close(perr[0]);
489                 if (dup2(perr[1], 2) < 0)
490                         perror("dup2 stderr");
491                 close(perr[1]);
492 #else
493                 /*
494                  * Redirect stdin, stdout, and stderr.  Stdin and stdout will
495                  * use the same socket, as some programs (particularly rdist)
496                  * seem to depend on it.
497                  */
498                 close(inout[1]);
499                 close(err[1]);
500                 if (dup2(inout[0], 0) < 0)      /* stdin */
501                         perror("dup2 stdin");
502                 if (dup2(inout[0], 1) < 0)      /* stdout (same as stdin) */
503                         perror("dup2 stdout");
504                 close(inout[0]);
505                 if (dup2(err[0], 2) < 0)        /* stderr */
506                         perror("dup2 stderr");
507                 close(err[0]);
508 #endif
509
510                 /* Do processing for the child (exec command etc). */
511                 do_child(ssh, s, command);
512                 /* NOTREACHED */
513         default:
514                 break;
515         }
516
517 #ifdef HAVE_CYGWIN
518         cygwin_set_impersonation_token(INVALID_HANDLE_VALUE);
519 #endif
520
521         s->pid = pid;
522         /* Set interactive/non-interactive mode. */
523         ssh_packet_set_interactive(ssh, s->display != NULL,
524             options.ip_qos_interactive, options.ip_qos_bulk);
525
526         /*
527          * Clear loginmsg, since it's the child's responsibility to display
528          * it to the user, otherwise multiple sessions may accumulate
529          * multiple copies of the login messages.
530          */
531         sshbuf_reset(loginmsg);
532
533 #ifdef USE_PIPES
534         /* We are the parent.  Close the child sides of the pipes. */
535         close(pin[0]);
536         close(pout[1]);
537         close(perr[1]);
538
539         session_set_fds(ssh, s, pin[1], pout[0], perr[0],
540             s->is_subsystem, 0);
541 #else
542         /* We are the parent.  Close the child sides of the socket pairs. */
543         close(inout[0]);
544         close(err[0]);
545
546         /*
547          * Enter the interactive session.  Note: server_loop must be able to
548          * handle the case that fdin and fdout are the same.
549          */
550         session_set_fds(ssh, s, inout[1], inout[1], err[1],
551             s->is_subsystem, 0);
552 #endif
553         return 0;
554 }
555
556 /*
557  * This is called to fork and execute a command when we have a tty.  This
558  * will call do_child from the child, and server_loop from the parent after
559  * setting up file descriptors, controlling tty, updating wtmp, utmp,
560  * lastlog, and other such operations.
561  */
562 int
563 do_exec_pty(struct ssh *ssh, Session *s, const char *command)
564 {
565         int fdout, ptyfd, ttyfd, ptymaster;
566         pid_t pid;
567
568         if (s == NULL)
569                 fatal("do_exec_pty: no session");
570         ptyfd = s->ptyfd;
571         ttyfd = s->ttyfd;
572
573         /*
574          * Create another descriptor of the pty master side for use as the
575          * standard input.  We could use the original descriptor, but this
576          * simplifies code in server_loop.  The descriptor is bidirectional.
577          * Do this before forking (and cleanup in the child) so as to
578          * detect and gracefully fail out-of-fd conditions.
579          */
580         if ((fdout = dup(ptyfd)) < 0) {
581                 error("%s: dup #1: %s", __func__, strerror(errno));
582                 close(ttyfd);
583                 close(ptyfd);
584                 return -1;
585         }
586         /* we keep a reference to the pty master */
587         if ((ptymaster = dup(ptyfd)) < 0) {
588                 error("%s: dup #2: %s", __func__, strerror(errno));
589                 close(ttyfd);
590                 close(ptyfd);
591                 close(fdout);
592                 return -1;
593         }
594
595         /* Fork the child. */
596         switch ((pid = fork())) {
597         case -1:
598                 error("%s: fork: %.100s", __func__, strerror(errno));
599                 close(fdout);
600                 close(ptymaster);
601                 close(ttyfd);
602                 close(ptyfd);
603                 return -1;
604         case 0:
605                 is_child = 1;
606
607                 close(fdout);
608                 close(ptymaster);
609
610                 /* Close the master side of the pseudo tty. */
611                 close(ptyfd);
612
613                 /* Make the pseudo tty our controlling tty. */
614                 pty_make_controlling_tty(&ttyfd, s->tty);
615
616                 /* Redirect stdin/stdout/stderr from the pseudo tty. */
617                 if (dup2(ttyfd, 0) < 0)
618                         error("dup2 stdin: %s", strerror(errno));
619                 if (dup2(ttyfd, 1) < 0)
620                         error("dup2 stdout: %s", strerror(errno));
621                 if (dup2(ttyfd, 2) < 0)
622                         error("dup2 stderr: %s", strerror(errno));
623
624                 /* Close the extra descriptor for the pseudo tty. */
625                 close(ttyfd);
626
627                 /* record login, etc. similar to login(1) */
628 #ifndef HAVE_OSF_SIA
629                 do_login(ssh, s, command);
630 #endif
631                 /*
632                  * Do common processing for the child, such as execing
633                  * the command.
634                  */
635                 do_child(ssh, s, command);
636                 /* NOTREACHED */
637         default:
638                 break;
639         }
640
641 #ifdef HAVE_CYGWIN
642         cygwin_set_impersonation_token(INVALID_HANDLE_VALUE);
643 #endif
644
645         s->pid = pid;
646
647         /* Parent.  Close the slave side of the pseudo tty. */
648         close(ttyfd);
649
650         /* Enter interactive session. */
651         s->ptymaster = ptymaster;
652         ssh_packet_set_interactive(ssh, 1,
653             options.ip_qos_interactive, options.ip_qos_bulk);
654         session_set_fds(ssh, s, ptyfd, fdout, -1, 1, 1);
655         return 0;
656 }
657
658 /*
659  * This is called to fork and execute a command.  If another command is
660  * to be forced, execute that instead.
661  */
662 int
663 do_exec(struct ssh *ssh, Session *s, const char *command)
664 {
665         int ret;
666         const char *forced = NULL, *tty = NULL;
667         char session_type[1024];
668
669         if (options.adm_forced_command) {
670                 original_command = command;
671                 command = options.adm_forced_command;
672                 forced = "(config)";
673         } else if (auth_opts->force_command != NULL) {
674                 original_command = command;
675                 command = auth_opts->force_command;
676                 forced = "(key-option)";
677         }
678         s->forced = 0;
679         if (forced != NULL) {
680                 s->forced = 1;
681                 if (IS_INTERNAL_SFTP(command)) {
682                         s->is_subsystem = s->is_subsystem ?
683                             SUBSYSTEM_INT_SFTP : SUBSYSTEM_INT_SFTP_ERROR;
684                 } else if (s->is_subsystem)
685                         s->is_subsystem = SUBSYSTEM_EXT;
686                 snprintf(session_type, sizeof(session_type),
687                     "forced-command %s '%.900s'", forced, command);
688         } else if (s->is_subsystem) {
689                 snprintf(session_type, sizeof(session_type),
690                     "subsystem '%.900s'", s->subsys);
691         } else if (command == NULL) {
692                 snprintf(session_type, sizeof(session_type), "shell");
693         } else {
694                 /* NB. we don't log unforced commands to preserve privacy */
695                 snprintf(session_type, sizeof(session_type), "command");
696         }
697
698         if (s->ttyfd != -1) {
699                 tty = s->tty;
700                 if (strncmp(tty, "/dev/", 5) == 0)
701                         tty += 5;
702         }
703
704         verbose("Starting session: %s%s%s for %s from %.200s port %d id %d",
705             session_type,
706             tty == NULL ? "" : " on ",
707             tty == NULL ? "" : tty,
708             s->pw->pw_name,
709             ssh_remote_ipaddr(ssh),
710             ssh_remote_port(ssh),
711             s->self);
712
713 #ifdef SSH_AUDIT_EVENTS
714         if (command != NULL)
715                 PRIVSEP(audit_run_command(command));
716         else if (s->ttyfd == -1) {
717                 char *shell = s->pw->pw_shell;
718
719                 if (shell[0] == '\0')   /* empty shell means /bin/sh */
720                         shell =_PATH_BSHELL;
721                 PRIVSEP(audit_run_command(shell));
722         }
723 #endif
724         if (s->ttyfd != -1)
725                 ret = do_exec_pty(ssh, s, command);
726         else
727                 ret = do_exec_no_pty(ssh, s, command);
728
729         original_command = NULL;
730
731         /*
732          * Clear loginmsg: it's the child's responsibility to display
733          * it to the user, otherwise multiple sessions may accumulate
734          * multiple copies of the login messages.
735          */
736         sshbuf_reset(loginmsg);
737
738         return ret;
739 }
740
741 /* administrative, login(1)-like work */
742 void
743 do_login(struct ssh *ssh, Session *s, const char *command)
744 {
745         socklen_t fromlen;
746         struct sockaddr_storage from;
747         struct passwd * pw = s->pw;
748         pid_t pid = getpid();
749
750         /*
751          * Get IP address of client. If the connection is not a socket, let
752          * the address be 0.0.0.0.
753          */
754         memset(&from, 0, sizeof(from));
755         fromlen = sizeof(from);
756         if (ssh_packet_connection_is_on_socket(ssh)) {
757                 if (getpeername(ssh_packet_get_connection_in(ssh),
758                     (struct sockaddr *)&from, &fromlen) < 0) {
759                         debug("getpeername: %.100s", strerror(errno));
760                         cleanup_exit(255);
761                 }
762         }
763
764         /* Record that there was a login on that tty from the remote host. */
765         if (!use_privsep)
766                 record_login(pid, s->tty, pw->pw_name, pw->pw_uid,
767                     session_get_remote_name_or_ip(ssh, utmp_len,
768                     options.use_dns),
769                     (struct sockaddr *)&from, fromlen);
770
771 #ifdef USE_PAM
772         /*
773          * If password change is needed, do it now.
774          * This needs to occur before the ~/.hushlogin check.
