SELinux: add yet more rules for svirt for libvirt support

Non-privileged mode needs another rule and on Fedora 27 we need
a swtpm_exec_t related rule we did not need on Fedora 23.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: fix missing space after --vmid parameter

The extern cert program was called with --vmid <foo>--tpm-spec-family ...
and failed due to a missing whitespace. This patch fixes it.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

sample: propagate and log error if swtpm_cert is missing

If the swtpm_cert was missing, nothing was reported in the error log. Change
this and report it in the error log rather than writing the error in the
certificate file.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: set PATH so swtpm_cert can be found

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: make the TPM spec parameters mandatory for the EK cert

swtpm_setup: Use swtpm_ioctl to get TPM specification info for EK cert

Use the new --info parameter for swtpm_ioctl to get TPM specification
info from the swtpm and use this as a parameter for creating the EK
certificate.

Extend the man page.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: implement --info option to get implementation info

Implement the --info option that takes a flag as an argument
and returns information about the TPM implementation. Only the
value '1' has been defined for now, which returns a line as
the following:

{"TPMSpecification":{"family":"1.2","level":2,"revision":116}}

Extend the man page.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

samples: implement options for pass TPM spec parameters

Implement options --tpm-spec-family, --tpm-spec-revision, and
tpm-spec-level to pass to swtpm_cert for EK creation.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Implement CMD_GETINFO to retrieve TPM specification info

We quetry the swtpm for TPM specification info that goes into the
certificate for the EK.

Update the test cases that now see more capabilties being returned
by the swtpm.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: source common rather than test_common

man: add an example to swtpm_setup man page

Add an example for how to run swtpm_setup to simulate TPM 1.2
manufacturing.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

samples: Error out if key exists but is not readable for user

If the key is not readable as the current user, such as tss:tss,
but it is there, we don't try to create it but error out.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: Error out if the Authority Key Id could not be gotten

Since the EK cert must have an Authority Key Id, we error out if
the signing certificate we are given does not have an Authority
Key Id. The typical reason why it wouldn't have it is that we are
using a self-signed (rootCA) certificate directly.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Use a root CA for creating the issuercert for test_swtpm_cert

Update the test case test_swtpm_cert to have its issuercert signed
by a created root CA so that we have the Authority Key Id in the cert.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

samples: Create a root CA that signs the cert used for creating TPM certs

We are currently missing the Authority Key Id in the certificate used for
creating the EK cert. To get this, we create a root CA for our local CA
and use that root CA to sign the local CA's certificate. Our local
CA is now an intermediate CA and the Authority Key Id can now be copied
into the EK cert.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: log output of tool creating cert

Log the output of the tool that is creating the certificate and
prefix every line with the name of the tool.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: run exec in a subshell when suppressing errors

To not loose stderr we have to run the exec command in a subshell
and suppress the output of the subshell otherwise the exec command
seems to close stderr on us.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: Add Subject Directory Attributes to EK cert

Create the TPMSpecification SEQUENCE and add it to the subject
directory attributes of an EK cert.

The code generates the same ASN.1 for the Subject Directory Attributes
as the example in the EK spec has.

> openssl asn1parse -in ${cert} -strparse 603
    0:d=0  hl=2 l=  30 cons: SEQUENCE
    2:d=1  hl=2 l=  28 cons: SEQUENCE
    4:d=2  hl=2 l=   5 prim: OBJECT            :2.23.133.2.16
   11:d=2  hl=2 l=  19 cons: SET
   13:d=3  hl=2 l=  17 cons: SEQUENCE
   15:d=4  hl=2 l=   3 prim: UTF8STRING        :1.2
   20:d=4  hl=2 l=   4 prim: INTEGER           :41010000
   26:d=4  hl=2 l=   4 prim: INTEGER           :7B000000

Extend existing test case so they create the ASN.1 as well.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: cleanup whitespace errors

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: factor out encode_asn1 function

Move common code into encode_asn1 function.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

samples: Use the --add-header option for TPM 1.2

Use the --add-header option when writing a cert for a TPM 1.2

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: Implement --add-header option for adding TPM 1.2 NVRAM header

TPM 1.2 certificates need a header when written to NVRAM. This patch
adds a --add-header option for this and prepends the header to.
Also see TCG PC Specific Inmplementation Specification section 7.4.4 and
7.4.5.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Implement mode parameter for --tpmstate option

Implement a mode parameter for the tpmstate option so that the user
can choose what the file mode bits of the TPM's state files will be.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

rpm build: Update SELinux policy files for swtpm and swtpm_cuse

swtpm use swtpm.pp and swtpm_svirt.pp. swtpm_cuse only uses
swtpm_cuse.pp now.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

selinux: replace swtpmcuse_svirt with swtpm_svirt

Replace the previously used swtpmcuse_svirt type of policy with
swtpm_svirt. This policy contains the minimum set of rules necessary
to start swtpm from within libvirt.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_setup: allow passing of uid numbers for user Ids.

