git-daemon: config improvements

[userv-utils.git] / git-daemon / git-daemon.pl
diff --git a/git-daemon/git-daemon.pl b/git-daemon/git-daemon.pl

old mode 100644 (file)

new mode 100755 (executable)

index f18f6b9..efb45b1
--- a/git-daemon/git-daemon.pl
+++ b/git-daemon/git-daemon.pl
@@ -1,10 +1,6 @@
  #!/usr/bin/perl
  #
-# A very simple userv git-daemon wrapper.
-#
-# This reads the first packet-line of the protocol, checks the syntax
-# of the user, pathname, and hostname, then uses userv to invoke the
-# real git daemon as the target user with safe arguments.
+# A git daemon with an added userv security boundary.
  #
  # This was written by Tony Finch <dot@dotat.at>
  # You may do anything with it, at your own risk.
@@ -14,49 +10,81 @@ use strict;
  use warnings;
  
  use POSIX;
+use Socket;
+use Sys::Syslog;
+
+sub ntoa {
+    my $sockaddr = shift;
+    if (defined $sockaddr) {
+        my ($port,$addr) = sockaddr_in $sockaddr;
+        $addr = inet_ntoa $addr;
+        return ($addr,$port,"[$addr]:$port");
+    } else {
+        return (undef,undef,"[?.?.?.?]:?");
+    }
+}
  
-my $USER = qr{[0-9a-z]+};
-my $PATH = qr{[-+,._/0-9A-Za-z]+};
-my $HOST = qr{[-.0-9A-Za-z]+};
+my ($client_addr,$client_port,$client) = ntoa getpeername STDIN;
+my ($server_addr,$server_port,$server) = ntoa getsockname STDIN;
+
+openlog 'userv-git-daemon', 'pid', 'daemon';
+
+sub fail {
+    syslog 'err', "$client @_";
+    exit;
+}
  
  sub xread {
      my $length = shift;
      my $buffer = "";
-    my $count = 0;
+    local $SIG{ALRM} = sub { fail "timeout" };
+    alarm 30;
      while ($length > length $buffer) {
-       my $data;
-       my $ret = sysread STDIN, $data, $len
-         while not defined $ret and ($! == EINTR or $! == EAGAIN);
-       die "read" unless defined $ret;
-       die "short read: expected $length bytes, got $count\n" if $ret == 0;
-       $buffer .= $data;
-       $count += $ret;
+        my $ret = sysread STDIN, $buffer, $length, length $buffer;
+        fail "short read: expected $length bytes, got " . length $buffer
+                            if defined $ret and $ret == 0;
+        fail "read: $!" if not defined $ret and $! != EINTR and $! != EAGAIN;
+        $ret = 0        if not defined $ret;
      }
+    alarm 0;
      return $buffer;
  }
  
  my $len_hex = xread 4;
-die "bad packet length" unless $len_hex =~ m{^[0-9a-zA-Z]{4}$};
-my $len = hex $len;
-
-my $line = xread $len;
-$line =~ m{^git-upload-pack ~($USER)/($PATH[.]git)\0host=($HOST)\0$};
-my ($user,$path,$host) = ($1,$2,$3);
-
-# child's output will go directly to inetd
-open CHILD, '-|', 'userv', $user,
-  qw(git daemon --inetd --strict-paths
-     --user-path=public-git --forbid-override=receive-pack)
-  or die "open pipe to userv: $!\n";
-
-# proxy command line to child
-syswrite CHILD, $len_hex.$line
-  or die "write to userv: $!\n";
-
-# relay stdin to child
-open STDOUT, ">&CHILD"
-  or die "dup: $!\n";
-exec 'cat'
-  or die "exec: $!\n";
-
-die
+fail "non-hex packet length" unless $len_hex =~ m{^[0-9a-fA-F]{4}$};
+my $line = xread hex $len_hex;
+unless ($line =~ m{^(git-[a-z-]+) ([!-~]+)\0host=([!-~]+)\0$}) {
+    $line =~ s/[^ -~]+/ /g;
+    fail "could not parse \"$line\""
+}
+my ($service,$path,$host) = ($1,$2,3);
+$path =~ s|^/*||;
+my $uri = $_ = "git://$host/$path";
+
+my $user;
+for my $cf (@ARGV) {
+    my ($r,$u) = do $cf;
+    $user = $u if defined $u;
+}
+fail "no user configured for $uri" unless defined $user;
+syslog 'info', "$client userv $user $service $uri";
+
+my %vars = (
+    REQUEST_SERVICE => $service,
+    REQUEST_HOST => $host,
+    REQUEST_PATH => $path,
+    REQUEST_URI => $uri,
+    CLIENT => $client,
+    CLIENT_ADDR => $client_addr,
+    CLIENT_PORT => $client_port,
+    SERVER => $server,
+    SERVER_ADDR => $server_addr,
+    SERVER_PORT => $server_port,
+);
+my @opts = map "-D$_=$vars{$_}", grep defined $vars{$_}, sort keys %vars;
+
+no warnings; # suppress errors to stderr
+exec 'userv', @opts, $user, $service
+    or fail "exec userv @opts $user $service: $!";
+
+# end