775          */
776         if (options.use_pam && !use_privsep && s->authctxt->force_pwchange) {
777                 display_loginmsg();
778                 do_pam_chauthtok();
779                 s->authctxt->force_pwchange = 0;
780                 /* XXX - signal [net] parent to enable forwardings */
781         }
782 #endif
783
784         if (check_quietlogin(s, command))
785                 return;
786
787         display_loginmsg();
788
789         do_motd();
790 }
791
792 /*
793  * Display the message of the day.
794  */
795 void
796 do_motd(void)
797 {
798         FILE *f;
799         char buf[256];
800
801         if (options.print_motd) {
802 #ifdef HAVE_LOGIN_CAP
803                 f = fopen(login_getcapstr(lc, "welcome", "/etc/motd",
804                     "/etc/motd"), "r");
805 #else
806                 f = fopen("/etc/motd", "r");
807 #endif
808                 if (f) {
809                         while (fgets(buf, sizeof(buf), f))
810                                 fputs(buf, stdout);
811                         fclose(f);
812                 }
813         }
814 }
815
816
817 /*
818  * Check for quiet login, either .hushlogin or command given.
819  */
820 int
821 check_quietlogin(Session *s, const char *command)
822 {
823         char buf[256];
824         struct passwd *pw = s->pw;
825         struct stat st;
826
827         /* Return 1 if .hushlogin exists or a command given. */
828         if (command != NULL)
829                 return 1;
830         snprintf(buf, sizeof(buf), "%.200s/.hushlogin", pw->pw_dir);
831 #ifdef HAVE_LOGIN_CAP
832         if (login_getcapbool(lc, "hushlogin", 0) || stat(buf, &st) >= 0)
833                 return 1;
834 #else
835         if (stat(buf, &st) >= 0)
836                 return 1;
837 #endif
838         return 0;
839 }
840
841 /*
842  * Reads environment variables from the given file and adds/overrides them
843  * into the environment.  If the file does not exist, this does nothing.
844  * Otherwise, it must consist of empty lines, comments (line starts with '#')
845  * and assignments of the form name=value.  No other forms are allowed.
846  * If whitelist is not NULL, then it is interpreted as a pattern list and
847  * only variable names that match it will be accepted.
848  */
849 static void
850 read_environment_file(char ***env, u_int *envsize,
851         const char *filename, const char *whitelist)
852 {
853         FILE *f;
854         char *line = NULL, *cp, *value;
855         size_t linesize = 0;
856         u_int lineno = 0;
857
858         f = fopen(filename, "r");
859         if (!f)
860                 return;
861
862         while (getline(&line, &linesize, f) != -1) {
863                 if (++lineno > 1000)
864                         fatal("Too many lines in environment file %s", filename);
865                 for (cp = line; *cp == ' ' || *cp == '\t'; cp++)
866                         ;
867                 if (!*cp || *cp == '#' || *cp == '\n')
868                         continue;
869
870                 cp[strcspn(cp, "\n")] = '\0';
871
872                 value = strchr(cp, '=');
873                 if (value == NULL) {
874                         fprintf(stderr, "Bad line %u in %.100s\n", lineno,
875                             filename);
876                         continue;
877                 }
878                 /*
879                  * Replace the equals sign by nul, and advance value to
880                  * the value string.
881                  */
882                 *value = '\0';
883                 value++;
884                 if (whitelist != NULL &&
885                     match_pattern_list(cp, whitelist, 0) != 1)
886                         continue;
887                 child_set_env(env, envsize, cp, value);
888         }
889         free(line);
890         fclose(f);
891 }
892
893 #ifdef HAVE_ETC_DEFAULT_LOGIN
894 /*
895  * Return named variable from specified environment, or NULL if not present.
896  */
897 static char *
898 child_get_env(char **env, const char *name)
899 {
900         int i;
901         size_t len;
902
903         len = strlen(name);
904         for (i=0; env[i] != NULL; i++)
905                 if (strncmp(name, env[i], len) == 0 && env[i][len] == '=')
906                         return(env[i] + len + 1);
907         return NULL;
908 }
909
910 /*
911  * Read /etc/default/login.
912  * We pick up the PATH (or SUPATH for root) and UMASK.
913  */
914 static void
915 read_etc_default_login(char ***env, u_int *envsize, uid_t uid)
916 {
917         char **tmpenv = NULL, *var;
918         u_int i, tmpenvsize = 0;
919         u_long mask;
920
921         /*
922          * We don't want to copy the whole file to the child's environment,
923          * so we use a temporary environment and copy the variables we're
924          * interested in.
925          */
926         read_environment_file(&tmpenv, &tmpenvsize, "/etc/default/login",
927             options.permit_user_env_whitelist);
928
929         if (tmpenv == NULL)
930                 return;
931
932         if (uid == 0)
933                 var = child_get_env(tmpenv, "SUPATH");
934         else
935                 var = child_get_env(tmpenv, "PATH");
936         if (var != NULL)
937                 child_set_env(env, envsize, "PATH", var);
938
939         if ((var = child_get_env(tmpenv, "UMASK")) != NULL)
940                 if (sscanf(var, "%5lo", &mask) == 1)
941                         umask((mode_t)mask);
942
943         for (i = 0; tmpenv[i] != NULL; i++)
944                 free(tmpenv[i]);
945         free(tmpenv);
946 }
947 #endif /* HAVE_ETC_DEFAULT_LOGIN */
948
949 static void
950 copy_environment_blacklist(char **source, char ***env, u_int *envsize,
951     const char *blacklist)
952 {
953         char *var_name, *var_val;
954         int i;
955
956         if (source == NULL)
957                 return;
958
959         for(i = 0; source[i] != NULL; i++) {
960                 var_name = xstrdup(source[i]);
961                 if ((var_val = strstr(var_name, "=")) == NULL) {
962                         free(var_name);
963                         continue;
964                 }
965                 *var_val++ = '\0';
966
967                 if (blacklist == NULL ||
968                     match_pattern_list(var_name, blacklist, 0) != 1) {
969                         debug3("Copy environment: %s=%s", var_name, var_val);
970                         child_set_env(env, envsize, var_name, var_val);
971                 }
972
973                 free(var_name);
974         }
975 }
976
977 #ifdef HAVE_CYGWIN
978
979 static void
980 copy_environment(char **source, char ***env, u_int *envsize)
981 {
982         copy_environment_blacklist(source, env, envsize, NULL);
983 }
984
985 #endif
986
987 static char **
988 do_setup_env(struct ssh *ssh, Session *s, const char *shell)
989 {
990         char buf[256];
991         size_t n;
992         u_int i, envsize;
993         char *ocp, *cp, *value, **env, *laddr;
994         struct passwd *pw = s->pw;
995 #if !defined (HAVE_LOGIN_CAP) && !defined (HAVE_CYGWIN)
996         char *path = NULL;
997 #endif
998
999         /* Initialize the environment. */
1000         envsize = 100;
1001         env = xcalloc(envsize, sizeof(char *));
1002         env[0] = NULL;
1003
1004 #ifdef HAVE_CYGWIN
1005         /*
1006          * The Windows environment contains some setting which are
1007          * important for a running system. They must not be dropped.
1008          */
1009         {
1010                 char **p;
1011
1012                 p = fetch_windows_environment();
1013                 copy_environment(p, &env, &envsize);
1014                 free_windows_environment(p);
1015         }
1016 #endif
1017
1018 #ifdef GSSAPI
1019         /* Allow any GSSAPI methods that we've used to alter
1020          * the childs environment as they see fit
1021          */
1022         ssh_gssapi_do_child(&env, &envsize);
1023 #endif
1024
1025         /* Set basic environment. */
1026         for (i = 0; i < s->num_env; i++)
1027                 child_set_env(&env, &envsize, s->env[i].name, s->env[i].val);
1028
1029         child_set_env(&env, &envsize, "USER", pw->pw_name);
1030         child_set_env(&env, &envsize, "LOGNAME", pw->pw_name);
1031 #ifdef _AIX
1032         child_set_env(&env, &envsize, "LOGIN", pw->pw_name);
1033 #endif
1034         child_set_env(&env, &envsize, "HOME", pw->pw_dir);
1035 #ifdef HAVE_LOGIN_CAP
1036         if (setusercontext(lc, pw, pw->pw_uid, LOGIN_SETPATH) < 0)
1037                 child_set_env(&env, &envsize, "PATH", _PATH_STDPATH);
1038         else
1039                 child_set_env(&env, &envsize, "PATH", getenv("PATH"));
1040 #else /* HAVE_LOGIN_CAP */
1041 # ifndef HAVE_CYGWIN
1042         /*
1043          * There's no standard path on Windows. The path contains
1044          * important components pointing to the system directories,
1045          * needed for loading shared libraries. So the path better
1046          * remains intact here.
1047          */
1048 #  ifdef HAVE_ETC_DEFAULT_LOGIN
1049         read_etc_default_login(&env, &envsize, pw->pw_uid);
1050         path = child_get_env(env, "PATH");
1051 #  endif /* HAVE_ETC_DEFAULT_LOGIN */
1052         if (path == NULL || *path == '\0') {
1053                 child_set_env(&env, &envsize, "PATH",
1054                     s->pw->pw_uid == 0 ?  SUPERUSER_PATH : _PATH_STDPATH);
1055         }
1056 # endif /* HAVE_CYGWIN */
1057 #endif /* HAVE_LOGIN_CAP */
1058
1059         if (!options.use_pam) {
1060                 snprintf(buf, sizeof buf, "%.200s/%.50s",
1061                     _PATH_MAILDIR, pw->pw_name);
1062                 child_set_env(&env, &envsize, "MAIL", buf);
1063         }
1064
1065         /* Normal systems set SHELL by default. */
1066         child_set_env(&env, &envsize, "SHELL", shell);
1067
1068         if (getenv("TZ"))
1069                 child_set_env(&env, &envsize, "TZ", getenv("TZ"));
1070         if (s->term)
1071                 child_set_env(&env, &envsize, "TERM", s->term);
1072         if (s->display)
1073                 child_set_env(&env, &envsize, "DISPLAY", s->display);
1074
1075         /*
1076          * Since we clear KRB5CCNAME at startup, if it's set now then it
1077          * must have been set by a native authentication method (eg AIX or
1078          * SIA), so copy it to the child.
