Declare read-only lookup pointers const

pwck.c:587:31: warning: cast discards ‘const’ qualifier from pointer target type [-Wcast-qual]
  587 |                         spw = (struct spwd *) spw_locate (pwd->pw_name);
      |                               ^

grpck.c:599:31: warning: cast discards ‘const’ qualifier from pointer target type [-Wcast-qual]
  599 |                         sgr = (struct sgrp *) sgr_locate (grp->gr_name);
      |                               ^

grpck.c:761:23: warning: cast discards ‘const’ qualifier from pointer target type [-Wcast-qual]
  761 |                 grp = (struct group *) gr_locate (sgr->sg_name);
      |                       ^

Declare variable for string literal const

newgidmap.c:87:16: warning: assignment discards ‘const’ qualifier from pointer target type [-Wdiscarded-qualifiers]
   87 |         policy = "deny\n";
      |                ^

Declare argument of nss_init const

nss_init() does not modify its path argument, thus declare it const.
Also drop superfluous prototype.

nss.c:54:31: warning: assignment discards ‘const’ qualifier from pointer target type [-Wdiscarded-qualifiers]
   54 |                 nsswitch_path = NSSWITCH;
      |                               ^

Do not drop const qualifier for Basename

The private Basename() implementation does not modify its argument, so
a cast to a non-const char pointer is not necessary.

newgrp.c:790:39: warning: cast discards ‘const’ qualifier from pointer target type [-Wcast-qual]
  790 |         progbase = (char *) Basename ((char *) prog);
      |                                       ^
newgrp.c:790:20: warning: cast discards ‘const’ qualifier from pointer target type [-Wcast-qual]
  790 |         progbase = (char *) Basename ((char *) prog);
      |                    ^

shell.c:48:70: warning: cast discards ‘const’ qualifier from pointer target type [-Wcast-qual]
   48 |                 (void) snprintf (arg0, sizeof arg0, "-%s", Basename ((char *) file));
      |                                                                      ^

Use strict prototypes

Function declarations with no argument declare functions taking an
arbitrary number of arguments. Use the special type void to declare
functions taking no argument.

Declare file local functions static

configure.ac and changelog: release 4.11.1

Signed-off-by: Serge Hallyn <serge@hallyn.com>

build: include lib/shadowlog_internal.h in dist tarballs

Fixes: #485
Signed-off-by: Sam James <sam@gentoo.org>

configure.ac and changelog: release 4.11

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #451 from hallyn/2021-12-05/license

Merge pull request #483 from edneville/317_nofollow

Adding nofollow to opens

Adding nofollow to opens

Merge pull request #460 from edneville/404_userdel_kill

script to kill subjects processes

script to kill subjects processes from userdel

Closes #404
Closes #317

Signed-off-by: ed neville <ed@s5h.net>

Merge pull request #482 from xry111/useradd_segfault_fix

fix segfault running useradd -D

fix segfault running useradd -D

Merge pull request #479 from alejandro-colomar/getgroups

Remove HAVE_GETGROUPS ifdefs

Merge pull request #480 from alejandro-colomar/memcpy

Remove HAVE_MEMCPY and HAVE_MEMSET ifdefs

Merge pull request #477 from alejandro-colomar/strftime

Remove HAVE_STRFTIME ifdefs

Merge pull request #478 from hallyn/alpine

add alpine edge CI build

nss test_range: make sure /etc/nsswitch.conf and /etc/subuid exists

Signed-off-by: Serge Hallyn <serge@hallyn.com>

add alpine edge CI build

Mainly to get a musl build in there.

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Remove HAVE_MEMSET ifdefs

memset(3) has been in standard C since C89.  It is also in
POSIX.1-2001, in SVr4, and in 4.3BSD (see memset(3) and memset(3p)).
We can assume that this function is always available.

Signed-off-by: Alejandro Colomar <alx.manpages@gmail.com>

Remove HAVE_MEMCPY ifdefs

memcpy(3) has been in standard C since C89.  It is also in
POSIX.1-2001, in SVr4, and in 4.3BSD (see memcpy(3) and memcpy(3p)).
We can assume that this function is always available.

Signed-off-by: Alejandro Colomar <alx.manpages@gmail.com>

Remove HAVE_GETGROUPS ifdefs

getgroups(2) has been in POSIX since POSIX.1-2001.  It is also in
in SVr4 and in 4.3BSD (see getgroups(2) and getgroups(3p)).
We can assume that this function is always available.

