home *** CD-ROM | disk | FTP | other *** search

---

/ Usenet 1994 October / usenetsourcesnewsgroupsinfomagicoctober1994disk2.iso / unix / volume22 / pty / part02 / INSTALLREADABLE

next >

Wrap

Text File  |  1990-10-09  |  23KB  |  527 lines

---

1. This is a typescript of INSTALL on a Sun 4 running SunOS 4.0.3.
2. I've inserted some further comments at spots where INSTALL might give
3. different results on different machines.
4.  
5.  
6.  
7. Hi, and welcome to the pty install script.
8. pty is a program for managing pseudo-terminals.
9.  
10. I'm not actually going to install anything.
11. I'll just guide you through what has to be done,
12. from compiling through installation.
13.  
14. One advantage of this hands-off philosophy is that
15. you can kill and restart this script at any time.
16. You may prefer to read through INSTALLREADABLE,
17. which has the same information.
18.  
19. In the first part of this script, I'll lead you through configuration.
20. For the moment, don't actually change anything in your system. Just
21. alternate between reading this script and fooling around with the
22. Makefile, and I'll remind you later, after compilation, of what has
23. to be changed elsewhere.
24.  
25. I need the following programs: echo, tr [-d], man, sed [-n], grep, test.
26.  
27. ----- Press return to continue. 
28.  
29. The first versions of pty were designed on a BSD 4.2-based system.
30. During May 1990 pty 3.0 was written completely from scratch,
31. on a BSD 4.3-based system. It has been thoroughly tested on
32. several BSD 4.3-based systems, tested with a few Makefile changes
33. on several BSD 4.2-based systems, and run on at least one mutant.
34.  
35. If you make it through installation and testing and get pty running,
36. please send a note to the author, Dan Bernstein, on the Internet
37. at brnstnd@nyu.edu. Let him know your computer model, OS version, and
38. what changes you had to make. If you have any trouble, please also get
39. in touch with the author. If you have a different kind of system with
40. pseudo-terminal support that could use a pty port, the author would
41. love to hear about it.
42.  
43. One note: Like all software, pty comes without warranty, to the extent
44. permitted by applicable law. Use it at your own risk.
45.  
46. ----- Press return to continue. 
47.  
48. I assume that you don't want to make any major changes
49. to your computer just to take advantage of pty's capabilities.
50. You might not even have a privileged account, for all I know.
51.  
52. The first major decision you have to make is what privileges to give pty.
53. Obviously if you don't have privileges then pty won't either;
54. this is Case UN.
55.  
56. ----- Press return to continue. 
57.  
58. There are several good reasons for giving programs privileges.
59. Most importantly, privileged programs can precisely control access
60. to a shared resource. pty supports an interactive user list in
61. /etc/utmp, a login-logout record in /usr/adm/wtmp, and controlled
62. access to the pseudo-terminal files themselves, including security and
63. mode changing. None of these are possible if pty isn't setuid.
64.  
65. If your system has a lot more tty security than usual, you probably
66. won't be able to run pty without privileges. (However, if your system
67. has a lot more tty security than usual, it's almost certainly running
68. pty anyway.)
69.  
70. ----- Press return to continue. 
71.  
72. If you do want pty to have privileges, you have to decide between
73. setting up pty as root (Case ROOT) or as some other user, say ``pty''
74. (Case PTY). Staying away from root has the advantage that problems
75. can't possibly destroy all security in one blow. However, root has
76. several advantages, mainly because of BSD limitations: 1. A process
77. can't change ownership of a file between its euid and uid. Only root
78. can change ownership. It shouldn't be necessary to change ownership
79. of ptys anyway, but that's what many programs assume. 2. MAXUPRC in
80. <sys/param.h> limits the number of processes under a given *effective*
81. uid. This absolutely idiotic behavior is a serious problem for programs
82. setuid to anything other than root. pty tries to work around this
83. problem, but there are no true solutions. 3. Despite the documentation
84. in kill(2), many machines don't allow non-root processes to send
85. CONT to children with a different uid. Unlike almost all other programs,
86. pty sensibly handles its child stopping and restarting; but this won't
87. work on those machines if pty isn't root.
88.  
89. You should decide now between Case ROOT and Case PTY.
90.  
91. ----- Press return to continue. 
92.  
93. Whether you've decided on ROOT, PTY, or UN,
94. now is the time to check the security of the entire pty package.
95. It'd be difficult for anything to slip through the checks by the
96. author, testers, and source group moderator, but you should take
97. at least a moment to look for your pet security peeves.
98.  