1079          */
1080         {
1081                 char *cp;
1082
1083                 if ((cp = getenv("KRB5CCNAME")) != NULL)
1084                         child_set_env(&env, &envsize, "KRB5CCNAME", cp);
1085         }
1086
1087 #ifdef _AIX
1088         {
1089                 char *cp;
1090
1091                 if ((cp = getenv("AUTHSTATE")) != NULL)
1092                         child_set_env(&env, &envsize, "AUTHSTATE", cp);
1093                 read_environment_file(&env, &envsize, "/etc/environment",
1094                     options.permit_user_env_whitelist);
1095         }
1096 #endif
1097 #ifdef KRB5
1098         if (s->authctxt->krb5_ccname)
1099                 child_set_env(&env, &envsize, "KRB5CCNAME",
1100                     s->authctxt->krb5_ccname);
1101 #endif
1102         if (auth_sock_name != NULL)
1103                 child_set_env(&env, &envsize, SSH_AUTHSOCKET_ENV_NAME,
1104                     auth_sock_name);
1105
1106
1107         /* Set custom environment options from pubkey authentication. */
1108         if (options.permit_user_env) {
1109                 for (n = 0 ; n < auth_opts->nenv; n++) {
1110                         ocp = xstrdup(auth_opts->env[n]);
1111                         cp = strchr(ocp, '=');
1112                         if (*cp == '=') {
1113                                 *cp = '\0';
1114                                 /* Apply PermitUserEnvironment whitelist */
1115                                 if (options.permit_user_env_whitelist == NULL ||
1116                                     match_pattern_list(ocp,
1117                                     options.permit_user_env_whitelist, 0) == 1)
1118                                         child_set_env(&env, &envsize,
1119                                             ocp, cp + 1);
1120                         }
1121                         free(ocp);
1122                 }
1123         }
1124
1125         /* read $HOME/.ssh/environment. */
1126         if (options.permit_user_env) {
1127                 snprintf(buf, sizeof buf, "%.200s/.ssh/environment",
1128                     pw->pw_dir);
1129                 read_environment_file(&env, &envsize, buf,
1130                     options.permit_user_env_whitelist);
1131         }
1132
1133 #ifdef USE_PAM
1134         /*
1135          * Pull in any environment variables that may have
1136          * been set by PAM.
1137          */
1138         if (options.use_pam) {
1139                 char **p;
1140
1141                 /*
1142                  * Don't allow PAM-internal env vars to leak
1143                  * back into the session environment.
1144                  */
1145 #define PAM_ENV_BLACKLIST  "SSH_AUTH_INFO*,SSH_CONNECTION*"
1146                 p = fetch_pam_child_environment();
1147                 copy_environment_blacklist(p, &env, &envsize,
1148                     PAM_ENV_BLACKLIST);
1149                 free_pam_environment(p);
1150
1151                 p = fetch_pam_environment();
1152                 copy_environment_blacklist(p, &env, &envsize,
1153                     PAM_ENV_BLACKLIST);
1154                 free_pam_environment(p);
1155         }
1156 #endif /* USE_PAM */
1157
1158         /* Environment specified by admin */
1159         for (i = 0; i < options.num_setenv; i++) {
1160                 cp = xstrdup(options.setenv[i]);
1161                 if ((value = strchr(cp, '=')) == NULL) {
1162                         /* shouldn't happen; vars are checked in servconf.c */
1163                         fatal("Invalid config SetEnv: %s", options.setenv[i]);
1164                 }
1165                 *value++ = '\0';
1166                 child_set_env(&env, &envsize, cp, value);
1167         }
1168
1169         /* SSH_CLIENT deprecated */
1170         snprintf(buf, sizeof buf, "%.50s %d %d",
1171             ssh_remote_ipaddr(ssh), ssh_remote_port(ssh),
1172             ssh_local_port(ssh));
1173         child_set_env(&env, &envsize, "SSH_CLIENT", buf);
1174
1175         laddr = get_local_ipaddr(ssh_packet_get_connection_in(ssh));
1176         snprintf(buf, sizeof buf, "%.50s %d %.50s %d",
1177             ssh_remote_ipaddr(ssh), ssh_remote_port(ssh),
1178             laddr, ssh_local_port(ssh));
1179         free(laddr);
1180         child_set_env(&env, &envsize, "SSH_CONNECTION", buf);
1181
1182         if (tun_fwd_ifnames != NULL)
1183                 child_set_env(&env, &envsize, "SSH_TUNNEL", tun_fwd_ifnames);
1184         if (auth_info_file != NULL)
1185                 child_set_env(&env, &envsize, "SSH_USER_AUTH", auth_info_file);
1186         if (s->ttyfd != -1)
1187                 child_set_env(&env, &envsize, "SSH_TTY", s->tty);
1188         if (original_command)
1189                 child_set_env(&env, &envsize, "SSH_ORIGINAL_COMMAND",
1190                     original_command);
1191
1192         if (debug_flag) {
1193                 /* dump the environment */
1194                 fprintf(stderr, "Environment:\n");
1195                 for (i = 0; env[i]; i++)
1196                         fprintf(stderr, "  %.200s\n", env[i]);
1197         }
1198         return env;
1199 }
1200
1201 /*
1202  * Run $HOME/.ssh/rc, /etc/ssh/sshrc, or xauth (whichever is found
1203  * first in this order).
1204  */
1205 static void
1206 do_rc_files(struct ssh *ssh, Session *s, const char *shell)
1207 {
1208         FILE *f = NULL;
1209         char cmd[1024];
1210         int do_xauth;
1211         struct stat st;
1212
1213         do_xauth =
1214             s->display != NULL && s->auth_proto != NULL && s->auth_data != NULL;
1215
1216         /* ignore _PATH_SSH_USER_RC for subsystems and admin forced commands */
1217         if (!s->is_subsystem && options.adm_forced_command == NULL &&
1218             auth_opts->permit_user_rc && options.permit_user_rc &&
1219             stat(_PATH_SSH_USER_RC, &st) >= 0) {
1220                 snprintf(cmd, sizeof cmd, "%s -c '%s %s'",
1221                     shell, _PATH_BSHELL, _PATH_SSH_USER_RC);
1222                 if (debug_flag)
1223                         fprintf(stderr, "Running %s\n", cmd);
1224                 f = popen(cmd, "w");
1225                 if (f) {
1226                         if (do_xauth)
1227                                 fprintf(f, "%s %s\n", s->auth_proto,
1228                                     s->auth_data);
1229                         pclose(f);
1230                 } else
1231                         fprintf(stderr, "Could not run %s\n",
1232                             _PATH_SSH_USER_RC);
1233         } else if (stat(_PATH_SSH_SYSTEM_RC, &st) >= 0) {
1234                 if (debug_flag)
1235                         fprintf(stderr, "Running %s %s\n", _PATH_BSHELL,
1236                             _PATH_SSH_SYSTEM_RC);
1237                 f = popen(_PATH_BSHELL " " _PATH_SSH_SYSTEM_RC, "w");
1238                 if (f) {
1239                         if (do_xauth)
1240                                 fprintf(f, "%s %s\n", s->auth_proto,
1241                                     s->auth_data);
1242                         pclose(f);
1243                 } else
1244                         fprintf(stderr, "Could not run %s\n",
1245                             _PATH_SSH_SYSTEM_RC);
1246         } else if (do_xauth && options.xauth_location != NULL) {
1247                 /* Add authority data to .Xauthority if appropriate. */
1248                 if (debug_flag) {
1249                         fprintf(stderr,
1250                             "Running %.500s remove %.100s\n",
1251                             options.xauth_location, s->auth_display);
1252                         fprintf(stderr,
1253                             "%.500s add %.100s %.100s %.100s\n",
1254                             options.xauth_location, s->auth_display,
1255                             s->auth_proto, s->auth_data);
1256                 }
1257                 snprintf(cmd, sizeof cmd, "%s -q -",
1258                     options.xauth_location);
1259                 f = popen(cmd, "w");
1260                 if (f) {
1261                         fprintf(f, "remove %s\n",
1262                             s->auth_display);
1263                         fprintf(f, "add %s %s %s\n",
1264                             s->auth_display, s->auth_proto,
1265                             s->auth_data);
1266                         pclose(f);
1267                 } else {
1268                         fprintf(stderr, "Could not run %s\n",
1269                             cmd);
1270                 }
1271         }
1272 }
1273
1274 static void
1275 do_nologin(struct passwd *pw)
1276 {
1277         FILE *f = NULL;
1278         char buf[1024], *nl, *def_nl = _PATH_NOLOGIN;
1279         struct stat sb;
1280
1281 #ifdef HAVE_LOGIN_CAP
1282         if (login_getcapbool(lc, "ignorenologin", 0) || pw->pw_uid == 0)
1283                 return;
1284         nl = login_getcapstr(lc, "nologin", def_nl, def_nl);
1285 #else
1286         if (pw->pw_uid == 0)
1287                 return;
1288         nl = def_nl;
1289 #endif
1290         if (stat(nl, &sb) == -1) {
1291                 if (nl != def_nl)
1292                         free(nl);
1293                 return;
1294         }
1295
1296         /* /etc/nologin exists.  Print its contents if we can and exit. */
1297         logit("User %.100s not allowed because %s exists", pw->pw_name, nl);
1298         if ((f = fopen(nl, "r")) != NULL) {
1299                 while (fgets(buf, sizeof(buf), f))
1300                         fputs(buf, stderr);
1301                 fclose(f);
1302         }
1303         exit(254);
1304 }
1305
1306 /*
1307  * Chroot into a directory after checking it for safety: all path components
1308  * must be root-owned directories with strict permissions.
1309  */
1310 static void
1311 safely_chroot(const char *path, uid_t uid)
1312 {
1313         const char *cp;
1314         char component[PATH_MAX];
1315         struct stat st;
1316
1317         if (!path_absolute(path))
1318                 fatal("chroot path does not begin at root");
1319         if (strlen(path) >= sizeof(component))
1320                 fatal("chroot path too long");
1321
1322         /*
1323          * Descend the path, checking that each component is a
1324          * root-owned directory with strict permissions.
