home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / x / volume3 / secure / part01 next >
Encoding:
Text File  |  1989-05-04  |  8.7 KB  |  337 lines
  1. Path: uunet!island!argv
  2. From: argv@island.uu.net (Dan Heller)
  3. Newsgroups: comp.sources.x
  4. Subject: v03i100:  patches/additions to provide extra security in X, Part01/01
  5. Message-ID: <734@island.uu.net>
  6. Date: 3 May 89 18:00:30 GMT
  7. Organization: Island Graphics, Marin County, California
  8. Lines: 326
  9. Approved: island!argv@sun.com
  10.  
  11. Submitted-by: Mike Rowan <mtr@mentor.cc.purdue.edu>
  12. Posting-number: Volume 3, Issue 100
  13. Archive-name: secure/part01
  14.  
  15. [ I didn't apply the patch or test this stuff, sorry.  I did read the README
  16.   and it seems like a great idea.  --argv ]
  17.  
  18. #!/bin/sh
  19. # shar:    Shell Archiver
  20. #    Run the following text with /bin/sh to create:
  21. #    AUTHOR
  22. #    Patch.authorize
  23. #    README
  24. #    XAuthorize.c
  25. # This archive created: Wed May  3 11:17:57 1989
  26. # By:    Michael Rowan (Unix Groupie)
  27. cat << \SHAR_EOF > AUTHOR
  28. Mike Rowan, mtr@mentor.cc.purdue.edu
  29. Unix Group Systems Programmer
  30. Purdue University Computing Center
  31. SHAR_EOF
  32. cat << \SHAR_EOF > Patch.authorize
  33. *** /tmp/,RCSt1024408    Tue May  2 21:46:41 1989
  34. --- ./lib/X/XConnDis.c    Thu Jan 12 15:59:19 1989
  35. ***************
  36. *** 406,411 ****
  37. --- 406,414 ----
  38.   
  39.           int bytes=0;
  40.   
  41. + #ifdef PUCC
  42. +     _XAuthorizeClient(&auth_proto, &auth_string);
  43. + #endif
  44.           auth_length = strlen(auth_proto);
  45.           auth_strlen = strlen(auth_string);
  46.           client->nbytesAuthProto = auth_length;
  47. *** /tmp/,RCSt1024461    Tue May  2 21:47:56 1989
  48. --- server/os/4.2bsd/connection.c    Thu Jan 12 22:07:20 1989
  49. ***************
  50. *** 122,127 ****
  51. --- 122,131 ----
  52.   
  53.   extern ConnectionInput inputBuffers[];
  54.   
  55. + #ifdef PUCC
  56. + extern char    *ServerReadAuthString;
  57. + #endif /* PUCC */
  59.   int swappedClients[MAXSOCKS];
  60.   
  61.   extern int AutoResetServer();
  62. ***************
  63. *** 505,510 ****
  64. --- 509,532 ----
  65.   #undef STR
  66.       }
  67.       auth_string[slen] = '\0';
  69. + #ifdef PUCC
  70. +     /*
  71. +      * Check the password sent in auth_string 
  72. +       */
  73. +     if(ServerReadAuthString != NULL && strcmp(auth_string, ServerReadAuthString)) {
  74. + #define STR "Invalid Authorization Code (PUCC localism)"
  75. +         static int iNumberOfRejects = 0;
  77. +         *reason = (char *) xalloc(sizeof(STR));
  78. +         strcpy(*reason, STR);
  79. +         if(iNumberOfRejects++ >= 3) {
  80. +             fprintf(stderr,"XAUTH: 3 denied requests.\n");
  81. +         }
  82. +         return 0;
  83. + #undef STR
  84. +     }
  85. + #endif /* PUCC */
  86.   
  87.       /* At this point, if the client is authorized to change the access control
  88.        * list, we should getpeername() information, and add the client to
  89. *** /tmp/,RCSt1024466    Tue May  2 21:48:19 1989
  90. --- server/os/4.2bsd/osinit.c    Thu Jan 19 20:43:34 1989
  91. ***************
  92. *** 44,49 ****
  93. --- 44,54 ----
  94.   int    havergb = 0;
  95.   extern char *display;
  96.   
