update to proxmox-sys 0.2 crate

[proxmox-backup.git] / src / auth_helpers.rs
diff --git a/src/auth_helpers.rs b/src/auth_helpers.rs

index a55010b825f0db65cb4aea395e57bf00b527a028..973c1224a1232a1c9a88c5b7f28456cfc5361501 100644 (file)
--- a/src/auth_helpers.rs
+++ b/src/auth_helpers.rs
@@ -1,36 +1,91 @@
-use crate::tools;
+use std::path::PathBuf;
  
-use failure::*;
+use anyhow::{bail, format_err, Error};
  use lazy_static::lazy_static;
-
-use openssl::rsa::{Rsa};
-use openssl::pkey::{PKey, Public, Private};
+use openssl::pkey::{PKey, Private, Public};
+use openssl::rsa::Rsa;
  use openssl::sha;
  
-use std::path::PathBuf;
+use proxmox_sys::fs::{file_get_contents, replace_file, CreateOptions};
+use proxmox_lang::try_block;
+
+use pbs_buildcfg::configdir;
+use pbs_api_types::Userid;
+
+fn compute_csrf_secret_digest(
+    timestamp: i64,
+    secret: &[u8],
+    userid: &Userid,
+) -> String {
+
+    let mut hasher = sha::Sha256::new();
+    let data = format!("{:08X}:{}:", timestamp, userid);
+    hasher.update(data.as_bytes());
+    hasher.update(secret);
+
+    base64::encode_config(&hasher.finish(), base64::STANDARD_NO_PAD)
+}
  
  pub fn assemble_csrf_prevention_token(
      secret: &[u8],
-    username: &str,
+    userid: &Userid,
  ) -> String {
  
-    let epoch = std::time::SystemTime::now().duration_since(
-        std::time::SystemTime::UNIX_EPOCH).unwrap().as_secs();
+    let epoch = proxmox_time::epoch_i64();
  
-    let stamp = format!("{:08X}:{}:", epoch, username);
+    let digest = compute_csrf_secret_digest(epoch, secret, userid);
  
-    let mut hasher = sha::Sha256::new();
-    hasher.update(stamp.as_bytes());
-    hasher.update(secret);
+    format!("{:08X}:{}", epoch, digest)
+}
+
+pub fn verify_csrf_prevention_token(
+    secret: &[u8],
+    userid: &Userid,
+    token: &str,
+    min_age: i64,
+    max_age: i64,
+) -> Result<i64, Error> {
+
+    use std::collections::VecDeque;
+
+    let mut parts: VecDeque<&str> = token.split(':').collect();
+
+    try_block!({
+
+        if parts.len() != 2 {
+            bail!("format error - wrong number of parts.");
+        }
+
+        let timestamp = parts.pop_front().unwrap();
+        let sig = parts.pop_front().unwrap();
+
+        let ttime = i64::from_str_radix(timestamp, 16).
+            map_err(|err| format_err!("timestamp format error - {}", err))?;
+
+        let digest = compute_csrf_secret_digest(ttime, secret, userid);
  
-    let digest = hasher.finish();
+        if digest != sig {
+            bail!("invalid signature.");
+        }
  
-    base64::encode_config(&digest, base64::STANDARD_NO_PAD)
+        let now = proxmox_time::epoch_i64();
+
+        let age = now - ttime;
+        if age < min_age {
+            bail!("timestamp newer than expected.");
+        }
+
+        if age > max_age {
+            bail!("timestamp too old.");
+        }
+
+        Ok(age)
+    }).map_err(|err| format_err!("invalid csrf token - {}", err))
  }
  
  pub fn generate_csrf_key() -> Result<(), Error> {
  
-    let path = PathBuf::from("/etc/proxmox-backup/csrf.key");
+    let path = PathBuf::from(configdir!("/csrf.key"));
  
      if path.exists() { return Ok(()); }
  
@@ -40,17 +95,24 @@ pub fn generate_csrf_key() -> Result<(), Error> {
  
      use nix::sys::stat::Mode;
  