1325          */
1326         for (cp = path; cp != NULL;) {
1327                 if ((cp = strchr(cp, '/')) == NULL)
1328                         strlcpy(component, path, sizeof(component));
1329                 else {
1330                         cp++;
1331                         memcpy(component, path, cp - path);
1332                         component[cp - path] = '\0';
1333                 }
1334         
1335                 debug3("%s: checking '%s'", __func__, component);
1336
1337                 if (stat(component, &st) != 0)
1338                         fatal("%s: stat(\"%s\"): %s", __func__,
1339                             component, strerror(errno));
1340                 if (st.st_uid != 0 || (st.st_mode & 022) != 0)
1341                         fatal("bad ownership or modes for chroot "
1342                             "directory %s\"%s\"",
1343                             cp == NULL ? "" : "component ", component);
1344                 if (!S_ISDIR(st.st_mode))
1345                         fatal("chroot path %s\"%s\" is not a directory",
1346                             cp == NULL ? "" : "component ", component);
1347
1348         }
1349
1350         if (chdir(path) == -1)
1351                 fatal("Unable to chdir to chroot path \"%s\": "
1352                     "%s", path, strerror(errno));
1353         if (chroot(path) == -1)
1354                 fatal("chroot(\"%s\"): %s", path, strerror(errno));
1355         if (chdir("/") == -1)
1356                 fatal("%s: chdir(/) after chroot: %s",
1357                     __func__, strerror(errno));
1358         verbose("Changed root directory to \"%s\"", path);
1359 }
1360
1361 /* Set login name, uid, gid, and groups. */
1362 void
1363 do_setusercontext(struct passwd *pw)
1364 {
1365         char uidstr[32], *chroot_path, *tmp;
1366
1367         platform_setusercontext(pw);
1368
1369         if (platform_privileged_uidswap()) {
1370 #ifdef HAVE_LOGIN_CAP
1371                 if (setusercontext(lc, pw, pw->pw_uid,
1372                     (LOGIN_SETALL & ~(LOGIN_SETPATH|LOGIN_SETUSER))) < 0) {
1373                         perror("unable to set user context");
1374                         exit(1);
1375                 }
1376 #else
1377                 if (setlogin(pw->pw_name) < 0)
1378                         error("setlogin failed: %s", strerror(errno));
1379                 if (setgid(pw->pw_gid) < 0) {
1380                         perror("setgid");
1381                         exit(1);
1382                 }
1383                 /* Initialize the group list. */
1384                 if (initgroups(pw->pw_name, pw->pw_gid) < 0) {
1385                         perror("initgroups");
1386                         exit(1);
1387                 }
1388                 endgrent();
1389 #endif
1390
1391                 platform_setusercontext_post_groups(pw);
1392
1393                 if (!in_chroot && options.chroot_directory != NULL &&
1394                     strcasecmp(options.chroot_directory, "none") != 0) {
1395                         tmp = tilde_expand_filename(options.chroot_directory,
1396                             pw->pw_uid);
1397                         snprintf(uidstr, sizeof(uidstr), "%llu",
1398                             (unsigned long long)pw->pw_uid);
1399                         chroot_path = percent_expand(tmp, "h", pw->pw_dir,
1400                             "u", pw->pw_name, "U", uidstr, (char *)NULL);
1401                         safely_chroot(chroot_path, pw->pw_uid);
1402                         free(tmp);
1403                         free(chroot_path);
1404                         /* Make sure we don't attempt to chroot again */
1405                         free(options.chroot_directory);
1406                         options.chroot_directory = NULL;
1407                         in_chroot = 1;
1408                 }
1409
1410 #ifdef HAVE_LOGIN_CAP
1411                 if (setusercontext(lc, pw, pw->pw_uid, LOGIN_SETUSER) < 0) {
1412                         perror("unable to set user context (setuser)");
1413                         exit(1);
1414                 }
1415                 /* 
1416                  * FreeBSD's setusercontext() will not apply the user's
1417                  * own umask setting unless running with the user's UID.
1418                  */
1419                 (void) setusercontext(lc, pw, pw->pw_uid, LOGIN_SETUMASK);
1420 #else
1421 # ifdef USE_LIBIAF
1422                 /*
1423                  * In a chroot environment, the set_id() will always fail;
1424                  * typically because of the lack of necessary authentication
1425                  * services and runtime such as ./usr/lib/libiaf.so,
1426                  * ./usr/lib/libpam.so.1, and ./etc/passwd We skip it in the
1427                  * internal sftp chroot case.  We'll lose auditing and ACLs but
1428                  * permanently_set_uid will take care of the rest.
1429                  */
1430                 if (!in_chroot && set_id(pw->pw_name) != 0)
1431                         fatal("set_id(%s) Failed", pw->pw_name);
1432 # endif /* USE_LIBIAF */
1433                 /* Permanently switch to the desired uid. */
1434                 permanently_set_uid(pw);
1435 #endif
1436         } else if (options.chroot_directory != NULL &&
1437             strcasecmp(options.chroot_directory, "none") != 0) {
1438                 fatal("server lacks privileges to chroot to ChrootDirectory");
1439         }
1440
1441         if (getuid() != pw->pw_uid || geteuid() != pw->pw_uid)
1442                 fatal("Failed to set uids to %u.", (u_int) pw->pw_uid);
1443 }
1444
1445 static void
1446 do_pwchange(Session *s)
1447 {
1448         fflush(NULL);
1449         fprintf(stderr, "WARNING: Your password has expired.\n");
1450         if (s->ttyfd != -1) {
1451                 fprintf(stderr,
1452                     "You must change your password now and login again!\n");
1453 #ifdef WITH_SELINUX
1454                 setexeccon(NULL);
1455 #endif
1456 #ifdef PASSWD_NEEDS_USERNAME
1457                 execl(_PATH_PASSWD_PROG, "passwd", s->pw->pw_name,
1458                     (char *)NULL);
1459 #else
1460                 execl(_PATH_PASSWD_PROG, "passwd", (char *)NULL);
1461 #endif
1462                 perror("passwd");
1463         } else {
1464                 fprintf(stderr,
1465                     "Password change required but no TTY available.\n");
1466         }
1467         exit(1);
1468 }
1469
1470 static void
1471 child_close_fds(struct ssh *ssh)
1472 {
1473         extern int auth_sock;
1474
1475         if (auth_sock != -1) {
1476                 close(auth_sock);
1477                 auth_sock = -1;
1478         }
1479
1480         if (ssh_packet_get_connection_in(ssh) ==
1481             ssh_packet_get_connection_out(ssh))
1482                 close(ssh_packet_get_connection_in(ssh));
1483         else {
1484                 close(ssh_packet_get_connection_in(ssh));
1485                 close(ssh_packet_get_connection_out(ssh));
1486         }
1487         /*
1488          * Close all descriptors related to channels.  They will still remain
1489          * open in the parent.
1490          */
1491         /* XXX better use close-on-exec? -markus */
1492         channel_close_all(ssh);
1493
1494         /*
1495          * Close any extra file descriptors.  Note that there may still be
1496          * descriptors left by system functions.  They will be closed later.
1497          */
1498         endpwent();
1499
1500         /*
1501          * Close any extra open file descriptors so that we don't have them
1502          * hanging around in clients.  Note that we want to do this after
1503          * initgroups, because at least on Solaris 2.3 it leaves file
1504          * descriptors open.
1505          */
1506         closefrom(STDERR_FILENO + 1);
1507 }
1508
1509 /*
1510  * Performs common processing for the child, such as setting up the
1511  * environment, closing extra file descriptors, setting the user and group
1512  * ids, and executing the command or shell.
1513  */
1514 #define ARGV_MAX 10
1515 void
1516 do_child(struct ssh *ssh, Session *s, const char *command)
1517 {
1518         extern char **environ;
1519         char **env, *argv[ARGV_MAX], remote_id[512];
1520         const char *shell, *shell0;
1521         struct passwd *pw = s->pw;
1522         int r = 0;
1523
1524         sshpkt_fmt_connection_id(ssh, remote_id, sizeof(remote_id));
1525
1526         /* remove hostkey from the child's memory */
1527         destroy_sensitive_data();
1528         ssh_packet_clear_keys(ssh);
1529
1530         /* Force a password change */
1531         if (s->authctxt->force_pwchange) {
1532                 do_setusercontext(pw);
1533                 child_close_fds(ssh);
1534                 do_pwchange(s);
1535                 exit(1);
1536         }
1537
1538         /*
1539          * Login(1) does this as well, and it needs uid 0 for the "-h"
1540          * switch, so we let login(1) to this for us.
1541          */
1542 #ifdef HAVE_OSF_SIA
1543         session_setup_sia(pw, s->ttyfd == -1 ? NULL : s->tty);
1544         if (!check_quietlogin(s, command))
1545                 do_motd();
1546 #else /* HAVE_OSF_SIA */
1547         /* When PAM is enabled we rely on it to do the nologin check */
1548         if (!options.use_pam)
1549                 do_nologin(pw);
1550         do_setusercontext(pw);
1551         /*
1552          * PAM session modules in do_setusercontext may have
1553          * generated messages, so if this in an interactive
1554          * login then display them too.
1555          */
1556         if (!check_quietlogin(s, command))
1557                 display_loginmsg();
1558 #endif /* HAVE_OSF_SIA */
1559
1560 #ifdef USE_PAM
1561         if (options.use_pam && !is_pam_session_open()) {
1562                 debug3("PAM session not opened, exiting");
1563                 display_loginmsg();
1564                 exit(254);
1565         }
1566 #endif
1567
1568         /*
1569          * Get the shell from the password data.  An empty shell field is
1570          * legal, and means /bin/sh.
1571          */
1572         shell = (pw->pw_shell[0] == '\0') ? _PATH_BSHELL : pw->pw_shell;
1573
1574         /*
1575          * Make sure $SHELL points to the shell from the password file,
1576          * even if shell is overridden from login.conf
1577          */
1578         env = do_setup_env(ssh, s, shell);
1579
1580 #ifdef HAVE_LOGIN_CAP
1581         shell = login_getcapstr(lc, "shell", (char *)shell, (char *)shell);
1582 #endif
1583
1584         /*
1585          * Close the connection descriptors; note that this is the child, and
1586          * the server will still have the socket open, and it is important
1587          * that we do not shutdown it.  Note that the descriptors cannot be
1588          * closed before building the environment, as we call
1589          * ssh_remote_ipaddr there.
1590          */
1591         child_close_fds(ssh);
1592
1593         /*
1594          * Must take new environment into use so that .ssh/rc,
1595          * /etc/ssh/sshrc and xauth are run in the proper environment.