99. A couple of security notes: The only open(,O_CREAT) in pty is in
100. master.c, at the top of master(), of a file with a very restricted
101. form constructed from the filename of a /dev/ttyxx. There are no
102. creat()s. The only bind() is in sock.c's pty_readsock(), which is
103. called only from master.c's master() to create a socket with a
104. similarly restricted name. (fnsty is changed in sigler but not in
105. master.) The only exec() is in slave.c, after a forced setreuid()
106. to a uid that is only set to getuid(). unlink(), mkdir(), and rename()
107. are only used with restricted pathnames.
108.  
109. ----- Press return to continue. 
110.  
111. In Case PTY, you have to set up a new uid, say ``pty'' (or whatever
112. username you want). pty should not allow logins. Its password should
113. be an asterisk; its home directory should be /nonexistent; its shell
114. should be /bin/true. In other words, the only access to user pty
115. should be through these setuid programs.
116.  
117. In any privileged case you should have group tty,
118. which most BSD 4.3 systems have as gid 4. 
119.  
120. Running $ ttygroup="`sed -n 's/^tty:[^:]*:\(.*\):.*/\1/p' < /etc/group`" ...
121.  
122. I see that you have a tty group, 4 as usual. Good.
123.  
124. [Note: Under SunOS 4.0.3, ttygroup comes out to 4. On systems where it
125. comes out to nothing at all, you have to add the line tty:4:*:root to
126. /etc/group. On systems where the tty group is something other than 4,
127. just remember it.]
128.  
129. ----- Press return to continue. 
130.  
131. Next, we're going to drudge through the config.h file.
132.  
133. In Cases ROOT or PTY, you have to set up a system-wide directory
134. for storing information about pty sessions. (A session is a program
135. stuck under a pty that you can disconnect and reconnect.) Users can
136. get around this directory, storing the information in ~/.pty and
137. revoking any privileges, with pty -xS; you can even make this default
138. by setting flagxsetuid = 0 in globals.c. However, a single system-wide
139. directory is safer.
140.  
141. Anyway, that directory, PTYDIR, should be mode 0700, owner root in case
142. ROOT or pty in case PTY, group irrelevant. PTYDIR is defined in config.h
143. as /usr/etc/pty by default; if you choose a different directory, add
144. -DPTYDIR=\"/what/ever/dir/ect/ory\" to CCOPTS in the Makefile.
145.  
146. In Case UN, you may want to set up a directory ~/PTY inside your home
147. directory, and set PTYDIR to that; you may want to set flagxsetuid = 0
148. in globals.c; or you may want to just type -xS to pty all the time. I
149. recommend the first strategy.
150.  
151. ----- Press return to continue. 
152.  
153. Next come pseudo-terminal pathnames. I assume that your ptys are
154. labelled as /dev/ptyxx and /dev/ttyxx, where xx is any two-letter
155. extension. pty can support any initial strings instead of these,
156. but some of the utilities have /dev/tty hardcoded, and lots of other
157. programs running around assume those names. If you're desperate,
158. define DEVMTY and DEVSTY in the Makefile, and figure out what has to
159. be changed in util/*. (Sorry.)
160.  
161. ----- Press return to continue. 
162.  
163. The extension is traditionally [p-za-o][0-9a-f]. The first letter of the
164. second string is special: if /dev/ttyq0 doesn't exist, for example, then
165. none of /dev/ttyq[0-9a-f] will be used. (That's called a pty bank.)
166.  
167. You can change those strings by defining, e.g., PTY1=\"ABCDEFG\" or
168. PTY2=\"02468abfq\" in the Makefile. You have at least four choices here:
169. 1. Give pty its own, new, banks of new pseudo-terminals with weird bank
170. names not including a through z, and define PTY1 appropriately. pty will
171. only use those new ptys, and older programs will just use the old ptys.
172. This may require reconfiguring your system for the larger number of
173. terminals. 2. Give pty some new banks, and take out some old ones to
174. make up for it. 3. Give pty a chunk of the old banks. 4. Give pty all
175. the old banks.
176.  
177. Note that pty searches randomly through PTY1 and PTY2 by default; for
178. efficiency, PTY1 really should reflect exactly the pty banks you have.
179.  
180. ----- Press return to continue. 
181.  
182. So now you've decided on new ptys, or set aside some or all of your
183. old ptys, and changed PTY1 and PTY2 appropriately. Because BSD gives a
184. process very little control over its controlling terminal, pty has to
185. pass a terminal name explicitly when it reconnects. If any of your tty
186. (not just pseudo-tty!) filenames are longer than 30 characters, you have
187. to set -DTTYNAMELEN=60 (or whatever) in the Makefile.
