projects / platform / upstream / coreutils.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
(PROGRAM_NAME, AUTHORS): Define and use.
[platform/upstream/coreutils.git] / src / su.c
1 /* su for GNU.  Run a shell with substitute user and group IDs.
2    Copyright (C) 1992-1999 Free Software Foundation, Inc.
3
4    This program is free software; you can redistribute it and/or modify
5    it under the terms of the GNU General Public License as published by
6    the Free Software Foundation; either version 2, or (at your option)
7    any later version.
8
9    This program is distributed in the hope that it will be useful,
10    but WITHOUT ANY WARRANTY; without even the implied warranty of
11    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
12    GNU General Public License for more details.
13
14    You should have received a copy of the GNU General Public License
15    along with this program; if not, write to the Free Software Foundation,
16    Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.  */
17
18 /* Run a shell with the real and effective UID and GID and groups
19    of USER, default `root'.
20
21    The shell run is taken from USER's password entry, /bin/sh if
22    none is specified there.  If the account has a password, su
23    prompts for a password unless run by a user with real UID 0.
24
25    Does not change the current directory.
26    Sets `HOME' and `SHELL' from the password entry for USER, and if
27    USER is not root, sets `USER' and `LOGNAME' to USER.
28    The subshell is not a login shell.
29
30    If one or more ARGs are given, they are passed as additional
31    arguments to the subshell.
32
33    Does not handle /bin/sh or other shells specially
34    (setting argv[0] to "-su", passing -c only to certain shells, etc.).
35    I don't see the point in doing that, and it's ugly.
36
37    This program intentionally does not support a "wheel group" that
38    restricts who can su to UID 0 accounts.  RMS considers that to
39    be fascist.
40
41    Options:
42    -, -l, --login       Make the subshell a login shell.
43                         Unset all environment variables except
44                         TERM, HOME and SHELL (set as above), and USER
45                         and LOGNAME (set unconditionally as above), and
46                         set PATH to a default value.
47                         Change to USER's home directory.
48                         Prepend "-" to the shell's name.
49    -c, --commmand=COMMAND
50                         Pass COMMAND to the subshell with a -c option
51                         instead of starting an interactive shell.
52    -f, --fast           Pass the -f option to the subshell.
53    -m, -p, --preserve-environment
54                         Do not change HOME, USER, LOGNAME, SHELL.
55                         Run $SHELL instead of USER's shell from /etc/passwd
56                         unless not the superuser and USER's shell is
57                         restricted.
58                         Overridden by --login and --shell.
59    -s, --shell=shell    Run SHELL instead of USER's shell from /etc/passwd
60                         unless not the superuser and USER's shell is
61                         restricted.
62
63    Compile-time options:
64    -DSYSLOG_SUCCESS     Log successful su's (by default, to root) with syslog.
65    -DSYSLOG_FAILURE     Log failed su's (by default, to root) with syslog.
66
67    -DSYSLOG_NON_ROOT    Log all su's, not just those to root (UID 0).
68    Never logs attempted su's to nonexistent accounts.
69
70    Written by David MacKenzie <djm@gnu.ai.mit.edu>.  */
71
72 #include <config.h>
73 #include <stdio.h>
74 #include <getopt.h>
75 #include <sys/types.h>
76 #include <pwd.h>
77 #include <grp.h>
78
79 /* Hide any system prototype for getusershell.