1596          */
1597         environ = env;
1598
1599 #if defined(KRB5) && defined(USE_AFS)
1600         /*
1601          * At this point, we check to see if AFS is active and if we have
1602          * a valid Kerberos 5 TGT. If so, it seems like a good idea to see
1603          * if we can (and need to) extend the ticket into an AFS token. If
1604          * we don't do this, we run into potential problems if the user's
1605          * home directory is in AFS and it's not world-readable.
1606          */
1607
1608         if (options.kerberos_get_afs_token && k_hasafs() &&
1609             (s->authctxt->krb5_ctx != NULL)) {
1610                 char cell[64];
1611
1612                 debug("Getting AFS token");
1613
1614                 k_setpag();
1615
1616                 if (k_afs_cell_of_file(pw->pw_dir, cell, sizeof(cell)) == 0)
1617                         krb5_afslog(s->authctxt->krb5_ctx,
1618                             s->authctxt->krb5_fwd_ccache, cell, NULL);
1619
1620                 krb5_afslog_home(s->authctxt->krb5_ctx,
1621                     s->authctxt->krb5_fwd_ccache, NULL, NULL, pw->pw_dir);
1622         }
1623 #endif
1624
1625         /* Change current directory to the user's home directory. */
1626         if (chdir(pw->pw_dir) < 0) {
1627                 /* Suppress missing homedir warning for chroot case */
1628 #ifdef HAVE_LOGIN_CAP
1629                 r = login_getcapbool(lc, "requirehome", 0);
1630 #endif
1631                 if (r || !in_chroot) {
1632                         fprintf(stderr, "Could not chdir to home "
1633                             "directory %s: %s\n", pw->pw_dir,
1634                             strerror(errno));
1635                 }
1636                 if (r)
1637                         exit(1);
1638         }
1639
1640         closefrom(STDERR_FILENO + 1);
1641
1642         do_rc_files(ssh, s, shell);
1643
1644         /* restore SIGPIPE for child */
1645         signal(SIGPIPE, SIG_DFL);
1646
1647         if (s->is_subsystem == SUBSYSTEM_INT_SFTP_ERROR) {
1648                 error("Connection from %s: refusing non-sftp session",
1649                     remote_id);
1650                 printf("This service allows sftp connections only.\n");
1651                 fflush(NULL);
1652                 exit(1);
1653         } else if (s->is_subsystem == SUBSYSTEM_INT_SFTP) {
1654                 extern int optind, optreset;
1655                 int i;
1656                 char *p, *args;
1657
1658                 setproctitle("%s@%s", s->pw->pw_name, INTERNAL_SFTP_NAME);
1659                 args = xstrdup(command ? command : "sftp-server");
1660                 for (i = 0, (p = strtok(args, " ")); p; (p = strtok(NULL, " ")))
1661                         if (i < ARGV_MAX - 1)
1662                                 argv[i++] = p;
1663                 argv[i] = NULL;
1664                 optind = optreset = 1;
1665                 __progname = argv[0];
1666 #ifdef WITH_SELINUX
1667                 ssh_selinux_change_context("sftpd_t");
1668 #endif
1669                 exit(sftp_server_main(i, argv, s->pw));
1670         }
1671
1672         fflush(NULL);
1673
1674         /* Get the last component of the shell name. */
1675         if ((shell0 = strrchr(shell, '/')) != NULL)
1676                 shell0++;
1677         else
1678                 shell0 = shell;
1679
1680         /*
1681          * If we have no command, execute the shell.  In this case, the shell
1682          * name to be passed in argv[0] is preceded by '-' to indicate that
1683          * this is a login shell.
1684          */
1685         if (!command) {
1686                 char argv0[256];
1687
1688                 /* Start the shell.  Set initial character to '-'. */
1689                 argv0[0] = '-';
1690
1691                 if (strlcpy(argv0 + 1, shell0, sizeof(argv0) - 1)
1692                     >= sizeof(argv0) - 1) {
1693                         errno = EINVAL;
1694                         perror(shell);
1695                         exit(1);
1696                 }
1697
1698                 /* Execute the shell. */
1699                 argv[0] = argv0;
1700                 argv[1] = NULL;
1701                 execve(shell, argv, env);
1702
1703                 /* Executing the shell failed. */
1704                 perror(shell);
1705                 exit(1);
1706         }
1707         /*
1708          * Execute the command using the user's shell.  This uses the -c
1709          * option to execute the command.
1710          */
1711         argv[0] = (char *) shell0;
1712         argv[1] = "-c";
1713         argv[2] = (char *) command;
1714         argv[3] = NULL;
1715         execve(shell, argv, env);
1716         perror(shell);
1717         exit(1);
1718 }
1719
1720 void
1721 session_unused(int id)
1722 {
1723         debug3("%s: session id %d unused", __func__, id);
1724         if (id >= options.max_sessions ||
1725             id >= sessions_nalloc) {
1726                 fatal("%s: insane session id %d (max %d nalloc %d)",
1727                     __func__, id, options.max_sessions, sessions_nalloc);
1728         }
1729         memset(&sessions[id], 0, sizeof(*sessions));
1730         sessions[id].self = id;
1731         sessions[id].used = 0;
1732         sessions[id].chanid = -1;
1733         sessions[id].ptyfd = -1;
1734         sessions[id].ttyfd = -1;
1735         sessions[id].ptymaster = -1;
1736         sessions[id].x11_chanids = NULL;
1737         sessions[id].next_unused = sessions_first_unused;
1738         sessions_first_unused = id;
1739 }
1740
1741 Session *
1742 session_new(void)
1743 {
1744         Session *s, *tmp;
1745
1746         if (sessions_first_unused == -1) {
1747                 if (sessions_nalloc >= options.max_sessions)
1748                         return NULL;
1749                 debug2("%s: allocate (allocated %d max %d)",
1750                     __func__, sessions_nalloc, options.max_sessions);
1751                 tmp = xrecallocarray(sessions, sessions_nalloc,
1752                     sessions_nalloc + 1, sizeof(*sessions));
1753                 if (tmp == NULL) {
1754                         error("%s: cannot allocate %d sessions",
1755                             __func__, sessions_nalloc + 1);
1756                         return NULL;
1757                 }
1758                 sessions = tmp;
1759                 session_unused(sessions_nalloc++);
1760         }
1761
1762         if (sessions_first_unused >= sessions_nalloc ||
1763             sessions_first_unused < 0) {
1764                 fatal("%s: insane first_unused %d max %d nalloc %d",
1765                     __func__, sessions_first_unused, options.max_sessions,
1766                     sessions_nalloc);
1767         }
1768
1769         s = &sessions[sessions_first_unused];
1770         if (s->used) {
1771                 fatal("%s: session %d already used",
1772                     __func__, sessions_first_unused);
1773         }
1774         sessions_first_unused = s->next_unused;
1775         s->used = 1;
1776         s->next_unused = -1;
1777         debug("session_new: session %d", s->self);
1778
1779         return s;
1780 }
1781
1782 static void
1783 session_dump(void)
1784 {
1785         int i;
1786         for (i = 0; i < sessions_nalloc; i++) {
1787                 Session *s = &sessions[i];
1788
1789                 debug("dump: used %d next_unused %d session %d %p "
1790                     "channel %d pid %ld",
1791                     s->used,
1792                     s->next_unused,
1793                     s->self,
1794                     s,
1795                     s->chanid,
1796                     (long)s->pid);
1797         }
1798 }
1799
1800 int
1801 session_open(Authctxt *authctxt, int chanid)
1802 {
1803         Session *s = session_new();
1804         debug("session_open: channel %d", chanid);
1805         if (s == NULL) {
1806                 error("no more sessions");
1807                 return 0;
1808         }
1809         s->authctxt = authctxt;
1810         s->pw = authctxt->pw;
1811         if (s->pw == NULL || !authctxt->valid)
1812                 fatal("no user for session %d", s->self);
1813         debug("session_open: session %d: link with channel %d", s->self, chanid);
1814         s->chanid = chanid;
1815         return 1;
1816 }
1817
1818 Session *
1819 session_by_tty(char *tty)
1820 {
1821         int i;
1822         for (i = 0; i < sessions_nalloc; i++) {
1823                 Session *s = &sessions[i];
1824                 if (s->used && s->ttyfd != -1 && strcmp(s->tty, tty) == 0) {
1825                         debug("session_by_tty: session %d tty %s", i, tty);
1826                         return s;
1827                 }
1828         }
1829         debug("session_by_tty: unknown tty %.100s", tty);
1830         session_dump();
1831         return NULL;
1832 }
1833
1834 static Session *
1835 session_by_channel(int id)
1836 {
1837         int i;
1838         for (i = 0; i < sessions_nalloc; i++) {
1839                 Session *s = &sessions[i];
1840                 if (s->used && s->chanid == id) {
1841                         debug("session_by_channel: session %d channel %d",
1842                             i, id);
1843                         return s;
1844                 }
1845         }
1846         debug("session_by_channel: unknown channel %d", id);
1847         session_dump();
1848         return NULL;
1849 }
1850
1851 static Session *
1852 session_by_x11_channel(int id)
1853 {
1854         int i, j;
1855
1856         for (i = 0; i < sessions_nalloc; i++) {
1857                 Session *s = &sessions[i];
1858
