timestamp.c: remove warning for normal case

timestamp.c: check fstat(2) instead of separate stat(2)

timestamp.c: correctly NUL terminate buffer read from /proc/pid/stat

This solves buf #28.

timestamp.c: add some more error/warning messages

This might help to identify bugs/misbehaving systems
or attempts to mess with timestamp files.

timestamp.c: already return on 22th field of /proc/ppid/stat

this is the last field we are interested in and if we didn't reach it,
return an error.

doas.c: initialize mygetpwuid_r result

This can't happen really happen, but makes scan-build happy.

libopenbsd: define __dead as noreturn

Change binary permissions to 4755. Closes #26

The owner can be trusted to read and write their own files, and
there's no reason not to let others read the file.

configure: remove version

doas.c: remove dead ifdefs to unclutter code

timestamp: simplify

configure: make {UID,GID}_MAX configurable

add some checks to avoid UID_MAX (-1) here. this is not problematic with the current code, but it's probably safer this way. ok deraadt

correct some unveil(2) violations due to "login.conf.db" access (the .db version of "login.conf"), and stat(2) on _PATH_MASTERPASSWD_LOCK (via pw_mkdb(3)).

problem initially noted by myself for passwd(1)
millert@ reported similar problem on chpass(1), su(1), doas(1) and encrypt(1)
mestre@ noted chpass(1) too

ok mestre@ millert@

fixup unveil

fix one last edge case regarding PATH, allows simpler config.

note that authentication is required, unless otherwise configured. ok sthen

snprintf/vsnprintf return < 0 on error, rather than -1.

fix some more fallout from setting path in setusercontext. restore previous behavior of using user PATH if no cmd restriction in the rule. run into by espie

add an example hint that shows how original path can be retained

tweak wording a bit. always talk about creating a new environment. also document DOAS_USER. ok deraadt jmc

more precisely describe what happens to the environment without keepenv; OK tedu@

mention that doas(1) resets the umask(2); OK tedu@

setusercontext resets PATH (which we want). but then it becomes impossible to access the old PATH. save a copy in case we need it later. bug report from espie.

mention environment resetting here as well. ok millert

always reset the "su" variables, which is more consistent and predictable. ok martijn millert

redo the environment inheritance to not inherit. it was intended to make life easier, but it can be surprising or even unsafe. instead, reset just about everything to the target user's values. ok deraadt martijn Thanks to Sander Bos in particular for pointing out some nasty edge cases.

a few cleanups and simplifications possible now that static pw is gone. noted by martijn. ok martijn.

use getpwuid_r to avoid problems with hidden static storage. ok deraadt lteo martijn

libopenbsd/closefrom.c: remove config.h include

README.md: update the readme to match the current state

libopenbsd: remove MacOSX compat functions, its not supported anyways

libopenbsd/closefrom.c: sync with sudo

timestamp: error out if fstat and lstat st_ino and st_dev are not the same

pam: close timestamp fd in both both processes

shadow: clear phassphrase earlier

Add generated file parse.c to .gitignore and 'make clean'

Closes: #24 [via git-merge-pr]

configure: list --with-timestamp in help, since without is default

shadow: clear the password even after a mismatch

clear the password even after a mismatch

Do for most running out of memory err() what was done for most running out of memory log_warn(). i.e. ("%s", __func__) instead of manual function names and redundant verbiage about which wrapper detected the out of memory condition.

ok henning@

pam: add timestamp support

timestamp: rename and simplify

libopenbsd: minor cleanup

doas: remove unnecessary configure checks, move shadow to its own file

doas: remove v flag, not neccessary, upstream doesn't have it and __DATE__ is bad for reproducible builds

libopenbsd/closefrom: correctly handle snprintf truncation

libopenbsd/readpassphrase: update to latest version from openssh-portable

adjust yyerror() to precede with "progname: " the error message string
OK tedu@ phessler@

doas.c: put login_style in ifdef to compile on Linux

Closes: #23 [via git-merge-pr]

lowercase doas ee cummings style

not necessarily the same name, but the indicated name

pam: check watch child pid

persist_timestamp: add start time and document implementation details

persist_timestamp: move timespec macros to libopenbsd

persist_timestamp: create timestamp file with O_NOFOLLOW and don't leak the name

persist_timestamp: remove goto from persist_open

persist_timestamp: persist_check was only used internally, make it static

persist_timestamp: use open directory fd to check and work with timestamp files

persist_timestamp: add session id to timestamps

persist_timestamp: make tmpfs requirement optional and only available on linux

persist_timestamp: use CLOCK_MONOTONIC_RAW

persist_timestamp: don't allow og+rwx permission for timestamp directory

persist_timestamp: cleanup

persist_timestamp: use /proc/self/stat to get tty_nr

add initial timestamp file support, disabled by default and only with shadow auth

configure: update version

configure: fix usage

man pages with pseudo synopses which list filenames end up creating very ugly output in man -k; after some discussion with ingo, we feel the simplest fix is to remove such SYNOPSIS sections: the info is hardly helpful at page top, is contained already in FILES, and there are sufficiently few that just zapping them is simple;

ok schwarze, who also helpfully ran things through a build to check
output;

no need to generate y.tab.h if nothing uses it, set YFLAGS to nothing instead of CLEANFILES += y.tab.h

okay millert@

for password failure, print Authorization failed instead of EPERM. will make things less confusing with commands rejected by config file.

a little const here and there to prevent rules from changing

prepenv can take a const rule

simplify example. list of ports variables was non-exahustive, which means what exactly? there should be a better place for such lists.

add a geteuid check to make sure we're root before plowing into setauth. spare some debugging effort in case doas is not installed setuid.

envlist and arglist are both string lists; simplify ok benno

it has been six months and two days... remove keepenv { obsolete } syntax

Be more explicit about the "args" syntax. In part from a patch from Anton dot Lindqvist at gmail dot com. OK tedu@

missing semicolon at end of rule. yacc doesn't seem to mind, though. from Edakawa

Add back the call to yyparse() that was accidentally dropped in the previous commit. Fortunately, doas fails closed...

ok tedu

move yyparse decl next to yyfp

as a result of the env rework, arraylen() is only used in parse.y. move it there and make it static.

use static in the right places to seperate modules better ok tedu

-L means no command

don't allow combining nopass and persist in a single rule

the sudo timeout was 5 minutes i believe, so we'll match that.

clarify that -L will exit without running a command.

add support for the verified auth ioctls using 'persist' rules. ok deraadt henning

unconst these parameters; i won't be changing bsd auth today.

move the authentication code to a function

bump version to v6.0

Add closefrom(2) from openssh-portable

Print -a flag in usage() only if HAVE_BSD_AUTH_H

Closes: #11 [via git-merge-pr]

minor configure tweaks

configure: error out if no authentication found and fix default CC

The string with path to shell could be taken directly from struct passwd. At some point later the data it points to is overridden by getpwuid() call, resulting in garbage. The problem could be easily demonstreated by double doas call:

  $ doas doas -su _sndio
  doas: mpty: command not found

The fix is easy: just strdup() the pw_shell field value.

okay tedu@, tweaks from & okay natano@

add "recvfd" to doas(1) for use with skey.

ok tb@ deraadt@

use posix correct optstring

minor tweaks

minor tweaks; ok tedu