← Back to branch summary

~azzar1/unity/add-show-desktop-key

« back to all changes in this revision

Viewing changes to ivle/makeuser.py

Port www/apps/logout to new framework (in ivle.webapp.security).

Show diffs side-by-side

added added

removed removed

Lines of Context:
ivle/makeuser.py
35
35
# Do not call os.system("chown www-data") - use Python lib
36
36
# and use the web server uid given in conf. (Several places).
37
37
 
38
 
import hashlib
 
38
import md5
39
39
import os
40
40
import stat
41
41
import shutil
44
44
import warnings
45
45
import filecmp
46
46
import logging
 
47
import ivle.conf
47
48
import ivle.pulldown_subj
48
49
 
49
50
from ivle.database import ProjectGroup
73
74
 
74
75
    chown_to_webserver(path)
75
76
 
76
 
def rebuild_svn_config(store, config):
 
77
def rebuild_svn_config(store):
77
78
    """Build the complete SVN configuration file.
78
 
    @param config: An ivle.config.Config object.
79
79
    """
80
80
    users = store.find(ivle.database.User)
81
81
    groups = {}
82
 
    # TODO: Populate groups with per-offering tutors/lecturers/etc.
83
 
    conf_name = config['paths']['svn']['conf']
84
 
    temp_name = conf_name + ".new"
85
 
    f = open(temp_name, "w")
 
82
    for u in users:
 
83
        role = str(u.role)
 
84
        if role not in groups:
 
85
            groups[role] = []
 
86
        groups[role].append(u.login)
 
87
    f = open(ivle.conf.svn_conf + ".new", "w")
86
88
    f.write("# IVLE SVN Repositories Configuration\n")
87
89
    f.write("# Auto-generated on %s\n" % time.asctime())
88
90
    f.write("\n")
98
100
        #f.write("@admin = rw\n")
99
101
        f.write("\n")
100
102
    f.close()
101
 
    os.rename(temp_name, conf_name)
102
 
    chown_to_webserver(conf_name)
 
103
    os.rename(ivle.conf.svn_conf + ".new", ivle.conf.svn_conf)
 
104
    chown_to_webserver(ivle.conf.svn_conf)
103
105
 
104
 
def rebuild_svn_group_config(store, config):
 
106
def rebuild_svn_group_config(store):
105
107
    """Build the complete SVN configuration file for groups
106
 
    @param config: An ivle.config.Config object.
107
108
    """
108
 
    conf_name = config['paths']['svn']['group_conf']
109
 
    temp_name = conf_name + ".new"
110
 
    f = open(temp_name, "w")
 
109
    f = open(ivle.conf.svn_group_conf + ".new", "w")
111
110
    f.write("# IVLE SVN Group Repositories Configuration\n")
112
111
    f.write("# Auto-generated on %s\n" % time.asctime())
113
112
    f.write("\n")
122
121
            f.write("%s = rw\n" % user.login)
123
122
        f.write("\n")
124
123
    f.close()
125
 
    os.rename(temp_name, conf_name)
126
 
    chown_to_webserver(conf_name)
 
124
    os.rename(ivle.conf.svn_group_conf + ".new", ivle.conf.svn_group_conf)
 
125
    chown_to_webserver(ivle.conf.svn_group_conf)
127
126
 
128
 
def make_svn_auth(store, login, config, throw_on_error=True):
 
127
def make_svn_auth(store, login, throw_on_error=True):
129
128
    """Setup svn authentication for the given user.
130
129
       Uses the given DB store object. Does not commit to the db.
131
130
    """
132
 
    # filename is, eg, /var/lib/ivle/svn/ivle.auth
133
 
    filename = config['paths']['svn']['auth_ivle']
134
 
    passwd = hashlib.md5(uuid.uuid4().bytes).hexdigest()
135
 
    if os.path.exists(filename):
 
131
    passwd = md5.new(uuid.uuid4().bytes).digest().encode('hex')
 
132
    if os.path.exists(ivle.conf.svn_auth_ivle):
136
133
        create = ""
137
134
    else:
138
135
        create = "c"
140
137
    user = ivle.database.User.get_by_login(store, login)
141
138
    user.svn_pass = unicode(passwd)
142
139
 