Signed-off-by: Alejandro Colomar <alx.manpages@gmail.com>

Remove HAVE_STRFTIME ifdefs

strftime(3) has been in standard C since C89.  It is also in
POSIX.1-2001, and in SVr4 (see strftime(3) and strftime(3p)).
We can assume that this function is always available.

Signed-off-by: Alejandro Colomar <alx.manpages@gmail.com>

Merge pull request #476 from hallyn/2021-12-27/impish

add ubuntu impish build

add ubuntu impish build

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #474 from atsampson/subidprogname

Default value for progname/logfd, and set progname in subid_init too

lib: provide default values for shadow_progname/shadow_logfd

libsubid: use log_set_progname in subid_init

The static Prog variable here is no longer used, so remove it.

Merge pull request #467 from alejandro-colomar/date_to_str

Have a single definition of date_to_str()

Merge pull request #473 from hallyn/2021-12-26/srht

Test sr.ht CI integration

fix newuidmap testcase

sleep 2s before running newxidmap - it seems we were sometimes
racing, causing newxidmap to fail.

Make sure to remove /tmp/test-xidmap, for some reason they
were sometimes still there, causing test to fail.

Fix some irregular tabbing.

Signed-off-by: Serge Hallyn <serge@hallyn.com>

libsubid_zzz (test): fix pointer test

Signed-off-by: Serge Hallyn <serge@hallyn.com>

run_some: exit error if there were failed tests

Signed-off-by: Serge Hallyn <serge@hallyn.com>

remove broken github actions

Signed-off-by: Serge Hallyn <serge@hallyn.com>

add a .build.yml to build on builds.sr.ht

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Have a single definition of date_to_str()

PARAMETERS:

According to the C2x charter, I reordered the parameters 'size'
and 'buf' from previously existing date_to_str() definitions.

C2x charter:
> 15. Application Programming Interfaces (APIs) should be
> self-documenting when possible.  In particular, the order of
> parameters in function declarations should be arranged such that
> the size of an array appears before the array.  The purpose is to
> allow Variable-Length Array (VLA) notation to be used.  This not
> only makes the code's purpose clearer to human readers, but also
> makes static analysis easier.  Any new APIs added to the Standard
> should take this into consideration.

I used 'long' for the date parameter, as some uses of the function
need to pass a negative value meaning "never".

FUNCTION BODY:

I didn't check '#ifdef HAVE_STRFTIME', which old definitions did,
since strftime(3) is guaranteed by the C89 standard, and all of
the conversion specifiers that we use are also specified by that
standard, so we don't need any extensions at all.

Signed-off-by: Alejandro Colomar <alx.manpages@gmail.com>

Merge pull request #472 from atsampson/progname

lib: rename Prog to shadow_progname, with only one definition

lib: rename Prog to shadow_progname, with only one definition

The build was failing with duplicate symbol errors with -fno-common.
This is the default in GCC 10 and later, and explicitly enabled in some
distributions to catch problems like this. There were two causes:

- Prog and shadow_logfd were defined in a header file that was included
  in multiple other files. Fix this by defining them once in
  shadowlog.c, and having extern declarations in the header.

- Most of the tools (except id/nologin) also define a Prog variable,
  which is not intended to alias the one in the library. Fix
  this by renaming Prog in the library to shadow_progname, which also
  matches the new accessor functions for it.

Update licensing info

Closes #238

Update all files to list SPDX license shortname.  Most files are
BSD 3 clause license.

The exceptions are:

serge@sl ~/src/shadow$ git grep SPDX-License | grep -v BSD-3-Clause
contrib/atudel:# SPDX-License-Identifier: BSD-4-Clause
lib/tcbfuncs.c: * SPDX-License-Identifier: 0BSD
libmisc/salt.c: * SPDX-License-Identifier: Unlicense
src/login_nopam.c: * SPDX-License-Identifier: Unlicense
src/nologin.c: * SPDX-License-Identifier: BSD-2-Clause
src/vipw.c: * SPDX-License-Identifier: GPL-2.0-or-later

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #471 from hallyn/2021-12-23/extern

Make shadow_logfd and Prog not extern

Make shadow_logfd and Prog not extern

Closes #444
Closes #465

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #463 from thesamesam/master

libsubid: fix defining SONAME version

libsubid: fix defining SONAME version

We were overriding this when --enable-shared was passed. We can actually
just dump the conditional logic as libtool will do the right thing for
us here anyway.