Try to parse a userid as an integer first and only if that fails,
interpret it as a name.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: allow passing of uid numbers for user Ids.

Try to parse a userid as an integer first and only if that fails,
interpret it as a name.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Also remove pidfile at end if fd was passed

Address the issue that the pidfile needs to be removed at the end if
a file descriptor was passed in. So we have to look up the file
given the file descriptor and by using /proc/self/fd/.
We also want to make sure that the given file descriptor describes
a regular file.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Allow file desciptor passing for pid file

Allow the passing of a file descriptor where the PID file will
be written into.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

selinux: update policy for swtpm to support libvirt integration

Update the SELinux for swtpm so that swtpm can be launched from
libvirtd and QEMU can access swtpm's UnixIO socket and talk to it.

Use this as follows:

> cd src/selinux
> make clean all
> semodule -i *.pp
> restorecon /usr/bin/swtpm*

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Add 'uid' and 'gid' parameter to set UnxiIO file ownership

Implement support for uid and gid parameters that allows us to set the file
ownership of a UnixIO socket.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Add 'mode' parameter to allow setting UnixIO path file mode bits

Implement support for a mode parameter that allows us to set the file
mode bits on a UnixIO socket.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: test fails earlier now that blobs are validated

Loading an invalid state blobs now fails ealier since libtpms is
called to check whether it can accept the blob.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

Register libtpms callbacks a lot earlier

Create tpmlib_register_callbacks and call it to register the
libtpms callbacks a lot earlier. Before it was done in tpmlib_start,
which was invoked by CMD_INIT, which was after state blobs could
have been set already.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

travis: checkout tpm2-preview.rev146.v2 branch of libtpms

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: add hex numbers to CMD_* enums

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Fix memory leak in ctrlchannel related to sockpath

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: fix memory leaks when getting or setting state

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Also check the state blob in the CUSE TPM

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Validate state blobs after setting them

Validate the state blobs after they have been set (during
state migration) so that we can fall back to the migration
source in case they are not accepted by the TPM.

This patch requires the latest version of libtpms 0.6
from the master branch.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Fix SWTPM_EXEC to be SWTPM_EXE

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

debian: Remove runtime dependency on expect tool

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

rpm: Remove runtime dependency on expect tool

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: avoid using expect tool whenever possible

Avoid using the expect tool as much as possible. Use it only if
the user requested a special owner and/or SRK password.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: Strictly use passwords as specified by user

Use the passwords as specified by the user also when only temporarily
taking ownership. Use the zero password in case nothing has been
provided by the user. This is a first step to loosen the dependency
on expect, which pulls in too many dependencies.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build: add missing load_vtpm_proxy file for 'make dist'

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: loop in case poll sets errno EINTR

In case the poll() is interrupted by a signal handler and we
get EINTR, we loop again assuming that the signal handler will
send us a notification to end.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: close client file descriptor if POLLERR is indicated

POLLERR is indicated in some error cases when using the chardev with the
vtpm_proxy with runc. In case the flag is set, we terminate the client
connection rather than endlessly looping.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Refuse to accept passed file descriptors < 3

File descriptors 0, 1, and 2, when used for file descriptor passing,
as is the case in some older version of runc/docker-ce (17.06), do
not work. So we refuse accepting these values and log the error message.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: reformat tpm_ioctl.h to also fit QEMU

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

debian: add a few more files to the tools package

Add a few more config files and the swtpm-localca tool to the
tools package.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

treewide: remove executable bit from config files and c-code

Signed-off-by: Marc Kleine-Budde <mkl@pengutronix.de>

swtpm_setup: fix typo in help screen

--no-overwrite -> --not-overwrite

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: Sign cert using SHA256

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

samples: pass --subject to swtpm_cert since certtool needs a subject

Certtool seems to not verify a certificate chain properly unless
the certificate has a distinguished name.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: Only pass through vmid parameter if it was set

Only pass through the vmid parameter to the tool creating the cert
if this parameter was set. The tool creating the cert may require
it or ignore it and is supposed to be able to track certificates
for which it minted certs using this parameter.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

samples: error if swtpm-localca gets an unsupported option passed

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: Fix broken certificate verification

The certificate chain could not be verified due to a wrong
API call for getting the authority key id where the key id
was gotten instead.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Also TPM 1.2 a valid buffer size range

