lib/puppet/provider/apt_key/apt_key.rb

   1 require 'open-uri'
   2 require 'net/ftp'
   3 require 'tempfile'
   4
   5 if RUBY_VERSION == '1.8.7'
   6   # Mothers cry, puppies die and Ruby 1.8.7's open-uri needs to be
   7   # monkeypatched to support passing in :ftp_passive_mode.
   8   require File.expand_path(File.join(File.dirname(__FILE__), '..', '..', '..',
   9                                     'puppet_x', 'apt_key', 'patch_openuri.rb'))
  10   OpenURI::Options.merge!({:ftp_active_mode => false,})
  11 end
  12
  13 Puppet::Type.type(:apt_key).provide(:apt_key) do
  14
  15   confine    :osfamily => :debian
  16   defaultfor :osfamily => :debian
  17   commands   :apt_key  => 'apt-key'
  18   commands   :gpg      => '/usr/bin/gpg'
  19
  20   def self.instances
  21     cli_args = ['adv','--list-keys', '--with-colons', '--fingerprint', '--fixed-list-mode']
  22
  23     if RUBY_VERSION > '1.8.7'
  24       key_output = apt_key(cli_args).encode('UTF-8', 'binary', :invalid => :replace, :undef => :replace, :replace => '')
  25     else
  26       key_output = apt_key(cli_args)
  27     end
  28
  29     pub_line, fpr_line = nil
  30
  31     key_array = key_output.split("\n").collect do |line|
  32       if line.start_with?('pub')
  33           pub_line = line
  34       elsif line.start_with?('fpr')
  35           fpr_line = line
  36       end
  37
  38       next unless (pub_line and fpr_line)
  39
  40       line_hash = key_line_hash(pub_line, fpr_line)
  41
  42       # reset everything
  43       pub_line, fpr_line = nil
  44
  45       expired = false
  46
  47       if line_hash[:key_expiry]
  48         expired = Time.now >= line_hash[:key_expiry]
  49       end
  50
  51       new(
  52         :name        => line_hash[:key_fingerprint],
  53         :id          => line_hash[:key_long],
  54         :fingerprint => line_hash[:key_fingerprint],
  55         :short       => line_hash[:key_short],
  56         :long        => line_hash[:key_long],
  57         :ensure      => :present,
  58         :expired     => expired,
  59         :expiry      => line_hash[:key_expiry].nil? ? nil : line_hash[:key_expiry].strftime("%Y-%m-%d"),
  60         :size        => line_hash[:key_size],
  61         :type        => line_hash[:key_type],
  62         :created     => line_hash[:key_created].strftime("%Y-%m-%d")
  63       )
  64     end
  65     key_array.compact!
  66   end
  67
  68   def self.prefetch(resources)
  69     apt_keys = instances
  70     resources.keys.each do |name|
  71       if name.length == 40
  72         if provider = apt_keys.find{ |key| key.fingerprint == name }
  73           resources[name].provider = provider
  74         end
  75       elsif name.length == 16
  76         if provider = apt_keys.find{ |key| key.long == name }
  77           resources[name].provider = provider
  78         end
  79       elsif name.length == 8
  80         if provider = apt_keys.find{ |key| key.short == name }
  81           resources[name].provider = provider
  82         end
  83       end
  84     end
  85   end
  86
  87   def self.key_line_hash(pub_line, fpr_line)
  88     pub_split = pub_line.split(':')
  89     fpr_split = fpr_line.split(':')
  90
  91     fingerprint = fpr_split.last
  92     return_hash = {
  93       :key_fingerprint => fingerprint,
  94       :key_long        => fingerprint[-16..-1], # last 16 characters of fingerprint
  95       :key_short       => fingerprint[-8..-1], # last 8 characters of fingerprint
  96       :key_size        => pub_split[2],
  97       :key_type        => nil,
  98       :key_created     => Time.at(pub_split[5].to_i),
  99       :key_expiry      => pub_split[6].empty? ? nil : Time.at(pub_split[6].to_i),
 100     }
 101
 102     # set key type based on types defined in /usr/share/doc/gnupg/DETAILS.gz
 103     case pub_split[3]
 104     when "1"
 105       return_hash[:key_type] = :rsa
 106     when "17"
 107       return_hash[:key_type] = :dsa
 108     when "18"
 109       return_hash[:key_type] = :ecc
 110     when "19"
 111       return_hash[:key_type] = :ecdsa
 112     end
 113
 114     return return_hash
 115   end
 116
 117   def source_to_file(value)
 118     parsedValue = URI::parse(value)
 119     if parsedValue.scheme.nil?
 120       fail("The file #{value} does not exist") unless File.exists?(value)
 121       value
 122     else
 123       begin
 124         key = parsedValue.read
 125       rescue OpenURI::HTTPError, Net::FTPPermError => e
 126         fail("#{e.message} for #{resource[:source]}")
 127       rescue SocketError
 128         fail("could not resolve #{resource[:source]}")
 129       else
 130         tempfile(key)
 131       end
 132     end
 133   end
 134
 135   def tempfile(content)
 136     file = Tempfile.new('apt_key')
 137     file.write content
 138     file.close
 139     #confirm that the fingerprint from the file, matches the long key that is in the manifest
 140     if name.size == 40
 141       if File.executable? command(:gpg)
 142         extracted_key = execute(["#{command(:gpg)} --with-fingerprint --with-colons #{file.path} | awk -F: '/^fpr:/ { print $10 }'"], :failonfail => false)
 143         extracted_key = extracted_key.chomp
 144         if extracted_key != name
 145           fail("The id in your manifest #{resource[:name]} and the fingerprint from content/source do not match. Please check there is not an error in the id or check the content/source is legitimate.")
 146         end
 147       else
 148         warning('/usr/bin/gpg cannot be found for verification of the id.')
 149       end
 150     end
 151     file.path
 152   end
 153
 154   def exists?
 155     @property_hash[:ensure] == :present
 156   end
 157
 158   def create
 159     command = []
 160     if resource[:source].nil? and resource[:content].nil?
 161       # Breaking up the command like this is needed because it blows up
 162       # if --recv-keys isn't the last argument.
 163       command.push('adv', '--keyserver', resource[:server])
 164       unless resource[:options].nil?
 165         command.push('--keyserver-options', resource[:options])
 166       end
 167       command.push('--recv-keys', resource[:id])
 168     elsif resource[:content]
 169       command.push('add', tempfile(resource[:content]))
 170     elsif resource[:source]
 171       command.push('add', source_to_file(resource[:source]))
 172     # In case we really screwed up, better safe than sorry.
 173     else
 174       fail("an unexpected condition occurred while trying to add the key: #{resource[:id]}")
 175     end
 176     apt_key(command)
 177     @property_hash[:ensure] = :present
 178   end
 179
 180   def destroy
 181     begin
 182       apt_key('del', resource.provider.short)
 183       r = execute(["#{command(:apt_key)} list | grep '/#{resource.provider.short}\s'"], :failonfail => false)
 184     end while r.exitstatus == 0
 185     @property_hash.clear
 186   end
 187
 188   def read_only(value)
 189     fail('This is a read-only property.')
 190   end
 191
 192   mk_resource_methods
 193
 194   # Needed until PUP-1470 is fixed and we can drop support for Puppet versions
 195   # before that.
 196   def expired
 197     @property_hash[:expired]
 198   end
 199
 200   # Alias the setters of read-only properties
 201   # to the read_only function.
 202   alias :created= :read_only
 203   alias :expired= :read_only
 204   alias :expiry=  :read_only
 205   alias :size=    :read_only
 206   alias :type=    :read_only
 207 end