  97. + #ifdef PUCC
  98. + char    *ServerReadAuthString;
  99. + int    ReadUsersAuthFile();
  100. + #endif /* PUCC */
  102.   OsInit()
  103.   {
  104.       static Bool been_here = FALSE;
  105. ***************
  106. *** 88,91 ****
  107. --- 93,178 ----
  108.           havergb = 1;
  109.           else
  110.           ErrorF( "Couldn't open RGB_DB '%s'\n", rgbPath );
  112. + #ifdef PUCC
  113. +     if(!ReadUsersAuthFile(&ServerReadAuthString)) {
  114. +         ServerReadAuthString = NULL;
  115. +     }
  116. + #endif /* PUCC */
  117.   }
  119. + #ifdef PUCC
  121. + #include <sys/stat.h>
  122. + #include <sys/file.h>
  124. + #define XENVAUTHFILE    "/.xauth"
  125. + #define OTHERANDGROUP    07777700
  126. + #define    MAXPASSWORDLEN    99
  129. + int
  130. + ReadUsersAuthFile(ppchAuthString)
  131. +     char    **ppchAuthString;
  132. + {
  133. +     char    *pchAuthFilename = NULL,
  134. +         *pchUsersHome = NULL,
  135. +         sbBuffer[MAXPASSWORDLEN + 1];
  136. +     extern  char     *getenv();
  137. +     static  char    *gethomedir();
  138. +     FILE    *pFauthfile;
  139. +     struct stat StatBuf;
  140. +     int    iFlaglocal = 0;
  142. +     if(NULL == (pchAuthFilename = getenv(XENVAUTHFILE))) {
  143. +         if(NULL == (pchUsersHome = getenv("HOME"))) {
  144. +             pchUsersHome = gethomedir();
  145. +         }
  146. +         pchAuthFilename = (char *)xalloc(strlen(pchUsersHome) + 
  147. +                     sizeof(XENVAUTHFILE) + 1);
  148. +         strcpy(pchAuthFilename, pchUsersHome);
  149. +         strcat(pchAuthFilename, XENVAUTHFILE);
  150. +     } else {
  151. +         iFlaglocal++;
  152. +     }
  153. +     if(-1 != access(pchAuthFilename, R_OK)) {
  154. +         if((FILE *) NULL == (pFauthfile = fopen(pchAuthFilename,"r"))) {
  155. +             return 0;
  156. +         }
  157. +         if(!fstat(fileno(pFauthfile), &StatBuf)) {
  158. +             if(((StatBuf.st_mode & S_IFMT) == S_IFLNK) || 
  159. +                     StatBuf.st_mode != 
  160. +                     (StatBuf.st_mode & OTHERANDGROUP)) {
  161. +                 fprintf(stderr,"XAuth: XAUTH file (%s) is publicly readable or is a symbolic link - authorizations turned off\n",pchAuthFilename);
  162. +                 (void) fclose(pFauthfile);
  163. +                 return 0;
  164. +             }
  165. +         } else {
  166. +             (void) fclose(pFauthfile);
  167. +             return 0;
  168. +         }
  169. +         if(NULL == fgets(sbBuffer, MAXPASSWORDLEN, pFauthfile)) {
  170. +             return 0;
  171. +         }
  172. +         (void) fclose(pFauthfile);
  173. +         *ppchAuthString = (char *) xalloc(strlen(sbBuffer) + 1);
  174. +         strcpy(*ppchAuthString, sbBuffer);
  175. +         return 1;
  176. +     }
  177. +     if(iFlaglocal) {
  178. +         fprintf(stderr,"XAuth: XAUTH file (%s) is not readable or does not exist!\n");
  179. +     }    
  180. +     return 0;
  181. + }
  183. + #include <pwd.h>
  185. + static char    *
  186. + gethomedir()
  187. + {
  188. +     struct passwd    *pwsLocal;
  190. +     pwsLocal = getpwuid(getuid());
  191. +     return pwsLocal->pw_dir;
  192. + }
  193. + #endif /* PUCC */
  194. *** /tmp/,RCSt1024491    Tue May  2 21:49:16 1989
  195. --- ./lib/X/Imakefile    Sun Apr  9 09:57:42 1989
  196. ***************
  197. *** 20,25 ****
  198. --- 20,26 ----
  199.       XAllCells.o \
  200.       XAllPlanes.o \
  201.       XAllowEv.o \
  202. +     XAuthorize.o \
  203.       XAutoRep.o \
  204.       XBackgnd.o \
  205.       XBdrWidth.o \
  206. SHAR_EOF
  207. cat << \SHAR_EOF > README
  208.  
  209. This is a simple addition to the X server and library to allow
  210. user level authentication.   The hooks were already there, I just
  211. added some pretty simplistic code - this all depends on the
  212. unix file system for security.  
  213.  
  214. You need to add a "-DPUCC" to your imake config files.  The
  215. XAuthorize.c file goes into ./lib/X, and there is a patch file
  216. rooted at $TOP.  
  217.  
  218. When the consortium comes out with its version of finer-than-host
  219. authentication - you can just undef PUCC from the imake files, and
  220. you are done.
  221.  
  222. ------
  223. Here is how it works:
  224.  
  225. checks either the file $HOME/.xauth or the filename contained in the
  226. $XAUTH enviorment variable.  If this file does not have its other and
  227. group modes set to 0 - the file is ignored and the user warned.