Without this patch, libsubid is installed as .0.

Signed-off-by: Sam James <sam@gentoo.org>

configure.ac and changelog: release 4.9

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Add README as symlink to README.md

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #461 from edneville/441_passwd_message

passwd -l should not say that it changes expiry

passwd -l should not say that it changes expiry

Closes #441

Merge pull request #458 from edneville/434_usermod_home_dir_trailing_slash

Remove tailing slash on home dir

Merge pull request #455 from alejandro-colomar/master

usermod: Remove special case for ""

Remove tailing slash on home dir

Closes #434

Signed-off-by: ed neville <ed@s5h.net>

Merge pull request #456 from stoeckmann/chld

Verify default SIGCHLD handling.

Verify default SIGCHLD handling.

The SIGCHLD handler could have been ignored by parent process.
Make sure that we have default handling activated.

Signed-off-by: Tobias Stoeckmann <tobias@stoeckmann.org>

Merge pull request #421 from AZaugg/issue337

Adding new switch -rG to usermod

usermod: Remove special case for ""

That special case is already handled by the called function: strtoday()
so we can simplify the calling code.

Link: <https://github.com/shadow-maint/shadow/issues/454>
Signed-off-by: Alejandro Colomar <alx.manpages@gmail.com>

Adding new option -rG to usermod

Adding a new switch -rG, which provides a similar feature set to
-aG, allowing a person to list exactly what groups to remove a
user from.

https://github.com/shadow-maint/shadow/issues/337

Merge pull request #452 from 20100074/fix-typo-in-is

Fixed typo in login.defs

Merge pull request #453 from ikerexxe/getsubids_h

man: getsubids define -h

man: getsubids define -h

Define -h option behaviour in getsubids man page.

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

Merge pull request #449 from hallyn/2021-11-27/libsubid-symbols

2021 11 27/libsubid symbols

fixed typo in login.defs

Merge pull request #408 from bjorn-fischer/ambient_caps

Add support for ambient capabilities

Call pam_end() after fork in child code path

This conforms to PAM documentation and it is needed to support
ambient capabilities with PAM + libcap-2.58+.

Signed-off-by: Björn Fischer <bf@CeBiTec.Uni-Bielefeld.DE>

Show libsubid api version in subid.h

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #231 from gjzkrug/useradd-maildir-fix

Removed hard-coded default mail spool in useradd

Merge pull request #450 from lnussel/master

useradd: assume uid 0 == root as fallback

Update email address for Julie Haugh

useradd: assume uid 0 == root as fallback

In absence of /etc/passwd, eg when bootstrapping a chroot, resolving
uid 0 to a name may not work. Therefore just assume "root".

Change the subid export symbols

Rename libsubid symbols to all be prefixed with subid_.

Don't export anything but the subid_*.

Closes #443

Signed-off-by: Serge Hallyn <serge@hallyn.com>

undo accidental autogen.sh commit: enable-shared

Signed-off-by: Serge Hallyn <serge@hallyn.com>

Merge pull request #447 from ikerexxe/documentation

README: update content and format

README: update content and format

* Change to markdown format
* Include an introduction
* Remove the commit mailing list from the contacts
* Add the IRC channel to the contacts
* Move 'S/Key' section to doc/README.skey
* Move authors and maintainers to AUTHORS.md

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

Merge pull request #440 from stoeckmann/vipw

Improve child error handling

Merge pull request #446 from ikerexxe/spw_free

lib: check NULL before freeing passwd data

lib: check NULL before freeing passwd data

Add an additional NULL check condition in spw_free() and pw_free() to
avoid freeing an already empty pointer.

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

Merge pull request #435 from freedge/groupdelcore

groupdel: fix SIGSEGV when passwd does not exist

Merge pull request #436 from ikerexxe/getsubids

getsubids: system binary for user's sub*ids

README: add myself to the contributors list

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

getsubids: system binary for user's sub*ids

Rename list_subid_ranges to getsubids to provide a system binary to
check the sub*ids of a user. The intention is to provide this binary
with any distribution that includes the subid feature, so that system
administrators can check the subid ranges of a given user.

Finally, add a man page to explain the behaviour of getsubids.