Adapt the test case to check whether the TPM accepted the 4000 byte
buffer size.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: reformat iovec and initialize input variable with zeros

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: check for invalid file descriptor (< 0)

Check for an invalid file descriptor in SWTPM_IO_Read before accessing
it.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_bios: only copy the size of the source string + 1 byte

Determine the size of the unix_path parameter and then only copy
those number of bytes + terminating null into the destination.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: only copy the size of the source string + 1 byte

Determine the size of the unix_path parameter and then only copy
those number of bytes + terminating null into the destination.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: check for filename and input NULL pointers

Check whether filename and input pointers are NULL pointers.
Per previous code this is currently not possibly but should
resolve some issues with Coverity.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: in get_blobtype() check for blobtype NULL pointer

Check whether the passed blobtype is a NULL pointer

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_bios: Coverity: use void * for the command

Use void * for the command rather than tpm_header *, which we do
not need. This addresses a few Coverity complaints.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Remove usage of TPMVersion enum

To allow it to compile with libtpms's master, remove the usage of
TPMLIB_TPMVersion type.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: explicitly check for numbytes < 0

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Do not pass a negative file descriptor

Do not a pass a negative file descriptor to getsockopt(). This fixes
a Coverity issue.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Extend encrypted state test to check for unmodified state

Extend the encrypted state test with a test case using a wrong key
for decrypting the state and make sure that the init fails and the
state files remain unmodified.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: print error message in case setting state blob fails

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: log when the decryption of a state blob fails

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: log when the decryption of the NVRAM file fails

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build: add missing EXTRA_DIST files

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: extend INIT test with case where state file is inaccessible

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Add truncate parameter for --log option

Enable the resetting of the log using a truncate parameter for the
--log option.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: always set the logging file descriptor on libtpms

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Also log the control channel exchanges

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: also log control channel commands

swtpm: Log an error if data encryption failed

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Remove file if errors occured writing it

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Move debugging output into own function

Move some of the debugging output into its own function and
differentiate output by TPM Version number.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: Add options to overwrite or not overwrite TPM state

Add options --overwrite and --not-overwrite to allow or prevent
overwriting of existing TPM state. If neiter of the options is
given and existing state is found, an error is returned.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: remove debug include file

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Implemented support for PTM_SET_BUFFERSIZE command

Implement a command for setting and querying the buffer size the
TPM implementation (libtpms) is using. The setting of the
buffersize allows to reduce the size of the buffer to a size
that the interface can support so that these two sizes match
and the TPM will not produce larger responses than what the
interface can support.

Extend swtpm_ioctl with an option to set the buffersize.

Adapt the existing tests to reflect the newly supported command.
Implement a new test for getting/setting of the buffer size.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: fix segfault introduced in aa3999

Changeset aa3999 introduced a segfault when calling
ctrlchannel_set_client_fd() with a NULL pointer. Like all the other
functions, we return with -1 in this case.

Since the segfault occurred on process shutdown no problems were
noticeable through bad test results or so.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Install SIGPIPE signal handler to ignore signal

Install a SIGPIPE signal handler to ignore the signal from trying
to write to a broken pipe.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: Fix a couple of typos

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: implement missing wait_file_gone function

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: replace plain sleep with wait for PID file to be gone

Replace the short sleeps with waits for the PID file to be gone.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: increase socat timeout for slow machines

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Wait for previous socket or device to have disappeared

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: clean up server and ctrlchannel at the end

Introduce another parameter to ctrlchannel_new and server_new
to pass the Unix socket's path. Implement ctrlchannel_free and
server_free to clean up and remove the Unix socket's path.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Implement ctrlchannel_set_client_fd()

Implement ctrlchannel_set_client_fd() to set a new client
fd and return its current value.

Use this new function to set the file descriptor to -1 upon
closing its associate file descriptor in the main loop.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Implement server_set_fd()

Implement server_set_fd() function to get the current file descriptor
and set a new one on the server structure.

Use this function to transfer the server file descriptor from the
server structure to the mainloop structure and have the main loop
close the file descriptor.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: Display error in case of read() returns < 0

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Wait for swtpm to open socket or chardev

Rather than waiting for some time poll for the swtpm to either
open a socket or chardev.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Fix filename used for volatilestate

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build: fix linker SEARCH_DIR extraction for OpenBSD and Cygwin

Signed-off-by: Stefan Berger <stefanb@linx.vnet.ibm.com>

swtpm: Fix header inclusion for OpenBSD

Signed-off-by: Stefan Berger <stefanb@linx.vnet.ibm.com>