Handle empty argv

Add -std=c99 to Makefile

Remove unused include

Fix compatibility with GNU make

In my attempts to make it compatible with bmake, I made it
incompatible with gmake.

Convert Makefile to being POSIX compatible

Cleanup comment in insults.c

Cleanup configure script

Update README

Remove PAM authentication option

I don't use it and don't want the potential security risk of having it
there

Add insult option to doas.conf

Change the way insults are enabled

Now they are configured entirely with the configure script.

Will be working on a config file option as well.

Fix configuration

Remove extra include

Update LICENSE and README

Add basic insult capability

fix some wording in README.md

fixed typo in README.md

Closes: #54 [via git-merge-pr]

Replace build/installation instructions with discouragements

remove pam.d configuration files

pam configuration files are not portable, its the job of the
package maintainer or user who builds opendoas themselves to
configure pam in a safe and usable way.

apply missing man page changes

espie reminds me that EOF can happen for errors as well, so check for that
happening and print a message.

Promote nrules/maxrules to size_t and make sure they can't overflow. reallocarray(3) will fail if nmemb * size would overflow. OK tb@ martijn@

s/authorization/authentication/g

OK kn@ tedu@

Be more explicit by stating that the -n flag is linked to the nopass option in doas.conf instead of a generic "would prompt for password", which could lead people into believing that persist could work with this option.

OK tedu@
Feedback and OK kn@

correctly reset path for rules without specific command

This is a fixup for commit 01c658f8c45cb92a343be5f32aa6da70b2032168
where the behaviour was changed to not inherit the PATH variable
by default.

after reading a too long line, restart at the beginning of the buffer so
we don't keep writing past the end. (the perils of trying to recover from
parse errors.)
noticed by Jan Schreiber

increment the line number after the line continuation; ok tedu

remove unused pam.d file

pam: use PAM_REINITIALIZE_CRED

Both work fine, PAM_REINITIALIZE_CRED is the more correct
choice and is required on Solaris, see sudo bug #642;

https://bugzilla.sudo.ws/show_bug.cgi?id=642

configure: respect environment and make CFLAGS

pam.d: include system-auth for auth, account and session

configure: use LDLIBS instead of setting LDFLAGS

configure: fix verrc check

configure: add setresgid, setreuid and setregid checks

configure: add freebsd support

add pam.d file for MacOSX

use wheel group on MacOSX

configure: don't set --no-as-needed on MacOSX while running checks

libopenbsd/closefrom.h: include path.h for _PATH_DEV on MacOSX

add back execvpe fallback

simplify makefile

configure: define CURDIR for all targets

fix portability issues with configure script

link libutil for setusercontext on NetBSD

set _OPENBSD_SOURCE on NetBSD

pam.c: free rsp in case of failure

pam.c: remove dead assignment

remove includes.h and move the prototypes to doas.h

libopenbsd: clean up readpassphrase compat and fix ifdefs

use config.h and link objects instead of libopenbsd.a

opendoas: Fallback for setresuid(2).

This approach borrows from openssh-portable. The bsd-setres_id.c
is adapted with openssh-portable specific bits (log.h inclusion
and error() function) removed.

Closes: #40 [via git-merge-pr]

move HOST_NAME_MAX to the top and add it to shadow.c

check for login_cap.h and use setusercontext if available

fix SEE ALSO;

Add nolog option to avoid syslog(3)

doas(1) unconditionally logs all executions but syslog.conf(5) provides no
means to filter messages by user, target or command.

Add the "nolog" option to doas.conf(5) such that syslog becomes an opt-out
feature;  this keeps configuration simple enough yet powerful since rule
definition is the best place to decide whether to log commands or not on a
per rule basis - this also aoids duplicating information or logic in any
other log processing tool.

OK tedu martijn

Improve error message on missing permission

In case "cmd" (and "args") in doas.conf(5) mismatch, the log syslog(3)
message might be read as if the command was executed but failed, i.e.
returned non-zero.

