(do_auth): rename local: s/buf/password/

Signed-off-by: Jim Meyering <meyering@redhat.com>
Signed-off-by: David Zeuthen <davidz@redhat.com>

remove unnecessary strdup.

* src/polkit-grant/polkit-grant-helper-shadow.c (do_auth):

Signed-off-by: Jim Meyering <meyering@redhat.com>
Signed-off-by: David Zeuthen <davidz@redhat.com>

handle kit_strdup_printf failure.

* src/polkit-dbus/polkit-dbus.c (polkit_caller_new_from_pid):

Signed-off-by: Jim Meyering <meyering@redhat.com>
Signed-off-by: David Zeuthen <davidz@redhat.com>

clarify docs for POLKIT_AUTHORIZATION_CONSTRAINT_TYPE_REQUIRE_EXE

don't check key/values in KitHash; they are not neccesarily pointers

fix typo in docs for polkit_dbus_error_parse_from_strings()

also add polkit_dbus_error_parse_from_strings() function

This is useful when using D-Bus bindings, such as dbus-glib, that
don't expose the DBusError object directly.

add convenience API to consistently report authorization failures over D-Bus

make polkit-policy-file-validate require that actions are properly packaged

Meaning this bit was added to the spec:

   The name of the XML file is significant. Each XML file can only
   declare actions from the namespace of it's own name; for example
   actions org.foobar.action-a, org.foobar.action-b and
   org.foobar.action-c would all go into the file org.foobar.policy
   while actions com.my-company.product-awesome.action-a,
   com.mycompany.product-awesome.action-b would go into the file
   com.mycompany.product-awesome.policy.

This is the output of the validator on a broken .policy file

  $ polkit-policy-file-validate /usr/share/PolicyKit/policy/gnome-clock-applet-mechanism.policy
  WARNING: The action org.gnome.clockapplet.mechanism.configurehwclock does not
           belong in a policy file named gnome-clock-applet-mechanism.policy.
           A future version of PolicyKit will ignore this action.

  WARNING: The action org.gnome.clockapplet.mechanism.settime does not
           belong in a policy file named gnome-clock-applet-mechanism.policy.
           A future version of PolicyKit will ignore this action.

  WARNING: The action org.gnome.clockapplet.mechanism.settimezone does not
           belong in a policy file named gnome-clock-applet-mechanism.policy.
           A future version of PolicyKit will ignore this action.

  ERROR: /usr/share/PolicyKit/policy/gnome-clock-applet-mechanism.policy did not validate

We currently don't enforce this but will in a future version. The
rationale is that we can avoid loading all .policy files at startup
which would be a performance win.

fix doc in bugs for PolKitContextAddIOWatch

pointed out by Dan Winship.

avoid reliance on DT_REG so we work on reiserfs as well

(with minor fixes from davidz for avoiding memory leaks)

Recently I wondered why PolicyKit (especially polkit-auth) does not work
on my system. While debugging, I noticed that the corresponding code works
in my home directory, but not in the root filesystem.

readdir() and its d_type are the culprits. Quoting the readdir manpage:

[...]
Other than Linux, the d_type field is available mainly only on BSD
systems.  This field makes it possible to avoid the expense of calling
stat() if further actions depend on the type of the file.
[...]

Filesystems may fill DT_UNKNOWN into this field, which reiserfs does, so
call stat instead, which always does the right thing.

Signed-off-by: Holger Macht <hmacht@suse.de>

avoid use normal timeout when showing auth dialog; use INT_MAX instead

Reported by Dan P. Berrange.

actually check for bash in polkit-bash-completion.sh

Some zsh users complained about this

https://bugzilla.redhat.com/show_bug.cgi?id=418471

also add the new C file for the shadow helper

add Shadow authentication framework

Add Piter PUNK's polkit-grant-helper-shadow, and link against the
appropriate libraries.

For now, the Shadow framework must be explictily called - in future,
this could also be added as a fallback if PAM is not available.

make polkit-grant-helper-pam world readable

This is to avoid breaking various backup and IDS software - proposed
by Michael Biebl <mbiebl@gmail.com>.

split out authentication framework from authorisation database

As per discussions with David Zeuthen, alter the build system so that we
can have different authentication frameworks for the authorisation
databases.

For now, the dummy database will only accept 'none' for the authentication
framework (this will be autoselected if not specified, and configure will
throw an error if any other framework than 'none' is specified is passed
in).

For the default database, the only available framework for now is 'pam'
(as with 'none' and dummy, 'pam' will be autoselected if specified as the
framework. If 'none' is passed as a framework, configure will reject this
and fail).