143
 
    res = os.system("htpasswd -%smb %s %s %s" % (create, filename,
 
140
    res = os.system("htpasswd -%smb %s %s %s" % (create,
 
141
                                              ivle.conf.svn_auth_ivle,
144
142
                                              login, passwd))
145
143
    if res != 0 and throw_on_error:
146
144
        raise Exception("Unable to create ivle-auth for %s" % login)
147
145
 
148
146
    # Make sure the file is owned by the web server
149
147
    if create == "c":
150
 
        chown_to_webserver(filename)
 
148
        chown_to_webserver(ivle.conf.svn_auth_ivle)
151
149
 
152
150
    return passwd
153
151
 
180
178
    return (to_add, to_remove)
181
179
 
182
180
 
183
 
def make_jail(user, config, force=True):
 
181
def make_jail(user, force=True):
184
182
    """Creates a new user's jail space, in the jail directory as configured in
185
183
    conf.py.
186
184
 
199
197
        raise Exception("Must run make_jail as root")
200
198
    
201
199
    # tempdir is for putting backup homes in
202
 
    jail_src_base = config['paths']['jails']['src']
203
 
    tempdir = os.path.join(jail_src_base, '__temp__')
 
200
    tempdir = os.path.join(ivle.conf.jail_base, '__temp__')
204
201
    if not os.path.exists(tempdir):
205
202
        os.makedirs(tempdir)
206
203
    elif not os.path.isdir(tempdir):
207
204
        os.unlink(tempdir)
208
205
        os.mkdir(tempdir)
209
 
    userdir = os.path.join(jail_src_base, user.login)
 
206
    userdir = os.path.join(ivle.conf.jail_src_base, user.login)
210
207
    homedir = os.path.join(userdir, 'home')
211
208
    userhomedir = os.path.join(homedir, user.login)   # Return value
212
209
 
220
217
        warnings.simplefilter('ignore')
221
218
        homebackup = os.tempnam(tempdir)
222
219
        warnings.resetwarnings()
223
 
        # Back up the /home directory, delete the entire jail, recreate the
224
 
        # jail directory tree, then copy the /home back
225
 
        # NOTE that shutil.move changed in Python 2.6, it now moves a
226
 
        # directory INTO the target (like `mv`), which it didn't use to do.
227
 
        # This code works regardless.
 
220
        # Note: shutil.move does not behave like "mv" - it does not put a file
 
221
        # into a directory if it already exists, just fails. Therefore it is
 
222
        # not susceptible to tmpnam symlink attack.
228
223
        shutil.move(homedir, homebackup)
229
224
        shutil.rmtree(userdir)
230
 
        os.makedirs(userdir)
 
225
        os.makedirs(homedir)
231
226
        shutil.move(homebackup, homedir)
232
227
        # Change the ownership of all the files to the right unixid
233
228
        logging.debug("chown %s's home directory files to uid %d"
234
229
            %(user.login, user.unixid))
235
 
        os.spawnvp(os.P_WAIT, 'chown', ['chown', '-R', '%d:%d' % (user.unixid,
236
 
                                        user.unixid), userhomedir])
 
230
        os.chown(userhomedir, user.unixid, user.unixid)
 
231
        for root, dirs, files in os.walk(userhomedir):
 
232
            for fsobj in dirs + files:
 
233
                os.chown(os.path.join(root, fsobj), user.unixid, user.unixid)
237
234
    else:
238
235
        # No user jail exists
239
236
        # Set up the user's home directory
243
240
        # Chmod to rwxr-xr-x (755)
244
241
        os.chmod(userhomedir, 0755)
245
242
 
246
 
    make_ivle_conf(user.login, userdir, user.svn_pass, config)
247
 
    make_etc_passwd(user.login, userdir, config['paths']['jails']['template'],
248
 
                    user.unixid)
 
243
    make_conf_py(user.login, userdir, ivle.conf.jail_system, user.svn_pass)
 
244
    make_etc_passwd(user.login, userdir, ivle.conf.jail_system, user.unixid)
249
245
 
250
246
    return userhomedir
251
247
 
252
 
def make_ivle_conf(username, user_jail_dir, svn_pass, sys_config):
 
248
def make_conf_py(username, user_jail_dir, staging_dir, svn_pass):
253
249
    """
254
250
    Creates (overwriting any existing file, and creating directories) a
255
 
    file /etc/ivle/ivle.conf in a given user's jail.
256
 
    @param username: Username.
257
 
    @param user_jail_dir: User's jail dir, ie. ['jails']['src'] + username
258
 
    @param svn_pass: User's SVN password.
259
 
    @param sys_config: An ivle.config.Config object (the system-wide config).
 