1859                 if (s->x11_chanids == NULL || !s->used)
1860                         continue;
1861                 for (j = 0; s->x11_chanids[j] != -1; j++) {
1862                         if (s->x11_chanids[j] == id) {
1863                                 debug("session_by_x11_channel: session %d "
1864                                     "channel %d", s->self, id);
1865                                 return s;
1866                         }
1867                 }
1868         }
1869         debug("session_by_x11_channel: unknown channel %d", id);
1870         session_dump();
1871         return NULL;
1872 }
1873
1874 static Session *
1875 session_by_pid(pid_t pid)
1876 {
1877         int i;
1878         debug("session_by_pid: pid %ld", (long)pid);
1879         for (i = 0; i < sessions_nalloc; i++) {
1880                 Session *s = &sessions[i];
1881                 if (s->used && s->pid == pid)
1882                         return s;
1883         }
1884         error("session_by_pid: unknown pid %ld", (long)pid);
1885         session_dump();
1886         return NULL;
1887 }
1888
1889 static int
1890 session_window_change_req(struct ssh *ssh, Session *s)
1891 {
1892         int r;
1893
1894         if ((r = sshpkt_get_u32(ssh, &s->col)) != 0 ||
1895             (r = sshpkt_get_u32(ssh, &s->row)) != 0 ||
1896             (r = sshpkt_get_u32(ssh, &s->xpixel)) != 0 ||
1897             (r = sshpkt_get_u32(ssh, &s->ypixel)) != 0 ||
1898             (r = sshpkt_get_end(ssh)) != 0)
1899                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
1900         pty_change_window_size(s->ptyfd, s->row, s->col, s->xpixel, s->ypixel);
1901         return 1;
1902 }
1903
1904 static int
1905 session_pty_req(struct ssh *ssh, Session *s)
1906 {
1907         int r;
1908
1909         if (!auth_opts->permit_pty_flag || !options.permit_tty) {
1910                 debug("Allocating a pty not permitted for this connection.");
1911                 return 0;
1912         }
1913         if (s->ttyfd != -1) {
1914                 ssh_packet_disconnect(ssh, "Protocol error: you already have a pty.");
1915                 return 0;
1916         }
1917
1918         if ((r = sshpkt_get_cstring(ssh, &s->term, NULL)) != 0 ||
1919             (r = sshpkt_get_u32(ssh, &s->col)) != 0 ||
1920             (r = sshpkt_get_u32(ssh, &s->row)) != 0 ||
1921             (r = sshpkt_get_u32(ssh, &s->xpixel)) != 0 ||
1922             (r = sshpkt_get_u32(ssh, &s->ypixel)) != 0)
1923                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
1924
1925         if (strcmp(s->term, "") == 0) {
1926                 free(s->term);
1927                 s->term = NULL;
1928         }
1929
1930         /* Allocate a pty and open it. */
1931         debug("Allocating pty.");
1932         if (!PRIVSEP(pty_allocate(&s->ptyfd, &s->ttyfd, s->tty,
1933             sizeof(s->tty)))) {
1934                 free(s->term);
1935                 s->term = NULL;
1936                 s->ptyfd = -1;
1937                 s->ttyfd = -1;
1938                 error("session_pty_req: session %d alloc failed", s->self);
1939                 return 0;
1940         }
1941         debug("session_pty_req: session %d alloc %s", s->self, s->tty);
1942
1943         ssh_tty_parse_modes(ssh, s->ttyfd);
1944
1945         if ((r = sshpkt_get_end(ssh)) != 0)
1946                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
1947
1948         if (!use_privsep)
1949                 pty_setowner(s->pw, s->tty);
1950
1951         /* Set window size from the packet. */
1952         pty_change_window_size(s->ptyfd, s->row, s->col, s->xpixel, s->ypixel);
1953
1954         session_proctitle(s);
1955         return 1;
1956 }
1957
1958 static int
1959 session_subsystem_req(struct ssh *ssh, Session *s)
1960 {
1961         struct stat st;
1962         int r, success = 0;
1963         char *prog, *cmd;
1964         u_int i;
1965
1966         if ((r = sshpkt_get_cstring(ssh, &s->subsys, NULL)) != 0 ||
1967             (r = sshpkt_get_end(ssh)) != 0)
1968                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
1969         debug2("subsystem request for %.100s by user %s", s->subsys,
1970             s->pw->pw_name);
1971
1972         for (i = 0; i < options.num_subsystems; i++) {
1973                 if (strcmp(s->subsys, options.subsystem_name[i]) == 0) {
1974                         prog = options.subsystem_command[i];
1975                         cmd = options.subsystem_args[i];
1976                         if (strcmp(INTERNAL_SFTP_NAME, prog) == 0) {
1977                                 s->is_subsystem = SUBSYSTEM_INT_SFTP;
1978                                 debug("subsystem: %s", prog);
1979                         } else {
1980                                 if (stat(prog, &st) < 0)
1981                                         debug("subsystem: cannot stat %s: %s",
1982                                             prog, strerror(errno));
1983                                 s->is_subsystem = SUBSYSTEM_EXT;
1984                                 debug("subsystem: exec() %s", cmd);
1985                         }
1986                         success = do_exec(ssh, s, cmd) == 0;
1987                         break;
1988                 }
1989         }
1990
1991         if (!success)
1992                 logit("subsystem request for %.100s by user %s failed, "
1993                     "subsystem not found", s->subsys, s->pw->pw_name);
1994
1995         return success;
1996 }
1997
1998 static int
1999 session_x11_req(struct ssh *ssh, Session *s)
2000 {
2001         int r, success;
2002         u_char single_connection = 0;
2003
2004         if (s->auth_proto != NULL || s->auth_data != NULL) {
2005                 error("session_x11_req: session %d: "
2006                     "x11 forwarding already active", s->self);
2007                 return 0;
2008         }
2009         if ((r = sshpkt_get_u8(ssh, &single_connection)) != 0 ||
2010             (r = sshpkt_get_cstring(ssh, &s->auth_proto, NULL)) != 0 ||
2011             (r = sshpkt_get_cstring(ssh, &s->auth_data, NULL)) != 0 ||
2012             (r = sshpkt_get_u32(ssh, &s->screen)) != 0 ||
2013             (r = sshpkt_get_end(ssh)) != 0)
2014                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
2015
2016         s->single_connection = single_connection;
2017
2018         if (xauth_valid_string(s->auth_proto) &&
2019             xauth_valid_string(s->auth_data))
2020                 success = session_setup_x11fwd(ssh, s);
2021         else {
2022                 success = 0;
2023                 error("Invalid X11 forwarding data");
2024         }
2025         if (!success) {
2026                 free(s->auth_proto);
2027                 free(s->auth_data);
2028                 s->auth_proto = NULL;
2029                 s->auth_data = NULL;
2030         }
2031         return success;
2032 }
2033
2034 static int
2035 session_shell_req(struct ssh *ssh, Session *s)
2036 {
2037         int r;
2038
2039         if ((r = sshpkt_get_end(ssh)) != 0)
2040                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
2041         return do_exec(ssh, s, NULL) == 0;
2042 }
2043
2044 static int
2045 session_exec_req(struct ssh *ssh, Session *s)
2046 {
2047         u_int success;
2048         int r;
2049         char *command = NULL;
2050
2051         if ((r = sshpkt_get_cstring(ssh, &command, NULL)) != 0 ||
2052             (r = sshpkt_get_end(ssh)) != 0)
2053                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
2054
2055         success = do_exec(ssh, s, command) == 0;
2056         free(command);
2057         return success;
2058 }
2059
2060 static int
2061 session_break_req(struct ssh *ssh, Session *s)
2062 {
2063         int r;
2064
2065         if ((r = sshpkt_get_u32(ssh, NULL)) != 0 || /* ignore */
2066             (r = sshpkt_get_end(ssh)) != 0)
2067                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
2068
2069         if (s->ptymaster == -1 || tcsendbreak(s->ptymaster, 0) < 0)
2070                 return 0;
2071         return 1;
2072 }
2073
2074 static int
2075 session_env_req(struct ssh *ssh, Session *s)
2076 {
2077         char *name, *val;
2078         u_int i;
2079         int r;
2080
2081         if ((r = sshpkt_get_cstring(ssh, &name, NULL)) != 0 ||
2082             (r = sshpkt_get_cstring(ssh, &val, NULL)) != 0 ||
2083             (r = sshpkt_get_end(ssh)) != 0)
2084                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
2085
2086         /* Don't set too many environment variables */
2087         if (s->num_env > 128) {
2088                 debug2("Ignoring env request %s: too many env vars", name);
2089                 goto fail;
2090         }
2091
2092         for (i = 0; i < options.num_accept_env; i++) {
2093                 if (match_pattern(name, options.accept_env[i])) {
2094                         debug2("Setting env %d: %s=%s", s->num_env, name, val);
2095                         s->env = xrecallocarray(s->env, s->num_env,
2096                             s->num_env + 1, sizeof(*s->env));
2097                         s->env[s->num_env].name = name;
2098                         s->env[s->num_env].val = val;
2099                         s->num_env++;
2100                         return (1);
2101                 }
2102         }
2103         debug2("Ignoring env request %s: disallowed name", name);
2104
2105  fail:
2106         free(name);
2107         free(val);
2108         return (0);
2109 }
2110
2111 /*
2112  * Conversion of signals from ssh channel request names.
2113  * Subset of signals from RFC 4254 section 6.10C, with SIGINFO as
2114  * local extension.