80    This is necessary because some Cray systems have a conflicting
81    prototype (returning `int') in <unistd.h>.  */
82 #define getusershell _getusershell_sys_proto_
83
84 #include "system.h"
85 #include "long-options.h"
86
87 #undef getusershell
88
89 #if HAVE_SYSLOG_H && HAVE_SYSLOG
90 # include <syslog.h>
91 #else
92 # undef SYSLOG_SUCCESS
93 # undef SYSLOG_FAILURE
94 # undef SYSLOG_NON_ROOT
95 #endif
96
97 #ifndef _POSIX_VERSION
98 struct passwd *getpwuid ();
99 struct group *getgrgid ();
100 uid_t getuid ();
101 # include <sys/param.h>
102 #endif /* not _POSIX_VERSION */
103
104 #ifndef HAVE_ENDGRENT
105 # define endgrent() ((void) 0)
106 #endif
107
108 #ifndef HAVE_ENDPWENT
109 # define endpwent() ((void) 0)
110 #endif
111
112 #if HAVE_SHADOW_H
113 # include <shadow.h>
114 #endif
115
116 #include "error.h"
117
118 /* The official name of this program (e.g., no `g' prefix).  */
119 #define PROGRAM_NAME "su"
120
121 #define AUTHORS "David MacKenzie"
122
123 #if HAVE_PATHS_H
124 # include <paths.h>
125 #endif
126
127 /* The default PATH for simulated logins to non-superuser accounts.  */
128 #ifdef _PATH_DEFPATH
129 # define DEFAULT_LOGIN_PATH _PATH_DEFPATH
130 #else
131 # define DEFAULT_LOGIN_PATH ":/usr/ucb:/bin:/usr/bin"
132 #endif
133
134 /* The default PATH for simulated logins to superuser accounts.  */
135 #ifdef _PATH_DEFPATH_ROOT
136 # define DEFAULT_ROOT_LOGIN_PATH _PATH_DEFPATH_ROOT
137 #else
138 # define DEFAULT_ROOT_LOGIN_PATH "/usr/ucb:/bin:/usr/bin:/etc"
139 #endif
140
141 /* The shell to run if none is given in the user's passwd entry.  */
142 #define DEFAULT_SHELL "/bin/sh"
143
144 /* The user to become if none is specified.  */
145 #define DEFAULT_USER "root"
146
147 char *crypt ();
148 char *getpass ();
149 char *getusershell ();
150 void endusershell ();
151 void setusershell ();
152
153 char *base_name ();
154 char *xstrdup ();
155
156 extern char **environ;
157
158 /* The name this program was run with.  */
159 char *program_name;
160
161 /* If nonzero, pass the `-f' option to the subshell.  */
162 static int fast_startup;
163
164 /* If nonzero, simulate a login instead of just starting a shell.  */
165 static int simulate_login;
166
167 /* If nonzero, change some environment vars to indicate the user su'd to.  */
168 static int change_environment;
169
170 static struct option const longopts[] =
171 {
172   {"command", required_argument, 0, 'c'},
173   {"fast", no_argument, NULL, 'f'},
174   {"login", no_argument, NULL, 'l'},
175   {"preserve-environment", no_argument, &change_environment, 0},
176   {"shell", required_argument, 0, 's'},
177   {0, 0, 0, 0}
178 };
179
180 /* Add VAL to the environment, checking for out of memory errors.  */
181
182 static void
183 xputenv (const char *val)
184 {
185   if (putenv (val))
186     error (1, 0, _("virtual memory exhausted"));
187 }
188
189 /* Return a newly-allocated string whose contents concatenate
190    those of S1, S2, S3.  */
191
192 static char *
193 concat (const char *s1, const char *s2, const char *s3)
194 {
195   int len1 = strlen (s1), len2 = strlen (s2), len3 = strlen (s3);
196   char *result = (char *) xmalloc (len1 + len2 + len3 + 1);
197
198   strcpy (result, s1);
199   strcpy (result + len1, s2);
200   strcpy (result + len1 + len2, s3);
201   result[len1 + len2 + len3] = 0;
202
203   return result;
204 }
205
206 /* Return the number of elements in ARR, a null-terminated array.  */
207
208 static int
209 elements (char **arr)
210 {
211   int n = 0;
212
213   for (n = 0; *arr; ++arr)
214     ++n;
215   return n;
216 }
217
218 #if defined (SYSLOG_SUCCESS) || defined (SYSLOG_FAILURE)
219 /* Log the fact that someone has run su to the user given by PW;
220    if SUCCESSFUL is nonzero, they gave the correct password, etc.  */
221
222 static void
223 log_su (const struct passwd *pw, int successful)
224 {
225   const char *new_user, *old_user, *tty;
226
227 # ifndef SYSLOG_NON_ROOT
228   if (pw->pw_uid)
229     return;
230 # endif
231   new_user = pw->pw_name;
232   /* The utmp entry (via getlogin) is probably the best way to identify
233      the user, especially if someone su's from a su-shell.  */
234   old_user = getlogin ();
235   if (old_user == NULL)
236     {
237       /* getlogin can fail -- usually due to lack of utmp entry.