188.  
189. ----- Press return to continue. 
190.  
191. /etc/utmp has traditionally listed all users logged on.
192. This nebulous concept has evolved through the years; given the way
193. that most programs use utmp, utmp is probably better defined as a
194. list of all interactive sessions. Anyway, pty supports this file,
195. and will make an entry in it when given -xu. If you have a different
196. file, add -DPTYUTMP_FILE=\"/foo/bar/utmp\" to DEFINES in the Makefile.
197.  
198. Note that /etc/utmp is unprotected (mode 666) on Suns. This was Sun's
199. attempt to let unprivileged programs manage the file. Unforunately, this
200. error in judgment opens up a huge security hole, which even on
201. single-user machines is an invitation to make mistakes. I advise you to
202. make /etc/utmp owned by root in Case ROOT or pty in Case PTY, mode 644.
203. There aren't many unprivileged programs that don't understand the
204. pty interface; people on non-Suns have survived so far, and there's
205. no reason for you to keep subscribing to an insecure model of resource
206. sharing.
207.  
208. ----- Press return to continue. 
209.  
210. Although pty will put an entry into utmp, it doesn't really support
211. the remote-host field. There is no logical association between sessions
212. and connections; why should a login require a pty, and why should a
213. session only stick around for one connection? So pty just puts "pty" in
214. the host field. You can change this with -DPTYUTMP_HOST=\"foo\"; you may
215. even want to make PTY_UTMPHOST call a function that you define.
216.  
217. (Similar comments apply to PTYWTMP_HOST. There are also PTYUTMP_SWHOST
218. and PTYWTMP_SWHOST, defaults PTYUTMP_HOST and "pty-sessuser"
219. respectively; see util/sessuser.1 for more information.)
220.  
221. ----- Press return to continue. 
222.  
223. /usr/adm/wtmp has traditionally recorded all logins, logouts, reboots,
224. ftp sessions, and various other interesting events. (The entry for a
225. line in utmp is the last entry for that line in wtmp.) pty supports wtmp
226. fully, in the same way as utmp. You should make wtmp mode 644, owner
227. root or pty as appropriate. Change PTYWTMP_FILE if /usr/adm/wtmp is
228. somewhere else.
229.  
230. ----- Press return to continue. 
231.  
232. You can turn off utmp support by uncommenting the NO_UTMP line in
233. config.h. (Just delete the initial /*.) You can also turn off support
234. for wtmp, disconnectable sessions, or changing pseudo-terminal file
235. ownership; just uncomment the appropriate line. You can force use of
236. each of these features by defining MUST_UTMP, etc., in the same way.
237.  
238. Note that the usual login programs do their own wtmp management, and
239. many accounting programs incorrectly equate session time with connect
240. time, so users will rarely want wtmp. As more programs appear using the
241. pty interface, and as login programs start using a more logical system
242. for accounting, MUST_WTMP may become an appropriate way to monitor
243. pseudo-terminal usage. For the moment, I do not advise setting any NO
244. or MUST.
245.  
246. ----- Press return to continue. 
247.  
248. pty subscribes (not very willingly) to the BSD 4.3 model of pty
249. protection, with a few twists. All ptys are under group tty, at all
250. times; if you don't have a tty group, all ptys should be under some
251. other protected group at all times. Anyway, pty will change the group of
252. each pseudo-terminal file to PTYGROUP, default 4, under -xc.
253.  
254.  
255. Since you already have a tty group, gid 4, you're fine.
256.  
257. [Note: If your tty group is something other than 4, add -DPTYGROUP=6 (or
258. whatever) to the Makefile.]
259.  
260.  
261. (Under Case UN, don't worry about all this group stuff. Just leave
262. PTYGROUP alone.)
263.  
264. ----- Press return to continue. 
265.  
266. Under -xc, pty changes the pseudo-terminal owner to the current real
267. uid. The fact that terminals need to be in the file hierarchy reflects a
268. serious failure in the BSD terminal model; but anyway, many programs
269. expect to be able to fool around with /dev/tty. After pty is done with
270. the terminal, it sets the owner back to its effective uid. You can
271. modify this behavior by changing PTYOWNER from euid to something else.
272.  
273. Under Case UN, PTYOWNER is irrelevant.
274.  
275. ----- Press return to continue. 
276.  