PAM specific code is now also marked with POLKIT_AUTHFW_PAM, so that it
can be easily compiled out if other frameworks are added in future.

remove unncessary PAM header inclusions

Many files are needlessly including PAM headers, when the code in question
has no PAM dependency - remove the PAM includes from these.

make the docs show an index of new symbols in 0.8

fix typo in docs

add docs and bash completion bits for new exe and selinux_context constraints

add additional checks when using strtoul

Pointed out by Martin Pitt <martin.pitt@ubuntu.com>.

add note about new polkit-resolve-exe-helper

add constraints for exe and SELinux context when granting an authorization

The way it works is that added constraints now look like this

scope=always:action-id=org.pulseaudio.acquire-high-priority:when=1197004781:auth-as=0:constraint=local:constraint=active:constraint=exe%3A%2Fusr%2Fbin%2Fpulseaudio:constraint=selinux_context%3Asystem_u%3Asystem_r%3Aunconfined_t

or if not using SELinux like this

scope=always:action-id=org.freedesktop.hal.storage.mount-fixed:when=1197008218:auth-as=0:constraint=local:constraint=active:constraint=exe%3A%2Fusr%2Fbin%2Fgnome-mount

This is a bit icky to implement for mechanisms, like HAL, running as
an unprivileged user. The problem is that we can't resolve the symlink
/proc/pid/exe. On the other hands such mechanisms has the
authorization org.freedesktop.policykit.read already. So use that.

Note that this is what some people call snake-oil. The reason is in the
docs for polkit_sysdeps_get_pid_for_exe(); copying it here so I can point
people to this commit in the future

  Get the name of the binary a given process was started from.

  Note that this is not necessary reliable information and as such
  shouldn't be relied on 100% to make a security decision. In fact,
  this information is only trustworthy in situations where the given
  binary is securely locked down meaning that 1) it can't be
  ptrace(2)'d; 2) libc secure mode kicks in (e.g LD_PRELOAD won't
  work); 3) there are no other attack vectors (e.g. GTK_MODULES, X11,
  CORBA, D-Bus) to patch running code into the process.

  In other words: the risk of relying on constraining an authorization
  to the output of this function is high. Suppose that the program
  /usr/bin/gullible obtains an authorization via authentication for
  the action org.example.foo. We add a constraint to say that the
  gained authorization only applies to processes for whom
  /proc/pid/exe points to /usr/bin/gullible. Now enter
  /usr/bin/evil. It knows that the program /usr/bin/gullible is not
  "securely locked down" (per the definition in the above
  paragraph). So /usr/bin/evil simply sets LD_PRELOAD and execs
  /usr/bin/gullible and it can now run code in a process where
  /proc/pid/exe points to /usr/bin/gullible. Thus, the recently gained
  authorization for org.example.foo applies. Also, /usr/bin/evil could
  use a host of other attack vectors to run it's own code under the
  disguise of pretending to be /usr/bin/gullible.

  Specifically for interpreted languages like Python and Mono it is
  the case that /proc/pid/exe always points to /usr/bin/python
  resp. /usr/bin/mono. Thus, it's not very useful to rely on that the
  result for this function if you want to constrain an authorization
  to e.g. /usr/bin/tomboy or /usr/bin/banshee.

However. Once we have a framework for running secure desktop apps this
will start to make sense. Such a framework includes securing X (using
e.g. XACE with SELinux) and making the UI toolkit secure as well. It's
a lot of work.

Until then these constraints at least makes it harder to for malicious
apps to abuse PolicyKit authorizations gained by other users.

add bogus Returns: to make gtk-doc happy

use strlen to avoid writing garbage at the end of the test auth file

While this seems like a grave bug it is not. First, this only affects
the test cases and the file is guaranteed to be zero terminated before
the garbage anyway.

post release version bump to 0.8

be more precise about permissions in the blurb at the end of configure

Suggested by Michael Biebl <mbiebl@gmail.com>.

update NEWS file

update completion + man page since polkit-auth(1) takes >1 --constraint args

update TODO to mention Piter PUNK's patch

update TODO

fix dummy backend so it builds

refactor constraints API so there is one entry per constraint in the auth file

This makes things a lot more future proof and, perhaps, also easier to
understand.

don't require .policy files for auth lookups

With this change, 'make check' now works even when PolicyKit isn't
installed (as it should). Before this change it failed because the
.policy files for org.freedesktop.policykit.read and .grant was not
available.