Be unambiguous and help admins spot execution *attempts* as such:

-Oct  9 01:05:20 eru doas: failed command for kn: echo bar
+Oct  9 01:05:20 eru doas: command not permitted for kn: echo bar

OK tedu deraadt

list example files in FILES with a short description: generally, "Example configuration file.", but occasionally something else fit better; at the same time, try to make the format for FILES more consistent;

original diff from clematis

briefly mention /etc/examples/ in the FILES section of all the manual pages that document the corresponding configuration files; OK jmc@, and general direction discussed with many

Fallback definition for HOST_NAME_MAX.

On some platforms(NetBSD) where HOST_NAME_MAX is not defined,
provide a fallback definition to _POSIX_HOST_NAME_MAX.

Honor --sysconfdir option for doas.conf path.

Some distributions may choose to place configuration files in a different
directory than /etc. The configure script provides --sysconfdir
option already, use it to find doas.conf path instead of hardcoding
'/etc/doas.conf'.

timestamp.c: remove warning for normal case

timestamp.c: check fstat(2) instead of separate stat(2)

timestamp.c: correctly NUL terminate buffer read from /proc/pid/stat

This solves buf #28.

timestamp.c: add some more error/warning messages

This might help to identify bugs/misbehaving systems
or attempts to mess with timestamp files.

timestamp.c: already return on 22th field of /proc/ppid/stat

this is the last field we are interested in and if we didn't reach it,
return an error.

doas.c: initialize mygetpwuid_r result

This can't happen really happen, but makes scan-build happy.

libopenbsd: define __dead as noreturn

Change binary permissions to 4755. Closes #26

The owner can be trusted to read and write their own files, and
there's no reason not to let others read the file.

configure: remove version

doas.c: remove dead ifdefs to unclutter code

timestamp: simplify

configure: make {UID,GID}_MAX configurable

add some checks to avoid UID_MAX (-1) here. this is not problematic with the current code, but it's probably safer this way. ok deraadt

correct some unveil(2) violations due to "login.conf.db" access (the .db version of "login.conf"), and stat(2) on _PATH_MASTERPASSWD_LOCK (via pw_mkdb(3)).

problem initially noted by myself for passwd(1)
millert@ reported similar problem on chpass(1), su(1), doas(1) and encrypt(1)
mestre@ noted chpass(1) too

ok mestre@ millert@

fixup unveil

fix one last edge case regarding PATH, allows simpler config.

note that authentication is required, unless otherwise configured. ok sthen

snprintf/vsnprintf return < 0 on error, rather than -1.

fix some more fallout from setting path in setusercontext. restore previous behavior of using user PATH if no cmd restriction in the rule. run into by espie

add an example hint that shows how original path can be retained

tweak wording a bit. always talk about creating a new environment. also document DOAS_USER. ok deraadt jmc

more precisely describe what happens to the environment without keepenv; OK tedu@

mention that doas(1) resets the umask(2); OK tedu@

setusercontext resets PATH (which we want). but then it becomes impossible to access the old PATH. save a copy in case we need it later. bug report from espie.

mention environment resetting here as well. ok millert

always reset the "su" variables, which is more consistent and predictable. ok martijn millert

redo the environment inheritance to not inherit. it was intended to make life easier, but it can be surprising or even unsafe. instead, reset just about everything to the target user's values. ok deraadt martijn Thanks to Sander Bos in particular for pointing out some nasty edge cases.

a few cleanups and simplifications possible now that static pw is gone. noted by martijn. ok martijn.

use getpwuid_r to avoid problems with hidden static storage. ok deraadt lteo martijn

libopenbsd/closefrom.c: remove config.h include

README.md: update the readme to match the current state

libopenbsd: remove MacOSX compat functions, its not supported anyways

libopenbsd/closefrom.c: sync with sudo

timestamp: error out if fstat and lstat st_ino and st_dev are not the same

pam: close timestamp fd in both both processes

shadow: clear phassphrase earlier

Add generated file parse.c to .gitignore and 'make clean'

Closes: #24 [via git-merge-pr]

configure: list --with-timestamp in help, since without is default

shadow: clear the password even after a mismatch

clear the password even after a mismatch