238          Resort to getpwuid.  */
239       struct passwd *pwd = getpwuid (getuid ());
240       old_user = (pwd ? pwd->pw_name : "");
241     }
242   tty = ttyname (2);
243   if (tty == NULL)
244     tty = "none";
245   /* 4.2BSD openlog doesn't have the third parameter.  */
246   openlog (base_name (program_name), 0
247 # ifdef LOG_AUTH
248            , LOG_AUTH
249 # endif
250            );
251   syslog (LOG_NOTICE,
252 # ifdef SYSLOG_NON_ROOT
253           "%s(to %s) %s on %s",
254 # else
255           "%s%s on %s",
256 # endif
257           successful ? "" : "FAILED SU ",
258 # ifdef SYSLOG_NON_ROOT
259           new_user,
260 # endif
261           old_user, tty);
262   closelog ();
263 }
264 #endif
265
266 /* Ask the user for a password.
267    Return 1 if the user gives the correct password for entry PW,
268    0 if not.  Return 1 without asking for a password if run by UID 0
269    or if PW has an empty password.  */
270
271 static int
272 correct_password (const struct passwd *pw)
273 {
274   char *unencrypted, *encrypted, *correct;
275 #ifdef HAVE_SHADOW_H
276   /* Shadow passwd stuff for SVR3 and maybe other systems.  */
277   struct spwd *sp = getspnam (pw->pw_name);
278
279   endspent ();
280   if (sp)
281     correct = sp->sp_pwdp;
282   else
283 #endif
284     correct = pw->pw_passwd;
285
286   if (getuid () == 0 || correct == 0 || correct[0] == '\0')
287     return 1;
288
289   unencrypted = getpass (_("Password:"));
290   if (unencrypted == NULL)
291     {
292       error (0, 0, _("getpass: cannot open /dev/tty"));
293       return 0;
294     }
295   encrypted = crypt (unencrypted, correct);
296   memset (unencrypted, 0, strlen (unencrypted));
297   return strcmp (encrypted, correct) == 0;
298 }
299
300 /* Update `environ' for the new shell based on PW, with SHELL being
301    the value for the SHELL environment variable.  */
302
303 static void
304 modify_environment (const struct passwd *pw, const char *shell)
305 {
306   char *term;
307
308   if (simulate_login)
309     {
310       /* Leave TERM unchanged.  Set HOME, SHELL, USER, LOGNAME, PATH.