downgrade to session scope when granting authorizations for blank passwords

See https://bugzilla.redhat.com/show_bug.cgi?id=401811 for details

fix a bug where KitList elements were not properly freed

remove glib dep from libpolkit-dbus

implement kit_hash_foreach_remove()

add a new KitString class

add some more test cases for p-a-db.c

fix OOM handling in p-a-db.c and only invalidate the cache when necessary

add some more test env variables so we can bypass ConsoleKit in the tests

update .gitignore files

add .gitignore files to get test tree structure in the repo

fix unit tests for polkit-authorization-db.c

add test-friendly abstractions for getpwnam and getpwuid

only fail the Nth alloc, not all allocs greater than N

avoid logging to syslog even for invalid files

relicense everything to the MIT/X11 license

add (partial) test cases for polkit-authorization-db.c

build with -rdynamic for maint mode and use this to print a stack trace

fix a bug where the childs environment wasn't inherited

add test harness for polkit-utils

write newline since kit_string_entry_create doesn't do that any more

avoid adding newline at the end of generated entry

update TODO

also encode \n\r\t characters

rework the .auths file format to use key/value pairs and make it future-proof

set errno to ENOMEM when forcibly failing an allocation

add support for percent encoding/decoding and colon separated kv-lists

make dummy backend work

fix 'make check-coverage'

remove Since gtk-doc tags from the internal libkit library

define abstract Authentication Agent interface and make polkit-auth(1) use it

Also provide a convenience function to access it: polkit_auth_obtain().

make PolKitAuthorization a bit more future proof by adding get_type()

provide a way to force a reload of all caches etc.

add support for negative authorizations

Negative authorizations is a way to block an entity; previously the
algorithm was something like (ignoring the config file for now)

  Result is_authorized() {
    res = has_implicit_auth();
    if (res == YES) {
      return YES;
    } else if (has_explicit_auth()) {
      return YES;
    }
    return res;
  }

Now it's

  Result is_authorized() {
    res = has_implicit_auth();
    expl = has_explicit_auth();
    is_blocked = has_negative_explicit_auth();

    if (is_blocked)
      return NO;

    if (res == YES) {
      return YES;
    } else if (has_explicit_auth()) {
      return YES;
    }
    return res;
  }

E.g. just a single negative auth will force NO to be returned. I
really, really need to write into the spec how this works; my mental
L1 cache can't contain it anymore. Once it's formally defined we need
to craft a test suite to verify that the code works according to
spec...

export the policydir in the .pc file

This is useful when building a project using polkit in a different
prefix. Lennart asked for it.

require org.fd.pk.revoke to revoke auths for self if granted by someone else

provide convenience functions for auth checking and port helpers to use them

Basically, checking auths with polkit is now a one-liner:

    if (polkit_check_auth (getpid (), "com.acme.some-action", NULL) == 0) {
        fprintf (stderr, "Not authorized; go away\n");
        exit (1);
    }

This can be used for making a lot of the legacy UNIX tools PolicyKit
aware. For example, vixie-cron could make crontab(1) (a setuid
program) check whether the calling user is authorized for the action

 org.isc.vixie-cron.edit-own-crontab

This is a nice way to provide least privilege and still put the system
administrator in control via polkit-auth(1), polkit-action(1) and the
GTK+ "Manage Authorizations" utility:

 http://people.redhat.com/davidz/polkitg-auth-1.png
 http://people.redhat.com/davidz/polkitg-auth-2.png
 http://people.redhat.com/davidz/polkitg-auth-3.png

add support for vendor, vendor_url and icon_name tags in .policy files

restrict new API to the default backend only

add API for overriding defaults and make polkit-action(1) use this API.

fix a grave bug where the wrong authorizations were returned

We were modifying the 'uid' parameter in _authdb_get_auths_for_uid();
I bet that if we had unit tests this bug would have been caught
earlier...

fix parallel build

https://bugs.freedesktop.org/show_bug.cgi?id=13082

create /var/lib/misc on 'make install'

http://bugs.freedesktop.org/show_bug.cgi?id=13113

build system fixes and refuse to install if built with --enable-tests

add unit test framework to the rest of the library sources

fix build for dummy backend

also check for file descriptor leaks

tweak how we do coverage reporting

remove glib dependency from libpolkit.so

don't overflow when splitting a string

actually include the files with the spawn functions

add spawn function to libkit

add (empty, for now) tests for remaining files

use kit_strsplit in polkit-sysdeps

add strsplit function

also include libkit in top-level coverage report

split utility bits into a private statically linked library

getting closer...

$ grep glib *.c
polkit-authorization.c:#include <glib.h>
polkit-authorization-db.c:#include <glib.h>
polkit-authorization-db-dummy.c:#include <glib.h>
polkit-config.c:#include <glib.h>
polkit-context.c:#include <glib.h>
polkit-sysdeps.c:#include <glib.h>

add unit tests for PolKitAuthorization

add unit tests for PolKitAuthorizationConstraint

forgot to add src/Makefile.am

add unit tests of PolKitPolicyCache

use unique action names

add test case for PolKitError to get to 100%

add some gtk-doc to private bits to get doc coverage to 100%

fix build with all library soruce in src/

move all library source to a src/ directory

This is primarily so gtk-doc can target only libraries. Needs lots of
fixing; will be done in upcoming commits.