277. While a tty is unused, BSD systems traditionally leave it unprotected.
278. Unfortunately, this leaves some huge security holes. Here's one of
279. the biggest advantages of a privileged pty manager: unused ttys don't
280. have to be left open for any random program to use. After it's done
281. with a pseudo-terminal, pty changes it to mode UNUSEDPTYMODE, default
282. 0600. (This is another case of a poor model for kludging pty support
283. into unprivileged programs. If you haven't set up separate pty banks
284. for pty, and you really want to allow unprivileged access to unused
285. ptys, try mode 0660 and make those other programs setgid to tty.)
286.  
287. A tty that someone's using can be in many different modes. Typically
288. USEDPTYMODE should be 0600, which means user-only access, messages off,
289. biff off. If you really, really, really want to make the mistake of
290. having messages or biff on by default, try 0620, 0700, or 0720. Note
291. that the world protection should always be 0: the point of the tty group
292. is that only setgid-tty programs can access ttys.
293.  
294. As usual, you can't do anything about these in Case UN.
295.  
296. ----- Press return to continue. 
297.  
298. Now we're past generic configuration and down to your system's
299. nitty-gritty.
300.  
301. For purity, pty has SIGRET_TYPE, default int, as the type returned by a
302. signal handler. On Suns and ANSI-compliant machines, you should define
303. SIGRET_TYPE=void. Then you can admire the lint -haxc *.c output.
304.  
305. ----- Press return to continue. 
306.  
307. OUTBUFSIZE, default 16384, is the size of the buffer pty keeps between
308. the incoming data and the pseudo-tty, and between the pseudo-tty and the
309. outgoing data. If you want to spare less than 32K per pty just for
310. buffer space, feel free to change this.
311.  
312. ----- Press return to continue. 
313.  
314. GENERIC is another concession to ANSI taste. GENERIC * should be a
315. pointer type that any other pointer can be safely converted to and back;
316. GENERIC is char by default, but on newer machines can be set to void.
317. As it'll be at least five years before ANSI manages to outlaw char *,
318. and as void * is often invalid, I advise you to leave GENERIC alone.
319.  
320. ----- Press return to continue. 
321.  
322. pty attempts to forward window-size changes transparently. It also
323. supports the auxiliary characters structure, which lets you type a
324. single character to get system and tty status.
325.  
326. Running $ man 4 tty | sed 's///g' | grep -s winsize
327. Reformatting page.  Wait... done
328.  
329. I see you don't have window sizes.
330. You'll have to comment out #define TTY_WINSIZE in config.h.
331. (This may be inaccurate on Suns; try grep winsize /usr/include/sys/tt*.h.)
332.  
333. [Note: As a matter of fact, the test is inaccurate under SunOS 4.0.3,
334. which does have window sizes. If you have window sizes, you don't have
335. to do anything.]
336.  
337. Running $ man 4 tty | sed 's///g' | grep -s auxchars
338. Reformatting page.  Wait... done
339.  
340. I see you don't have auxiliary characters.
341.  
342. [Note: This is the usual. If you have auxiliary characters and want pty
343. to understand them, uncomment #define TTY_AUXCHARS in config.h.]
344.  
345. ----- Press return to continue. 
346.  
347. pty also puts siginterrupt() and usleep() to good use in working
348. around BSD limitations. Without siginterrupt(), there is absolutely
349. no way to get per-process non-blocking I/O, so pty may block when it
350. doesn't have to (namely, when it has N bytes to write to the output,
351. the output is a pipe with M bytes of space, and N > M > 0). If you
352. define SIGINTERRUPT (as default), pty will take some extra effort to
353. never, ever, ever block when it doesn't have to.
354.  
355. At one point, pty pauses to kludge around a common bug in UNIX-domain
356. sockets. With usleep() it will pause much more briefly. This makes
357. reconnects much faster.
358.  
359. Running $ man siginterrupt | sed 's///g' | grep -s siginterrupt
360. Reformatting page.  Wait... done
361.  
362. I see you have siginterrupt(). Good.
363.  
364. Weird, are you BSD 4.3?
365.  
366. [Note: Without siginterrupt(), you have to comment out #define
367. SIGINTERRUPT in config.h.]
368.  
369. Running $ man usleep | sed 's///g' | grep -s usleep
370. Reformatting page.  Wait... done
371.  
372. I see you have usleep(). Good.
373.  
374. [Note: Without usleep(), you have to comment out #define USLEEP in
375. config.h.]
376.  
377. ----- Press return to continue. 
378.  
379. Finally (almost done with configuration!), we have to make sure that you
380. have UNIX-domain sockets, and check whether you have file descriptor
381. passing.
382.  
383. Running $ test -r /usr/include/sys/un.h
384.  