311          Unset all other environment variables.  */
312       term = getenv ("TERM");
313       environ = (char **) xmalloc (2 * sizeof (char *));
314       environ[0] = 0;
315       if (term)
316         xputenv (concat ("TERM", "=", term));
317       xputenv (concat ("HOME", "=", pw->pw_dir));
318       xputenv (concat ("SHELL", "=", shell));
319       xputenv (concat ("USER", "=", pw->pw_name));
320       xputenv (concat ("LOGNAME", "=", pw->pw_name));
321       xputenv (concat ("PATH", "=", (pw->pw_uid
322                                      ? DEFAULT_LOGIN_PATH
323                                      : DEFAULT_ROOT_LOGIN_PATH)));
324     }
325   else
326     {
327       /* Set HOME, SHELL, and if not becoming a super-user,
328          USER and LOGNAME.  */
329       if (change_environment)
330         {
331           xputenv (concat ("HOME", "=", pw->pw_dir));
332           xputenv (concat ("SHELL", "=", shell));
333           if (pw->pw_uid)
334             {
335               xputenv (concat ("USER", "=", pw->pw_name));
336               xputenv (concat ("LOGNAME", "=", pw->pw_name));
337             }
338         }
339     }
340 }
341
342 /* Become the user and group(s) specified by PW.  */
343
344 static void
345 change_identity (const struct passwd *pw)
346 {
347 #ifdef HAVE_INITGROUPS
348   errno = 0;
349   if (initgroups (pw->pw_name, pw->pw_gid) == -1)
350     error (1, errno, _("cannot set groups"));
351   endgrent ();
352 #endif
353   if (setgid (pw->pw_gid))
354     error (1, errno, _("cannot set group id"));
355   if (setuid (pw->pw_uid))
356     error (1, errno, _("cannot set user id"));
357 }
358
359 /* Run SHELL, or DEFAULT_SHELL if SHELL is empty.
360    If COMMAND is nonzero, pass it to the shell with the -c option.
361    If ADDITIONAL_ARGS is nonzero, pass it to the shell as more
362    arguments.  */
363
364 static void
365 run_shell (const char *shell, const char *command, char **additional_args)
366 {
367   const char **args;
368   int argno = 1;
369
370   if (additional_args)
371     args = (const char **) xmalloc (sizeof (char *)
372                                     * (10 + elements (additional_args)));
373   else
374     args = (const char **) xmalloc (sizeof (char *) * 10);
375   if (simulate_login)
376     {
377       char *arg0;
378       char *shell_basename;
379
380       shell_basename = base_name (shell);
381       arg0 = xmalloc (strlen (shell_basename) + 2);
382       arg0[0] = '-';
383       strcpy (arg0 + 1, shell_basename);
384       args[0] = arg0;
385     }
386   else
387     args[0] = base_name (shell);
388   if (fast_startup)
389     args[argno++] = "-f";
390   if (command)
391     {
392       args[argno++] = "-c";
393       args[argno++] = command;
394     }
395   if (additional_args)
396     for (; *additional_args; ++additional_args)
397       args[argno++] = *additional_args;
398   args[argno] = NULL;
399   execv (shell, (char **) args);
400   error (1, errno, _("cannot run %s"), shell);
401 }
402
403 /* Return 1 if SHELL is a restricted shell (one not returned by
404    getusershell), else 0, meaning it is a standard shell.  */
405
406 static int
407 restricted_shell (const char *shell)
408 {
409   char *line;
410
411   setusershell ();
412   while ((line = getusershell ()) != NULL)
413     {
414       if (*line != '#' && strcmp (line, shell) == 0)
415         {
416           endusershell ();
417           return 0;
418         }
419     }
420   endusershell ();
421   return 1;
422 }
423
424 void
425 usage (int status)
426 {
427   if (status != 0)
428     fprintf (stderr, _("Try `%s --help' for more information.\n"),
429              program_name);
430   else
431     {
432       printf (_("Usage: %s [OPTION]... [-] [USER [ARG]...]\n"), program_name);
433       printf (_("\
434 Change the effective user id and group id to that of USER.\n\
435 \n\
436   -, -l, --login               make the shell a login shell\n\
437   -c, --commmand=COMMAND       pass a single COMMAND to the shell with -c\n\