-    tools::file_set_contents(
-        &path, &pem, Some(Mode::from_bits_truncate(0o0640)))?;
+    let backup_user = pbs_config::backup_user()?;
  
-    nix::unistd::chown(&path, Some(nix::unistd::ROOT), Some(nix::unistd::Gid::from_raw(33)))?;
+    replace_file(
+        &path,
+        &pem,
+        CreateOptions::new()
+            .perm(Mode::from_bits_truncate(0o0640))
+            .owner(nix::unistd::ROOT)
+            .group(backup_user.gid),
+        true,
+    )?;
  
      Ok(())
  }
  
  pub fn generate_auth_key() -> Result<(), Error> {
  
-    let priv_path = PathBuf::from("/etc/proxmox-backup/authkey.key");
+    let priv_path = PathBuf::from(configdir!("/authkey.key"));
  
      let mut public_path = priv_path.clone();
      public_path.set_extension("pub");
@@ -63,13 +125,26 @@ pub fn generate_auth_key() -> Result<(), Error> {
  
      use nix::sys::stat::Mode;
  
-    tools::file_set_contents(
-        &priv_path, &priv_pem, Some(Mode::from_bits_truncate(0o0600)))?;
-
+    replace_file(
+        &priv_path,
+        &priv_pem,
+        CreateOptions::new().perm(Mode::from_bits_truncate(0o0600)),
+        true,
+    )?;
  
      let public_pem = rsa.public_key_to_pem()?;
  
-    tools::file_set_contents(&public_path, &public_pem, None)?;
+    let backup_user = pbs_config::backup_user()?;
+
+    replace_file(
+        &public_path,
+        &public_pem,
+        CreateOptions::new()
+            .perm(Mode::from_bits_truncate(0o0640))
+            .owner(nix::unistd::ROOT)
+            .group(backup_user.gid),
+        true,
+    )?;
  
      Ok(())
  }
@@ -78,43 +153,41 @@ pub fn csrf_secret() -> &'static [u8] {
  
      lazy_static! {
          static ref SECRET: Vec<u8> =
-            tools::file_get_contents("/etc/proxmox-backup/csrf.key").unwrap();
+            file_get_contents(configdir!("/csrf.key")).unwrap();
      }
  
      &SECRET
  }
  
-fn load_private_auth_key() -> Result<PKey<Private>, Error> {
+fn load_public_auth_key() -> Result<PKey<Public>, Error> {
  
-    let pem = tools::file_get_contents("/etc/proxmox-backup/authkey.key")?;
-    let rsa = Rsa::private_key_from_pem(&pem)?;
+    let pem = file_get_contents(configdir!("/authkey.pub"))?;
+    let rsa = Rsa::public_key_from_pem(&pem)?;
      let key = PKey::from_rsa(rsa)?;
  
      Ok(key)
  }
  
-pub fn private_auth_key() -> &'static PKey<Private> {
+pub fn public_auth_key() -> &'static PKey<Public> {
  
      lazy_static! {
-        static ref KEY: PKey<Private> = load_private_auth_key().unwrap();
+        static ref KEY: PKey<Public> = load_public_auth_key().unwrap();
      }
  
      &KEY
  }
  
-fn load_public_auth_key() -> Result<PKey<Public>, Error> {
-
-    let pem = tools::file_get_contents("/etc/proxmox-backup/authkey.pub")?;
-    let rsa = Rsa::public_key_from_pem(&pem)?;
+fn load_private_auth_key() -> Result<PKey<Private>, Error> {
+    let pem = file_get_contents(configdir!("/authkey.key"))?;
+    let rsa = Rsa::private_key_from_pem(&pem)?;
      let key = PKey::from_rsa(rsa)?;
  
      Ok(key)
  }
  
-pub fn public_auth_key() -> &'static PKey<Public> {
-
+pub fn private_auth_key() -> &'static PKey<Private> {
      lazy_static! {
-        static ref KEY: PKey<Public> = load_public_auth_key().unwrap();
+        static ref KEY: PKey<Private> = load_private_auth_key().unwrap();
      }
  
      &KEY