Resolves: https://bugzilla.redhat.com/show_bug.cgi?id=1980780

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

Merge pull request #437 from ikerexxe/newgrp_segfault

newgrp: fix segmentation fault

Merge pull request #439 from ikerexxe/useradd_skel_fix

useradd: change SELinux labels for home files

Merge pull request #442 from rbalint/fix-no-passwd-help

Fix typo in passwd --help's Norvegian translation

Merge pull request #445 from ikerexxe/pwck_segfault

pwck: fix segfault when calling fprintf()

pwck: fix segfault when calling fprintf()

As shadow_logfd variable is not set at the beginning of the program if
something fails and fprintf() is called a segmentation fault happens.

Resolves: https://bugzilla.redhat.com/show_bug.cgi?id=2021339

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

Fix typo in passwd --help's Norvegian translation

Thanks to Tollef Fog Heen for the bug report at https://bugs.debian.org/949862

Improve child error handling

Always set SIGCHLD handler to default, even if the caller of vipw has
set SIGCHLD to ignore. If SIGCHLD is ignored no zombie processes would
be created, which in turn could mean that kill is called with an already
recycled pid.

Proof of Concept:

1. Compile nochld:
 --
 #include <signal.h>
 #include <unistd.h>
 int main(void) {
 char *argv[] = { "vipw", NULL };
 signal(SIGCHLD, SIG_IGN);
 execvp("vipw", argv);
 return 1;
 }
 --
2. Run nochld
3. Suspend child vi, which suspends vipw too:
`kill -STOP childpid`
4. Kill vi:
`kill -9 childpid`
5. You can see with ps that childpid is no zombie but disappeared
6. Bring vipw back into foreground
`fg`

The kill call sends SIGCONT to "childpid" which in turn could have been
already recycled for another process.

This is definitely not a vulnerability. It would take super user
operations, at which point an attacker would have already elevated
permissions.

Signed-off-by: Tobias Stoeckmann <tobias@stoeckmann.org>

useradd: change SELinux labels for home files

Change SELinux labels for files copied from the skeleton directory to
the home directory.

This could cause gnome's graphical user adding to fail without copying
the full skeleton files.

Resolves: https://bugzilla.redhat.com/show_bug.cgi?id=2022658

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

newgrp: fix segmentation fault

Fix segmentation fault in newgrp when xgetspnam() returns a NULL value
that is immediately freed.

The error was committed in
https://github.com/shadow-maint/shadow/commit/e65cc6aebcb4132fa413f00a905216a5b35b3d57

Resolves: https://bugzilla.redhat.com/show_bug.cgi?id=2019553

Signed-off-by: Iker Pedrosa <ipedrosa@redhat.com>

groupdel: fix SIGSEGV when passwd does not exist

When using groupdel with a prefix, groupdel will attempt to read a
passwd file to look for any user in the group. When the file does not
exist it cores with segmentation fault.

Resolves: https://bugzilla.redhat.com/show_bug.cgi?id=1986111

Merge pull request #423 from lrh2000/su-fix-sigkill

su: Fix never alarmed SIGKILL when session terminates

Merge pull request #432 from galaxy4public/tcb-missing-chmod

Add missing chmod() for shadowtcb_move()

Merge pull request #433 from stoeckmann/hushed

Handle malformed lines in hushlogins file.

Handle malformed lines in hushlogins file.

If a line in hushlogins file, e.g. /etc/hushlogins, starts with
'\0', then current code performs an out of boundary write.
If the line lacks a newline at the end, then another character is
overridden.

With strcspn both cases are solved.

Signed-off-by: Tobias Stoeckmann <tobias@stoeckmann.org>

Add missing chmod()

During shadowtcb_move() the directory is temporarily changed to be
owned by root:root with permissions 0700.  After the change is done,
the ownership and permissions were supposed to be restored.  The
call for chown() was there, but the chmod() call was missing.  This
resulted in the broken TCB functionality.  The added chmod() fixes
the issue.

Merge pull request #430 from galaxy4public/libsubid-static

Fixes the linking issues when libsubid is static and linked to

Fixes the linking issues when libsubid is static and linked to
binaries that also define the Prog and shadow_logfd variables.

Merge pull request #422 from ikerexxe/home_selinux_user

Create the home and mail directories with SELinux user label

Add Christian Brauner to SECURITY.md

Signed-off-by: Serge Hallyn <serge@hallyn.com>