438   -f, --fast                   pass -f to the shell (for csh or tcsh)\n\
439   -m, --preserve-environment   do not reset environment variables\n\
440   -p                           same as -m\n\
441   -s, --shell=SHELL            run SHELL if /etc/shells allows it\n\
442       --help                   display this help and exit\n\
443       --version                output version information and exit\n\
444 \n\
445 A mere - implies -l.   If USER not given, assume root.\n\
446 "));
447       puts (_("\nReport bugs to <bug-sh-utils@gnu.org>."));
448     }
449   exit (status);
450 }
451
452 int
453 main (int argc, char **argv)
454 {
455   int optc;
456   const char *new_user = DEFAULT_USER;
457   char *command = 0;
458   char **additional_args = 0;
459   char *shell = 0;
460   struct passwd *pw;
461   struct passwd pw_copy;
462
463   program_name = argv[0];
464   setlocale (LC_ALL, "");
465   bindtextdomain (PACKAGE, LOCALEDIR);
466   textdomain (PACKAGE);
467
468   parse_long_options (argc, argv, PROGRAM_NAME, GNU_PACKAGE, VERSION,
469                       AUTHORS, usage);
470
471   fast_startup = 0;
472   simulate_login = 0;
473   change_environment = 1;
474
475   while ((optc = getopt_long (argc, argv, "c:flmps:", longopts, NULL)) != -1)
476     {
477       switch (optc)
478         {
479         case 0:
480           break;
481
482         case 'c':
483           command = optarg;
484           break;
485
486         case 'f':
487           fast_startup = 1;
488           break;
489
490         case 'l':
491           simulate_login = 1;
492           break;
493
494         case 'm':
495         case 'p':
496           change_environment = 0;
497           break;
498
499         case 's':
500           shell = optarg;
501           break;
502
503         default:
504           usage (1);
505         }
506     }
507
508   if (optind < argc && !strcmp (argv[optind], "-"))
509     {
510       simulate_login = 1;
511       ++optind;
512     }
513   if (optind < argc)
514     new_user = argv[optind++];
515   if (optind < argc)
516     additional_args = argv + optind;
517
518   pw = getpwnam (new_user);
519   if (pw == 0)
520     error (1, 0, _("user %s does not exist"), new_user);
521   endpwent ();
522
523   /* Make sure pw->pw_shell is non-NULL.  It may be NULL when NEW_USER
524      is a username that is retrieved via NIS (YP), but that doesn't have
525      a default shell listed.  */
526   if (pw->pw_shell == NULL || pw->pw_shell[0] == '\0')
527     pw->pw_shell = (char *) DEFAULT_SHELL;
528
529   /* Make a copy of the password information and point pw at the local
530      copy instead.  Otherwise, some systems (e.g. Linux) would clobber
531      the static data through the getlogin call from log_su.  */
532   pw_copy = *pw;
533   pw = &pw_copy;
534   pw->pw_name = xstrdup (pw->pw_name);
535   pw->pw_dir = xstrdup (pw->pw_dir);
536   pw->pw_shell = xstrdup (pw->pw_shell);
537
538   if (!correct_password (pw))
539     {
540 #ifdef SYSLOG_FAILURE
541       log_su (pw, 0);
542 #endif
543       error (1, 0, _("incorrect password"));
544     }
545 #ifdef SYSLOG_SUCCESS
546   else
547     {
548       log_su (pw, 1);
549     }
550 #endif
551
552   if (shell == 0 && change_environment == 0)
553     shell = getenv ("SHELL");
554   if (shell != 0 && getuid () && restricted_shell (pw->pw_shell))
555     {
556       /* The user being su'd to has a nonstandard shell, and so is
557          probably a uucp account or has restricted access.  Don't
558          compromise the account by allowing access with a standard
559          shell.  */
560       error (0, 0, _("using restricted shell %s"), pw->pw_shell);
561       shell = 0;
562     }
563   if (shell == 0)
564     {
565       shell = xstrdup (pw->pw_shell);
566     }
567   modify_environment (pw, shell);
568
569   change_identity (pw);
570   if (simulate_login && chdir (pw->pw_dir))
571     error (0, errno, _("warning: cannot change directory to %s"), pw->pw_dir);
572
573   run_shell (shell, command, additional_args);
574 }
Domain: System / Uncategorized;