projects / snf-image-creator / blob
? search:


38dc0fba11892fa984b21fc6564883de3c386678
[snf-image-creator] / image_creator / os_type / unix.py
1 # Copyright 2012 GRNET S.A. All rights reserved.
2 #
3 # Redistribution and use in source and binary forms, with or
4 # without modification, are permitted provided that the following
5 # conditions are met:
6 #
7 #   1. Redistributions of source code must retain the above
8 #      copyright notice, this list of conditions and the following
9 #      disclaimer.
10 #
11 #   2. Redistributions in binary form must reproduce the above
12 #      copyright notice, this list of conditions and the following
13 #      disclaimer in the documentation and/or other materials
14 #      provided with the distribution.
15 #
16 # THIS SOFTWARE IS PROVIDED BY GRNET S.A. ``AS IS'' AND ANY EXPRESS
17 # OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
18 # WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
19 # PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL GRNET S.A OR
20 # CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
21 # SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
22 # LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF
23 # USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
24 # AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
25 # LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN
26 # ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
27 # POSSIBILITY OF SUCH DAMAGE.
28 #
29 # The views and conclusions contained in the software and
30 # documentation are those of the authors and should not be
31 # interpreted as representing official policies, either expressed
32 # or implied, of GRNET S.A.
33
34 import re
35
36 from image_creator.os_type import OSBase, sysprep
37
38
39 class Unix(OSBase):
40     """OS class for Unix"""
41     sensitive_userdata = [
42         '.bash_history',
43         '.gnupg',
44         '.ssh',
45         '.kamakirc',
46         '.kamaki.history'
47     ]
48
49     def __init__(self, rootdev, ghandler, output):
50         super(Unix, self).__init__(rootdev, ghandler, output)
51
52         self.meta["USERS"] = " ".join(self._get_passworded_users())
53         # Delete the USERS metadata if empty
54         if not len(self.meta['USERS']):
55             self.out.warn("No passworded users found!")
56             del self.meta['USERS']
57
58     def _get_passworded_users(self):
59         users = []
60         regexp = re.compile('(\S+):((?:!\S+)|(?:[^!*]\S+)|):(?:\S*:){6}')
61
62         for line in self.g.cat('/etc/shadow').splitlines():
63             match = regexp.match(line)
64             if not match:
65                 continue
66
67             user, passwd = match.groups()
68             if len(passwd) > 0 and passwd[0] == '!':
69                 self.out.warn("Ignoring locked %s account." % user)
70             else:
71                 users.append(user)
72
73         return users
74
75     @sysprep(enabled=False)
76     def remove_user_accounts(self, print_header=True):
77         """Remove all user accounts with id greater than 1000"""
78
79         if print_header:
80             self.out.output("Removing all user accounts with id greater than "
81                             "1000")
82
83         if 'USERS' not in self.meta:
84             return
85
86         # Remove users from /etc/passwd
87         passwd = []
88         removed_users = {}
89         metadata_users = self.meta['USERS'].split()
90         for line in self.g.cat('/etc/passwd').splitlines():
91             fields = line.split(':')
92             if int(fields[2]) > 1000:
93                 removed_users[fields[0]] = fields
94                 # remove it from the USERS metadata too
95                 if fields[0] in metadata_users:
96                     metadata_users.remove(fields[0])
97             else:
98                 passwd.append(':'.join(fields))
99
100         self.meta['USERS'] = " ".join(metadata_users)
101
102         # Delete the USERS metadata if empty
103         if not len(self.meta['USERS']):
104             del self.meta['USERS']
105
106         self.g.write('/etc/passwd', '\n'.join(passwd) + '\n')
107
108         # Remove the corresponding /etc/shadow entries
109         shadow = []
110         for line in self.g.cat('/etc/shadow').splitlines():
111             fields = line.split(':')
112             if fields[0] not in removed_users:
113                 shadow.append(':'.join(fields))
114
115         self.g.write('/etc/shadow', "\n".join(shadow) + '\n')
116
117         # Remove the corresponding /etc/group entries
118         group = []
119         for line in self.g.cat('/etc/group').splitlines():
120             fields = line.split(':')
121             # Remove groups tha have the same name as the removed users
122             if fields[0] not in removed_users:
123                 group.append(':'.join(fields))
124
125         self.g.write('/etc/group', '\n'.join(group) + '\n')
126
127         # Remove home directories
128         for home in [field[5] for field in removed_users.values()]:
129             if self.g.is_dir(home) and home.startswith('/home/'):
130                 self.g.rm_rf(home)
131
132     @sysprep()
133     def cleanup_passwords(self, print_header=True):
134         """Remove all passwords and lock all user accounts"""
135
136         if print_header:
137             self.out.output("Cleaning up passwords & locking all user "
138                             "accounts")
139
140         shadow = []
141
142         for line in self.g.cat('/etc/shadow').splitlines():
143             fields = line.split(':')
144             if fields[1] not in ('*', '!'):
145                 fields[1] = '!'
146
147             shadow.append(":".join(fields))
148
149         self.g.write('/etc/shadow', "\n".join(shadow) + '\n')
150
151     @sysprep()
152     def cleanup_cache(self, print_header=True):
153         """Remove all regular files under /var/cache"""
154
155         if print_header:
156             self.out.output('Removing files under /var/cache')
157
158         self.foreach_file('/var/cache', self.g.rm, ftype='r')
159
160     @sysprep()
161     def cleanup_tmp(self, print_header=True):
162         """Remove all files under /tmp and /var/tmp"""
163
164         if print_header:
165             self.out.output('Removing files under /tmp and /var/tmp')
166
167         self.foreach_file('/tmp', self.g.rm_rf, maxdepth=1)
168         self.foreach_file('/var/tmp', self.g.rm_rf, maxdepth=1)
169
170     @sysprep()
171     def cleanup_log(self, print_header=True):
172         """Empty all files under /var/log"""
173
174         if print_header:
175             self.out.output('Emptying all files under /var/log')
176
177         self.foreach_file('/var/log', self.g.truncate, ftype='r')
178
179     @sysprep(enabled=False)
180     def cleanup_mail(self, print_header=True):
181         """Remove all files under /var/mail and /var/spool/mail"""
182
183         if print_header:
184             self.out.output('Removing files under /var/mail & /var/spool/mail')
185
186         self.foreach_file('/var/spool/mail', self.g.rm_rf, maxdepth=1)
187         self.foreach_file('/var/mail', self.g.rm_rf, maxdepth=1)
188
189     @sysprep()
190     def cleanup_userdata(self, print_header=True):
191         """Delete sensitive userdata"""
192
193         homedirs = ['/root'] + self.ls('/home/')
194
195         if print_header:
196             self.out.output("Removing sensitive user data under %s" %
197                             " ".join(homedirs))
198
199         for homedir in homedirs:
200             for data in self.sensitive_userdata:
201                 fname = "%s/%s" % (homedir, data)
202                 if self.g.is_file(fname):
203                     self.g.scrub_file(fname)
204                 elif self.g.is_dir(fname):
205                     self.foreach_file(fname, self.g.scrub_file, ftype='r')
206
207 # vim: set sta sts=4 shiftwidth=4 sw=4 et ai :
Unnamed repository; edit this file 'description' to name the repository.