251
    file ${python_site_packages}/ivle/conf/conf.py in a given user's jail.
 
252
    username: Username.
 
253
    user_jail_dir: User's jail dir, ie. ivle.conf.jail_base + username
 
254
    staging_dir: The dir with the staging copy of the jail. (With the
 
255
        template conf.py file).
 
256
    svn_pass: As with make_jail. User's SVN password, but if not supplied,
 
257
        will look up in the DB.
260
258
    """
261
 
    conf_path = os.path.join(user_jail_dir, "etc/ivle/ivle.conf")
 
259
    template_conf_path = os.path.join(staging_dir,
 
260
            ivle.conf.python_site_packages[1:], "ivle/conf/conf.py")
 
261
    conf_path = os.path.join(user_jail_dir,
 
262
            ivle.conf.python_site_packages[1:], "ivle/conf/conf.py")
262
263
    os.makedirs(os.path.dirname(conf_path))
263
264
 
264
 
    # In the "in-jail" version of conf, we don't need MOST of the details
265
 
    # (it would be a security risk to have them here).
266
 
    # So we just write root_dir.
267
 
    conf_obj = ivle.config.Config(blank=True)
268
 
    conf_obj.filename = conf_path
269
 
    conf_obj['urls']['root'] = sys_config['urls']['root']
270
 
    conf_obj['urls']['public_host'] = sys_config['urls']['public_host']
271
 
    conf_obj['urls']['svn_addr'] = sys_config['urls']['svn_addr']
272
 
    conf_obj['user_info']['login'] = username
273
 
    conf_obj['user_info']['svn_pass'] = svn_pass
274
 
    conf_obj.write()
 
265
    # Read the contents of the template conf file
 
266
    try:
 
267
        template_conf_file = open(template_conf_path, "r")
 
268
        template_conf_data = template_conf_file.read()
 
269
        template_conf_file.close()
 
270
    except:
 
271
        # Couldn't open template conf.py for some reason
 
272
        # Just treat it as empty file
 
273
        template_conf_data = ("# Warning: Problem building config script.\n"
 
274
                              "# Could not find template conf.py file.\n")
 
275
 
 
276
    conf_file = open(conf_path, "w")
 
277
    conf_file.write(template_conf_data)
 
278
    conf_file.write("\n# The login name for the owner of the jail\n")
 
279
    conf_file.write("login = %s\n" % repr(username))
 
280
    conf_file.write("\n")
 
281
    conf_file.write("# The subversion-only password for the owner of "
 
282
        "the jail\n")
 
283
    conf_file.write("svn_pass = %s\n" % repr(svn_pass))
 
284
    conf_file.close()
275
285
 
276
286
    # Make this file world-readable
277
287
    # (chmod 644 conf_path)
294
304
                      % (username, unixid, unixid, username))
295
305
    passwd_file.close()
296
306
 
297
 
def mount_jail(login, config):
 
307
def mount_jail(login):
298
308
    # This is where we'll mount to...
299
 
    destdir = os.path.join(config['paths']['jails']['mounts'], login)
 
309
    destdir = os.path.join(ivle.conf.jail_base, login)
300
310
    # ... and this is where we'll get the user bits.
301
 
    srcdir = os.path.join(config['paths']['jails']['src'], login)
 
311
    srcdir = os.path.join(ivle.conf.jail_src_base, login)
302
312
    try:
303
313
        if not os.path.exists(destdir):
304
314
            os.mkdir(destdir)
305
315
        if os.system('/bin/mount -t aufs -o dirs=%s:%s=ro none %s'
306
 
                     % (srcdir, config['paths']['jails']['template'],
307
 
                        destdir)) == 0:
 
316
                     % (srcdir, ivle.conf.jail_system, destdir)) == 0:
308
317
            logging.info("mounted user %s's jail." % login)
309
318
        else:
310
319
            logging.error("failed to mount user %s's jail!" % login)