2115  */
2116 static int
2117 name2sig(char *name)
2118 {
2119 #define SSH_SIG(x) if (strcmp(name, #x) == 0) return SIG ## x
2120         SSH_SIG(HUP);
2121         SSH_SIG(INT);
2122         SSH_SIG(KILL);
2123         SSH_SIG(QUIT);
2124         SSH_SIG(TERM);
2125         SSH_SIG(USR1);
2126         SSH_SIG(USR2);
2127 #undef  SSH_SIG
2128 #ifdef SIGINFO
2129         if (strcmp(name, "INFO@openssh.com") == 0)
2130                 return SIGINFO;
2131 #endif
2132         return -1;
2133 }
2134
2135 static int
2136 session_signal_req(struct ssh *ssh, Session *s)
2137 {
2138         char *signame = NULL;
2139         int r, sig, success = 0;
2140
2141         if ((r = sshpkt_get_cstring(ssh, &signame, NULL)) != 0 ||
2142             (r = sshpkt_get_end(ssh)) != 0) {
2143                 error("%s: parse packet: %s", __func__, ssh_err(r));
2144                 goto out;
2145         }
2146         if ((sig = name2sig(signame)) == -1) {
2147                 error("%s: unsupported signal \"%s\"", __func__, signame);
2148                 goto out;
2149         }
2150         if (s->pid <= 0) {
2151                 error("%s: no pid for session %d", __func__, s->self);
2152                 goto out;
2153         }
2154         if (s->forced || s->is_subsystem) {
2155                 error("%s: refusing to send signal %s to %s session", __func__,
2156                     signame, s->forced ? "forced-command" : "subsystem");
2157                 goto out;
2158         }
2159         if (!use_privsep || mm_is_monitor()) {
2160                 error("%s: session signalling requires privilege separation",
2161                     __func__);
2162                 goto out;
2163         }
2164
2165         debug("%s: signal %s, killpg(%ld, %d)", __func__, signame,
2166             (long)s->pid, sig);
2167         temporarily_use_uid(s->pw);
2168         r = killpg(s->pid, sig);
2169         restore_uid();
2170         if (r != 0) {
2171                 error("%s: killpg(%ld, %d): %s", __func__, (long)s->pid,
2172                     sig, strerror(errno));
2173                 goto out;
2174         }
2175
2176         /* success */
2177         success = 1;
2178  out:
2179         free(signame);
2180         return success;
2181 }
2182
2183 static int
2184 session_auth_agent_req(struct ssh *ssh, Session *s)
2185 {
2186         static int called = 0;
2187         int r;
2188
2189         if ((r = sshpkt_get_end(ssh)) != 0)
2190                 sshpkt_fatal(ssh, r, "%s: parse packet", __func__);
2191         if (!auth_opts->permit_agent_forwarding_flag ||
2192             !options.allow_agent_forwarding) {
2193                 debug("%s: agent forwarding disabled", __func__);
2194                 return 0;
2195         }
2196         if (called) {
2197                 return 0;
2198         } else {
2199                 called = 1;
2200                 return auth_input_request_forwarding(ssh, s->pw);
2201         }
2202 }
2203
2204 int
2205 session_input_channel_req(struct ssh *ssh, Channel *c, const char *rtype)
2206 {
2207         int success = 0;
2208         Session *s;
2209
2210         if ((s = session_by_channel(c->self)) == NULL) {
2211                 logit("%s: no session %d req %.100s", __func__, c->self, rtype);
2212                 return 0;
2213         }
2214         debug("%s: session %d req %s", __func__, s->self, rtype);
2215
2216         /*
2217          * a session is in LARVAL state until a shell, a command
2218          * or a subsystem is executed
2219          */
2220         if (c->type == SSH_CHANNEL_LARVAL) {
2221                 if (strcmp(rtype, "shell") == 0) {
2222                         success = session_shell_req(ssh, s);
2223                 } else if (strcmp(rtype, "exec") == 0) {
2224                         success = session_exec_req(ssh, s);
2225                 } else if (strcmp(rtype, "pty-req") == 0) {
2226                         success = session_pty_req(ssh, s);
2227                 } else if (strcmp(rtype, "x11-req") == 0) {
2228                         success = session_x11_req(ssh, s);
2229                 } else if (strcmp(rtype, "auth-agent-req@openssh.com") == 0) {
2230                         success = session_auth_agent_req(ssh, s);
2231                 } else if (strcmp(rtype, "subsystem") == 0) {
2232                         success = session_subsystem_req(ssh, s);
2233                 } else if (strcmp(rtype, "env") == 0) {
2234                         success = session_env_req(ssh, s);
2235                 }
2236         }
2237         if (strcmp(rtype, "window-change") == 0) {
2238                 success = session_window_change_req(ssh, s);
2239         } else if (strcmp(rtype, "break") == 0) {
2240                 success = session_break_req(ssh, s);
2241         } else if (strcmp(rtype, "signal") == 0) {
2242                 success = session_signal_req(ssh, s);
2243         }
2244
2245         return success;
2246 }
2247
2248 void
2249 session_set_fds(struct ssh *ssh, Session *s,
2250     int fdin, int fdout, int fderr, int ignore_fderr, int is_tty)
2251 {
2252         /*
2253          * now that have a child and a pipe to the child,
2254          * we can activate our channel and register the fd's
2255          */
2256         if (s->chanid == -1)
2257                 fatal("no channel for session %d", s->self);
2258         channel_set_fds(ssh, s->chanid,
2259             fdout, fdin, fderr,
2260             ignore_fderr ? CHAN_EXTENDED_IGNORE : CHAN_EXTENDED_READ,
2261             1, is_tty, CHAN_SES_WINDOW_DEFAULT);
2262 }
2263
2264 /*
2265  * Function to perform pty cleanup. Also called if we get aborted abnormally
2266  * (e.g., due to a dropped connection).
2267  */
2268 void
2269 session_pty_cleanup2(Session *s)
2270 {
2271         if (s == NULL) {
2272                 error("%s: no session", __func__);
2273                 return;
2274         }
2275         if (s->ttyfd == -1)
2276                 return;
2277
2278         debug("%s: session %d release %s", __func__, s->self, s->tty);
2279
2280         /* Record that the user has logged out. */
2281         if (s->pid != 0)
2282                 record_logout(s->pid, s->tty, s->pw->pw_name);
2283
2284         /* Release the pseudo-tty. */
2285         if (getuid() == 0)
2286                 pty_release(s->tty);
2287
2288         /*
2289          * Close the server side of the socket pairs.  We must do this after
2290          * the pty cleanup, so that another process doesn't get this pty
2291          * while we're still cleaning up.
2292          */
2293         if (s->ptymaster != -1 && close(s->ptymaster) < 0)
2294                 error("close(s->ptymaster/%d): %s",
2295                     s->ptymaster, strerror(errno));
2296
2297         /* unlink pty from session */
2298         s->ttyfd = -1;
2299 }
2300
2301 void
2302 session_pty_cleanup(Session *s)
2303 {
2304         PRIVSEP(session_pty_cleanup2(s));
2305 }
2306
2307 static char *
2308 sig2name(int sig)
2309 {
2310 #define SSH_SIG(x) if (sig == SIG ## x) return #x
2311         SSH_SIG(ABRT);
2312         SSH_SIG(ALRM);
2313         SSH_SIG(FPE);
2314         SSH_SIG(HUP);
2315         SSH_SIG(ILL);
2316         SSH_SIG(INT);
2317         SSH_SIG(KILL);
2318         SSH_SIG(PIPE);
2319         SSH_SIG(QUIT);
2320         SSH_SIG(SEGV);
2321         SSH_SIG(TERM);
2322         SSH_SIG(USR1);
2323         SSH_SIG(USR2);
2324 #undef  SSH_SIG
2325         return "SIG@openssh.com";
2326 }
2327
2328 static void
2329 session_close_x11(struct ssh *ssh, int id)
2330 {
2331         Channel *c;
2332
2333         if ((c = channel_by_id(ssh, id)) == NULL) {
2334                 debug("%s: x11 channel %d missing", __func__, id);
2335         } else {
2336                 /* Detach X11 listener */
2337                 debug("%s: detach x11 channel %d", __func__, id);
2338                 channel_cancel_cleanup(ssh, id);
2339                 if (c->ostate != CHAN_OUTPUT_CLOSED)
2340                         chan_mark_dead(ssh, c);
2341         }
2342 }
2343
2344 static void
2345 session_close_single_x11(struct ssh *ssh, int id, void *arg)
2346 {
2347         Session *s;
2348         u_int i;
2349
2350         debug3("%s: channel %d", __func__, id);
2351         channel_cancel_cleanup(ssh, id);
2352         if ((s = session_by_x11_channel(id)) == NULL)
2353                 fatal("%s: no x11 channel %d", __func__, id);
2354         for (i = 0; s->x11_chanids[i] != -1; i++) {
2355                 debug("%s: session %d: closing channel %d",
2356                     __func__, s->self, s->x11_chanids[i]);
2357                 /*
2358                  * The channel "id" is already closing, but make sure we
2359                  * close all of its siblings.
2360                  */
2361                 if (s->x11_chanids[i] != id)
2362                         session_close_x11(ssh, s->x11_chanids[i]);
2363         }
2364         free(s->x11_chanids);
2365         s->x11_chanids = NULL;
2366         free(s->display);
2367         s->display = NULL;
2368         free(s->auth_proto);
2369         s->auth_proto = NULL;
2370         free(s->auth_data);
2371         s->auth_data = NULL;
2372         free(s->auth_display);
2373         s->auth_display = NULL;
2374 }
2375
2376 static void
2377 session_exit_message(struct ssh *ssh, Session *s, int status)
2378 {
2379         Channel *c;
2380         int r;
2381
2382         if ((c = channel_lookup(ssh, s->chanid)) == NULL)
2383                 fatal("%s: session %d: no channel %d",
2384                     __func__, s->self, s->chanid);
2385         debug("%s: session %d channel %d pid %ld",
2386             __func__, s->self, s->chanid, (long)s->pid);
2387
2388         if (WIFEXITED(status)) {
2389                 channel_request_start(ssh, s->chanid, "exit-status", 0);
2390                 if ((r = sshpkt_put_u32(ssh, WEXITSTATUS(status))) != 0 ||
2391                     (r = sshpkt_send(ssh)) != 0)
2392                         sshpkt_fatal(ssh, r, "%s: exit reply", __func__);
2393         } else if (WIFSIGNALED(status)) {
2394                 channel_request_start(ssh, s->chanid, "exit-signal", 0);
2395 #ifndef WCOREDUMP
2396 # define WCOREDUMP(x) (0)
2397 #endif
2398                 if ((r = sshpkt_put_cstring(ssh, sig2name(WTERMSIG(status)))) != 0 ||
2399                     (r = sshpkt_put_u8(ssh, WCOREDUMP(status)? 1 : 0)) != 0 ||
2400                     (r = sshpkt_put_cstring(ssh, "")) != 0 ||
2401                     (r = sshpkt_put_cstring(ssh, "")) != 0 ||
2402                     (r = sshpkt_send(ssh)) != 0)
2403                         sshpkt_fatal(ssh, r, "%s: exit reply", __func__);
2404         } else {
2405                 /* Some weird exit cause.  Just exit. */
2406                 ssh_packet_disconnect(ssh, "wait returned status %04x.", status);
2407         }
2408
2409         /* disconnect channel */
2410         debug("%s: release channel %d", __func__, s->chanid);
2411
2412         /*
2413          * Adjust cleanup callback attachment to send close messages when
2414          * the channel gets EOF. The session will be then be closed
2415          * by session_close_by_channel when the childs close their fds.
2416          */
2417         channel_register_cleanup(ssh, c->self, session_close_by_channel, 1);
2418
2419         /*
2420          * emulate a write failure with 'chan_write_failed', nobody will be
2421          * interested in data we write.
2422          * Note that we must not call 'chan_read_failed', since there could
2423          * be some more data waiting in the pipe.