  228.  
  229. The server reads in the first line of this file and keeps it as a passwd.
  230.  
  231. Each client reads in the first line of this file and sends it in the 
  232. connecction request packet.  If it matches the servers version, the connection
  233. is ok'ed (as long as the other requirments like xhost stuff are meet)
  234.  
  235. The user needs to create a .xauth file (~/.xauth actually) and put a 
  236. password or some phrase in it via his favorite editor.  It can be up
  237. to 99 characters or so.  chmod it to something like 600 or 400.  then
  238. rdist it to all the hosts that he will run x applications on.  All done!
  239.  
  240. He can then run xhost + allowing all hosts to talk to him since we are running
  241. a user based password thingie.
  242.  
  243. If you make any improvments or fixes, send them to me please!
  244.  
  245. Mike Rowan
  246. mtr@mentor.cc.purdue.edu
  247. SHAR_EOF
  248. cat << \SHAR_EOF > XAuthorize.c
  249. #ifdef PUCC
  250.  
  251. #include <stdio.h>
  252. #include <X11/Xos.h>
  253. #include "Xlibint.h"
  254. #include <sys/stat.h>
  255.  
  256. #define XENVAUTHFILE    "XAUTH"
  257. #define XAUTHFILE    "/.xauth"
  258. #define OTHERANDGROUP    07777700
  259. #define    MAXPASSWORDLEN    99
  260.  
  261. int 
  262. _XAuthorizeClient (ppchAuthProto, ppchAuthString)
  263.     char     **ppchAuthProto;
  264.     char     **ppchAuthString;
  265. {
  266.     char    *pchAuthFilename = NULL,
  267.         *pchUsersHome = NULL,
  268.         sbBuffer[MAXPASSWORDLEN + 1];
  269.     extern  char     *getenv();
  270.     static  char    *gethomedir();
  271.     FILE    *pFauthfile;
  272.     struct stat    StatBuf;
  273.     int    iFlaglocal = 0;
  274.  
  275.     if(NULL == (pchAuthFilename = getenv(XENVAUTHFILE))) {
  276.         iFlaglocal++;
  277. #ifndef SYSV
  278.         if(NULL == (pchUsersHome = getenv("HOME"))) {
  279. #else /* SYSV */
  280.         if(NULL == (pchUsersHome = getenv("HOME"))) {
  281. #endif /* SYSV */
  282.             pchUsersHome = gethomedir();
  283.         }
  284.         pchAuthFilename = (char *)Xmalloc(strlen(pchUsersHome) + 
  285.                     sizeof(XAUTHFILE) + 1);
  286.         strcpy(pchAuthFilename, pchUsersHome);
  287.         strcat(pchAuthFilename, XAUTHFILE);
  288.     }
  289.     if(-1 != access(pchAuthFilename, R_OK)) {
  290.         if((FILE *) NULL == (pFauthfile = fopen(pchAuthFilename,"r"))) {
  291.             perror("fopen");
  292.             return 0;
  293.         }
  294.         if(!fstat(fileno(pFauthfile), &StatBuf)) {
  295.             if(((StatBuf.st_mode & S_IFMT) == S_IFLNK) || 
  296.                     StatBuf.st_mode != 
  297.                     (StatBuf.st_mode & OTHERANDGROUP)) {
  298.                 fprintf(stderr,"XAuth: XAUTH file (%s) is publicly readable or is a symbolic link - passwd ignored\n",pchAuthFilename);
  299.                 (void) fclose(pFauthfile);
  300.                 return 0;
  301.             }
  302.         } else {
  303.             perror("fstat:");
  304.             (void) fclose(pFauthfile);
  305.             return 0;
  306.         }
  307.         if(NULL == fgets(sbBuffer, MAXPASSWORDLEN, pFauthfile)) {
  308.             return 0;
  309.         }
  310.         (void) fclose(pFauthfile);
  311.         *ppchAuthString = (char *) Xmalloc(strlen(sbBuffer) + 1);
  312.         strcpy(*ppchAuthString, sbBuffer);
  313.         return 1;
  314.     }
  315.     /* now only bitch if he set his XAUTH enviroment var */
  316.     if(!iFlaglocal) {
  317.         fprintf(stderr,"XAuth: XAUTH file (%s) is not readable or does not exist!\n",pchAuthFilename);
  318.     }
  319.     return 0;
  320. }
  321.  
  322. #include <pwd.h> 
  323.  
  324. static char    *
  325. gethomedir()
  326. {
  327.     struct passwd    *pwsLocal;
  328.  
  329.     pwsLocal = getpwuid(getuid());
  330.     return pwsLocal->pw_dir;
  331. }
  332.  
  333. #endif PUCC
  334. SHAR_EOF
  335. #    End of shell archive
  336. exit 0
  337.