home *** CD-ROM | disk | FTP | other *** search
/ CD Actual 25 / CDROM25.iso / Share / linux / apache / contrib / patches / 1.2 / authMAC.patch next >
Encoding:
Internet Message Format  |  1998-06-11  |  4.9 KB
  1. From: John Holden <johnh@psych.usyd.edu.au>
  2. Date: 20 Apr 1998 01:03:49 -0000
  3. Purpose: Enhanced security - Checking IP/hardware address aginst ARP entry in kernel
  4.  
  5. I wanted to
  6. provide a tighter security model for local machines, I have enhanced the
  7. mod_access.c to allow a new entry in .htaccess as follows:-
  8.  
  9.     "only from ip_address MAC_address"
  10.  
  11. The 'only' is similar to 'allow' but will only accept a numeric IP address followed
  12. by the hardware MAC address. This is checked against the ARP entry from the kernel
  13. tables to see if the IP address is valid for the machine. This will not stop
  14. a determined person who could fake the MAC address on their machine. I considered
  15. changing the 'allow' syntax, but it started looking ugly.
  16.  
  17. *** OLDmod_access.c     Fri Apr 17 13:08:45 1998
  18. --- mod_access.c        Mon Apr 20 09:49:47 1998
  19. ***************
  20. *** 63,68 ****
  21. --- 63,77 ----
  22.   #include "http_log.h"
  23.   #include "http_request.h"
  24.   
  25. + #include <sys/file.h>
  26. + #include <sys/socket.h>
  27. + #include <sys/ioctl.h>
  29. + #include <netdb.h>
  30. + #include <netinet/in.h>
  31. + #include <net/if.h>
  32. + #include <netinet/if_ether.h>
  34.   typedef struct {
  35.       char *from;
  36.       int limited;
  37. ***************
  38. *** 125,130 ****
  39. --- 134,159 ----
  40.       return NULL;
  41.   }
  42.   
  43. + const char *only_cmd (cmd_parms *cmd, void *dv, char *from, char *ip, char *mac)
  44. + {
  45. +       access_dir_conf *d = (access_dir_conf *)dv;
  46. +       allowdeny *a;
  47. +       char *proto;
  49. +       if (strcasecmp (from, "from"))
  50. +               return "'only' must be followed by 'from'";
  51. +       if (!is_ip(ip))
  52. +               return "'only' must have numeric IP address";
  53. +       if (!is_hex(mac))
  54. +               return "'only' must have hex MAC address";
  55. +       a = (allowdeny *)push_array (d->allows);
  56. +       proto = palloc(cmd->pool, strlen(ip) + strlen(mac) + 2);
  57. +       sprintf(proto, "%s@%s", ip, mac);
  58. +       a->from = proto;
  59. +       a->limited = cmd->limited;
  60. +       return NULL;
  61. + }
  63.   static char its_an_allow;
  64.   
  65.   command_rec access_cmds[] = {
  66. ***************
  67. *** 132,137 ****
  68. --- 161,168 ----
  69.       "'allow,deny', 'deny,allow', or 'mutual-failure'" },
  70.   { "allow", allow_cmd, &its_an_allow, OR_LIMIT, ITERATE2,
  71.       "'from' followed by hostnames or IP-address wildcards" },
  72. + { "only", only_cmd, NULL, OR_LIMIT, TAKE3,
  73. +     "'only' followed by IP-address and MAC address" },
  74.   { "deny", allow_cmd, NULL, OR_LIMIT, ITERATE2,
  75.       "'from' followed by hostnames or IP-address wildcards" },
  76.   {NULL}
  77. ***************
  78. *** 174,179 ****  }
  79.   
  80. + static int is_hex(const char *hex)
  81. + {
  82. +     while (isxdigit(*hex))
  83. +         hex++;
  84. +     return (*hex == '\0');
  85. + }
  87. + static int is_ip_mac(const char *addr)
  88. + {
  89. +       while((*addr == '.') || isdigit(*addr))
  90. +               addr++;
  91. +       if(*addr++ != '@')
  92. +               return 0;
  93. +       return is_hex(addr);
  94. + }
  96. + static int match_ip_mac(const char *proto, const char *ipaddr)
  97. + {
  98. +       struct hostent *hp;
  99. +       struct sockaddr_in *sin;
  100. +       struct arpreq ar;
  101. +       unsigned char *ptr;
  102. +       char *p;
  103. +       static char addr[32];
  104. +       static char arp[32];
  105. +       int s, err;
  106. + /*
  107. + **    extract ip address from proto and test for exact match
  108. + */
  109. +       strncpy(addr, proto, sizeof addr);
  110. +       if((p = strchr(addr, '@')) == NULL)
  111. +               return 0;
  112. +       *p++ = '\0';                    /* truncate string */
  113. +       if(strcmp(addr, ipaddr))
  114. +               return 0;
  115. + /*
  116. + **    setup buffer
  117. + */
  118. +       bzero((caddr_t)&ar, sizeof ar);
  119. +       ar.arp_pa.sa_family = AF_INET;
  120. +       sin = (struct sockaddr_in *)&ar.arp_pa;
  121. +       sin->sin_family = AF_INET;
  122. + /*
  123. + **    convert address to binary
  124. + */
  125. +       if((sin->sin_addr.s_addr = inet_addr(addr)) == -1)
  126. +               return 0;
  127. + /*
  128. + **    get a socket and then collect ARP entry
  129. + */
  130. +       if((s = socket(AF_INET, SOCK_DGRAM, 0)) < 0)
  131. +               return 0;
  132. +       err = ioctl(s, SIOCGARP, (caddr_t)&ar);
  133. +       close(s);
  134. +       if(err < 0)
  135. +               return 0;
  136. + /*
  137. + **    we may have an address. Is it complete ?
  138. + */
  139. +       if (!(ar.arp_flags & ATF_COM))
  140. +               return 0;
  141. + /*
  142. + **    convert to hex string
  143. + */
  144. +       ptr = (unsigned char *)ar.arp_ha.sa_data;
  145. +       sprintf(arp, "%02x%02x%02x%02x%02x%02x",
  146. +               ptr[0], ptr[1], ptr[2], ptr[3], ptr[4], ptr[5]);
  147. + /*
  148. + **    try for MAC address match
  149. + */
  150. +       return (strcasecmp(p, arp) == 0);
  151. + }
  153.   int find_allowdeny (request_rec *r, array_header *a, int method)
  154.   {
  155.       allowdeny *ap = (allowdeny *)a->elts;
  156. ***************
  157. *** 212,217 ****
  158. --- 316,331 ----
  159.                 gothost = 1;
  160.             else
  161.                 gothost = 2;
  162. +       }
  164. +       if(is_ip_mac(ap[i].from))
  165. +       {
  166. +               if(gothost == 1)
  167. +               {
  168. +                       if(match_ip_mac(ap[i].from, r->connection->remote_ip));
  169. +                               return 1;
  170. +               }
  171. +               continue;
  172.         }
  173.   
  174.           if ((gothost == 2) && in_domain(ap[i].from, remotehost))
  175.  
  176. --- 205,283 ----
  177.       return (*host == '\0');
  178.