2424          */
2425         if (c->ostate != CHAN_OUTPUT_CLOSED)
2426                 chan_write_failed(ssh, c);
2427 }
2428
2429 void
2430 session_close(struct ssh *ssh, Session *s)
2431 {
2432         u_int i;
2433
2434         verbose("Close session: user %s from %.200s port %d id %d",
2435             s->pw->pw_name,
2436             ssh_remote_ipaddr(ssh),
2437             ssh_remote_port(ssh),
2438             s->self);
2439
2440         if (s->ttyfd != -1)
2441                 session_pty_cleanup(s);
2442         free(s->term);
2443         free(s->display);
2444         free(s->x11_chanids);
2445         free(s->auth_display);
2446         free(s->auth_data);
2447         free(s->auth_proto);
2448         free(s->subsys);
2449         if (s->env != NULL) {
2450                 for (i = 0; i < s->num_env; i++) {
2451                         free(s->env[i].name);
2452                         free(s->env[i].val);
2453                 }
2454                 free(s->env);
2455         }
2456         session_proctitle(s);
2457         session_unused(s->self);
2458 }
2459
2460 void
2461 session_close_by_pid(struct ssh *ssh, pid_t pid, int status)
2462 {
2463         Session *s = session_by_pid(pid);
2464         if (s == NULL) {
2465                 debug("%s: no session for pid %ld", __func__, (long)pid);
2466                 return;
2467         }
2468         if (s->chanid != -1)
2469                 session_exit_message(ssh, s, status);
2470         if (s->ttyfd != -1)
2471                 session_pty_cleanup(s);
2472         s->pid = 0;
2473 }
2474
2475 /*
2476  * this is called when a channel dies before
2477  * the session 'child' itself dies
2478  */
2479 void
2480 session_close_by_channel(struct ssh *ssh, int id, void *arg)
2481 {
2482         Session *s = session_by_channel(id);
2483         u_int i;
2484
2485         if (s == NULL) {
2486                 debug("%s: no session for id %d", __func__, id);
2487                 return;
2488         }
2489         debug("%s: channel %d child %ld", __func__, id, (long)s->pid);
2490         if (s->pid != 0) {
2491                 debug("%s: channel %d: has child, ttyfd %d",
2492                     __func__, id, s->ttyfd);
2493                 /*
2494                  * delay detach of session, but release pty, since
2495                  * the fd's to the child are already closed
2496                  */
2497                 if (s->ttyfd != -1)
2498                         session_pty_cleanup(s);
2499                 return;
2500         }
2501         /* detach by removing callback */
2502         channel_cancel_cleanup(ssh, s->chanid);
2503
2504         /* Close any X11 listeners associated with this session */
2505         if (s->x11_chanids != NULL) {
2506                 for (i = 0; s->x11_chanids[i] != -1; i++) {
2507                         session_close_x11(ssh, s->x11_chanids[i]);
2508                         s->x11_chanids[i] = -1;
2509                 }
2510         }
2511
2512         s->chanid = -1;
2513         session_close(ssh, s);
2514 }
2515
2516 void
2517 session_destroy_all(struct ssh *ssh, void (*closefunc)(Session *))
2518 {
2519         int i;
2520         for (i = 0; i < sessions_nalloc; i++) {
2521                 Session *s = &sessions[i];
2522                 if (s->used) {
2523                         if (closefunc != NULL)
2524                                 closefunc(s);
2525                         else
2526                                 session_close(ssh, s);
2527                 }
2528         }
2529 }
2530
2531 static char *
2532 session_tty_list(void)
2533 {
2534         static char buf[1024];
2535         int i;
2536         char *cp;
2537
2538         buf[0] = '\0';
2539         for (i = 0; i < sessions_nalloc; i++) {
2540                 Session *s = &sessions[i];
2541                 if (s->used && s->ttyfd != -1) {
2542
2543                         if (strncmp(s->tty, "/dev/", 5) != 0) {
2544                                 cp = strrchr(s->tty, '/');
2545                                 cp = (cp == NULL) ? s->tty : cp + 1;
2546                         } else
2547                                 cp = s->tty + 5;
2548
2549                         if (buf[0] != '\0')
2550                                 strlcat(buf, ",", sizeof buf);
2551                         strlcat(buf, cp, sizeof buf);
2552                 }
2553         }
2554         if (buf[0] == '\0')
2555                 strlcpy(buf, "notty", sizeof buf);
2556         return buf;
2557 }
2558
2559 void
2560 session_proctitle(Session *s)
2561 {
2562         if (s->pw == NULL)
2563                 error("no user for session %d", s->self);
2564         else
2565                 setproctitle("%s@%s", s->pw->pw_name, session_tty_list());
2566 }
2567
2568 int
2569 session_setup_x11fwd(struct ssh *ssh, Session *s)
2570 {
2571         struct stat st;
2572         char display[512], auth_display[512];
2573         char hostname[NI_MAXHOST];
2574         u_int i;
2575
2576         if (!auth_opts->permit_x11_forwarding_flag) {
2577                 ssh_packet_send_debug(ssh, "X11 forwarding disabled by key options.");
2578                 return 0;
2579         }
2580         if (!options.x11_forwarding) {
2581                 debug("X11 forwarding disabled in server configuration file.");
2582                 return 0;
2583         }
2584         if (options.xauth_location == NULL ||
2585             (stat(options.xauth_location, &st) == -1)) {
2586                 ssh_packet_send_debug(ssh, "No xauth program; cannot forward X11.");
2587                 return 0;
2588         }
2589         if (s->display != NULL) {
2590                 debug("X11 display already set.");
2591                 return 0;
2592         }
2593         if (x11_create_display_inet(ssh, options.x11_display_offset,
2594             options.x11_use_localhost, s->single_connection,
2595             &s->display_number, &s->x11_chanids) == -1) {
2596                 debug("x11_create_display_inet failed.");
2597                 return 0;
2598         }
2599         for (i = 0; s->x11_chanids[i] != -1; i++) {
2600                 channel_register_cleanup(ssh, s->x11_chanids[i],
2601                     session_close_single_x11, 0);
2602         }
2603
2604         /* Set up a suitable value for the DISPLAY variable. */
2605         if (gethostname(hostname, sizeof(hostname)) < 0)
2606                 fatal("gethostname: %.100s", strerror(errno));
2607         /*
2608          * auth_display must be used as the displayname when the
2609          * authorization entry is added with xauth(1).  This will be
2610          * different than the DISPLAY string for localhost displays.
2611          */
2612         if (options.x11_use_localhost) {
2613                 snprintf(display, sizeof display, "localhost:%u.%u",
2614                     s->display_number, s->screen);
2615                 snprintf(auth_display, sizeof auth_display, "unix:%u.%u",
2616                     s->display_number, s->screen);
2617                 s->display = xstrdup(display);
2618                 s->auth_display = xstrdup(auth_display);
2619         } else {
2620 #ifdef IPADDR_IN_DISPLAY
2621                 struct hostent *he;
2622                 struct in_addr my_addr;
2623
2624                 he = gethostbyname(hostname);
2625                 if (he == NULL) {
2626                         error("Can't get IP address for X11 DISPLAY.");
2627                         ssh_packet_send_debug(ssh, "Can't get IP address for X11 DISPLAY.");
2628                         return 0;
2629                 }
2630                 memcpy(&my_addr, he->h_addr_list[0], sizeof(struct in_addr));
2631                 snprintf(display, sizeof display, "%.50s:%u.%u", inet_ntoa(my_addr),
2632                     s->display_number, s->screen);
2633 #else
2634                 snprintf(display, sizeof display, "%.400s:%u.%u", hostname,
2635                     s->display_number, s->screen);
2636 #endif
2637                 s->display = xstrdup(display);
2638                 s->auth_display = xstrdup(display);
2639         }
2640
2641         return 1;
2642 }
2643
2644 static void
2645 do_authenticated2(struct ssh *ssh, Authctxt *authctxt)
2646 {
2647         server_loop2(ssh, authctxt);
2648 }
2649
2650 void
2651 do_cleanup(struct ssh *ssh, Authctxt *authctxt)
2652 {
2653         static int called = 0;
2654
2655         debug("do_cleanup");
2656
2657         /* no cleanup if we're in the child for login shell */
2658         if (is_child)
2659                 return;
2660
2661         /* avoid double cleanup */
2662         if (called)
2663                 return;
2664         called = 1;
2665
2666         if (authctxt == NULL)
2667                 return;
2668
2669 #ifdef USE_PAM
2670         if (options.use_pam) {
2671                 sshpam_cleanup();
2672                 sshpam_thread_cleanup();
2673         }
2674 #endif
2675
2676         if (!authctxt->authenticated)
2677                 return;
2678
2679 #ifdef KRB5
2680         if (options.kerberos_ticket_cleanup &&
2681             authctxt->krb5_ctx)
2682                 krb5_cleanup_proc(authctxt);
2683 #endif
2684
2685 #ifdef GSSAPI
2686         if (options.gss_cleanup_creds)
2687                 ssh_gssapi_cleanup_creds();
2688 #endif
2689
2690         /* remove agent socket */
2691         auth_sock_cleanup_proc(authctxt->pw);
2692
2693         /* remove userauth info */
2694         if (auth_info_file != NULL) {
2695                 temporarily_use_uid(authctxt->pw);
2696                 unlink(auth_info_file);
2697                 restore_uid();
2698                 free(auth_info_file);
2699                 auth_info_file = NULL;
2700         }
2701
2702         /*
2703          * Cleanup ptys/utmp only if privsep is disabled,
2704          * or if running in monitor.
2705          */
2706         if (!use_privsep || mm_is_monitor())
2707                 session_destroy_all(ssh, session_pty_cleanup2);
2708 }
2709
2710 /* Return a name for the remote host that fits inside utmp_size */
2711
2712 const char *
2713 session_get_remote_name_or_ip(struct ssh *ssh, u_int utmp_size, int use_dns)
2714 {
2715         const char *remote = "";
2716
2717         if (utmp_size > 0)
2718                 remote = auth_get_canonical_hostname(ssh, use_dns);
2719         if (utmp_size == 0 || strlen(remote) > utmp_size)
2720                 remote = ssh_remote_ipaddr(ssh);
2721         return remote;
2722 }
2723