Blame files/keyhelper.py

Patrick Uiterwijk 6e47de
#!/usr/bin/env python
Patrick Uiterwijk 6e47de
# -*- coding: utf-8 -*-
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
"""
Patrick Uiterwijk 6e47de
 (c) 2014-2018 - Copyright Red Hat Inc
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
 Authors:
Patrick Uiterwijk 6e47de
   Patrick Uiterwijk <puiterwijk@redhat.com></puiterwijk@redhat.com>
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
"""
Patrick Uiterwijk 6e47de
Pierre-Yves Chibon 67d1cc
from __future__ import unicode_literals, print_function, absolute_import
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
import sys
Patrick Uiterwijk 6e47de
import os
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 9b237b
import requests
Patrick Uiterwijk 9b237b
Patrick Uiterwijk 6e47de
# Since this is run by sshd, we don't have a way to set environment
Patrick Uiterwijk 6e47de
# variables ahead of time
Patrick Uiterwijk 6e47de
if "PAGURE_CONFIG" not in os.environ and os.path.exists(
Patrick Uiterwijk 6e47de
    "/etc/pagure/pagure.cfg"
Patrick Uiterwijk 6e47de
):
Patrick Uiterwijk 6e47de
    os.environ["PAGURE_CONFIG"] = "/etc/pagure/pagure.cfg"
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
# Here starts the code
Patrick Uiterwijk 6e47de
from pagure.config import config as pagure_config
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
# Get the arguments
Patrick Uiterwijk 6e47de
# Expect sshd config:
Patrick Uiterwijk 6e47de
# AuthorizedKeysCommand: <scriptpath> "%u" "%h" "%t" "%f"</scriptpath>
Patrick Uiterwijk 6e47de
# <us> <username> <homedir> <keytype> <fingerprint></fingerprint></keytype></homedir></username></us>
Patrick Uiterwijk 6e47de
# At this moment, we ignore the homedir and fingerprint, since looking
Patrick Uiterwijk 6e47de
# up a key by fingerprint would require some model changes (ssh keys would
Patrick Uiterwijk 6e47de
#   need to be stored in a fashion like DeployKeys).
Patrick Uiterwijk 6e47de
# But to not break installations in the future, we should ask installations
Patrick Uiterwijk 6e47de
# to set up sshd in a way that it will work if we use them in the future.
Patrick Uiterwijk 6e47de
if len(sys.argv) < 5:
Patrick Uiterwijk 6e47de
    print("Invalid call, too few arguments", file=sys.stderr)
Patrick Uiterwijk 6e47de
    sys.exit(1)
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
username, userhome, keytype, fingerprint = sys.argv[1:5]
Patrick Uiterwijk 6e47de
username_lookup = pagure_config["SSH_KEYS_USERNAME_LOOKUP"]
Patrick Uiterwijk 6e47de
expect_username = pagure_config["SSH_KEYS_USERNAME_EXPECT"]
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
Patrick Uiterwijk e95068
if username in pagure_config["SSH_KEYS_USERNAME_FORBIDDEN"]:
Patrick Uiterwijk e95068
    print("User is forbidden for keyhelper.", file=sys.stderr)
Patrick Uiterwijk e95068
    sys.exit(1)
Patrick Uiterwijk e95068
Patrick Uiterwijk e95068
Patrick Uiterwijk 6e47de
if not username_lookup:
Patrick Uiterwijk 6e47de
    if not expect_username:
Patrick Uiterwijk 6e47de
        print("Pagure keyhelper configured incorrectly", file=sys.stderr)
Patrick Uiterwijk 6e47de
        sys.exit(1)
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
    if username != expect_username:
Patrick Uiterwijk 6e47de
        # Nothing to look up, this user is not git-related
Patrick Uiterwijk 6e47de
        sys.exit(0)
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 9b237b
url = "%s/pv/ssh/lookupkey/" % pagure_config["APP_URL"]
Patrick Uiterwijk 9b237b
data = {"search_key": fingerprint}
Patrick Uiterwijk 9b237b
if username_lookup:
Patrick Uiterwijk 9b237b
    data["username"] = username
Slavek Kabrda 984d0f
headers = {}
Slavek Kabrda 984d0f
if pagure_config.get("SSH_ADMIN_TOKEN"):
Slavek Kabrda 984d0f
    headers["Authorization"] = "token %s" % pagure_config["SSH_ADMIN_TOKEN"]
Slavek Kabrda 984d0f
resp = requests.post(url, data=data, headers=headers)
Patrick Uiterwijk 9b237b
if not resp.status_code == 200:
Patrick Uiterwijk 9b237b
    print(
Patrick Uiterwijk 9b237b
        "Error during lookup request: status: %s" % resp.status_code,
Patrick Uiterwijk 9b237b
        file=sys.stderr,
Patrick Uiterwijk 9b237b
    )
Patrick Uiterwijk 6e47de
    sys.exit(1)
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 9b237b
result = resp.json()
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 9b237b
if not result["found"]:
Patrick Uiterwijk 9b237b
    # Everything OK, key just didn't exist.
Patrick Uiterwijk 6e47de
    sys.exit(0)
Patrick Uiterwijk 6e47de
Patrick Uiterwijk 9b237b
print(
Patrick Uiterwijk aa8643
    "%s %s"
Patrick Uiterwijk aa8643
    % (pagure_config["SSH_KEYS_OPTIONS"] % result, result["public_key"])
Patrick Uiterwijk 9b237b
)