385. I see you have UNIX-domain sockets. Good.
386.  
387. [Note: If <sys/un.h> isn't there, you probably don't have UNIX-domain
388. sockets, which means you can't have disconnectable sessions. Define
389. NO_UNIXSOCKS in config.h.]
390.  
391. Running $ man recvmsg | sed 's///g' | grep -s rights
392. Reformatting page.  Wait... done
393.  
394. I see you have file descriptor passing. Good. (Your fd passing may be
395. buggy, as it's a relatively new, powerful, and rarely exploited
396. feature. If you have trouble, try defining NO_FDPASSING.)
397.  
398. [Note: If there isn't a recvmsg() man page mentioning access rights, you
399. probably don't have file descriptor passing. This isn't a disaster,
400. though it means that reconnected sessions will be as slow as they are in
401. programs other than pty. Define NO_FDPASSING.]
402.  
403. ----- Press return to continue. 
404.  
405. Whew! We've finally made it through configuration. If you want, try
406. running lint -haxc *.c or whatever your favorite code checker is; the
407. lint here gives some bogus errors about correct char * casts, an error
408. because the SIG_IGN definition is unportable, and a couple of bzero
409. complaints because FD_ZERO isn't defined very well.
410.  
411. If you're on an old system without FD_ZERO, FD_SET, and FD_ISSET in
412. <sys/types.h>, I recommend you upgrade. Try copying file.h.old to file.h
413. (the original version is in file.h.new).
414.  
415. We're nearly at the end. Change CC and CCOPTS in the Makefile for any
416. last-minute additions; if you're worried, change -s to -g for debugging.
417. Now compile! % (date; make) >>& Makelog & and come back to this script.
418.  
419. ----- Press return to continue. 
420.  
421. While the program is compiling, let's start providing some support.
422. (If the compile finishes or has an error, just ignore it for the
423. moment.) These are some real changes, so watch out!
424.  
425. First---in Case PTY only!---make a new uid, pty, not allowing logins.
426.  
427. /etc/passwd:  pty:*:whatever:4:::/bin/true
428.  
429. ----- Press return to continue. 
430.  
431. Second, make sure you have a tty group set up.
432.  
433. /etc/group:  tty:*:4:root
434.  
435. ----- Press return to continue. 
436.  
437. Third, make PTYDIR.
438.  
439. ROOT: # mkdir /usr/etc/pty; chmod 700 /usr/etc/pty
440. PTY: # mkdir /usr/etc/pty; chown pty /usr/etc/pty; chmod 700 /usr/etc/pty
441. UN: % mkdir ~/PTY; chmod 700 ~/PTY
442.  
443. ----- Press return to continue. 
444.  
445. Fourth, make sure you have all the pseudo-terminal files set up and
446. appropriately configured.
447.  
448. Change each of them to group tty.
449.  
450. Change each of them to owner pty in case PTY or root in case ROOT.
451.  
452. Change each of them to mode UNUSEDPTYMODE (0600).
453.  
454. ----- Press return to continue. 
455.  
456. Fifth, make sure /etc/utmp and /usr/adm/wtmp exist, owned by root in
457. Case ROOT or pty in Case PTY, each mode 644. (In Case UN, you probably
458. want to be working on a Sun with its insecure /etc/utmp, so that pty can
459. take advantage of it. Sigh.)
460.  
461. ----- Press return to continue. 
462.  
463. Sixth, I advise that you make a special directory /usr/local/ptybin for
464. pty and its associated utilities, with symbolic links in /usr/local.
465. This choice isn't too important, but it's easier if you know a
466. place to put programs.
467.  
468. ----- Press return to continue. 
469.  
470. Okay. You've done about all that can be done before compilation
471. finishes, so go do something else.
472.  
473. ----- Press return to continue. 
474.  
475. The compile should be done now. If all went well, the make should have
476. exited normally, Makelog should show no errors, and you should have an
477. executable pty program sitting in this directory. Unfortunately, life
478. isn't always so generous. Here are a few of the more common errors.
479.  
480. The loader complains about missing getopt(), optarg, and optind: These
481. are all in the getopt library, available in the early volumes of
482. comp.sources.unix. If you use GNU getopt, please make sure you
483. understand the implications of its license.
484.  
485. The loader complains about missing FD_ZERO, FD_SET, and FD_ISSET: Try
486. copying file.h.old to file.h and recompiling. If the compiler gives
487. various further errors related to these macros, uncomment the
488. commented-out lines in file.h.old, copy to file.h, and try once again.
489.  
490. bcopy() isn't defined: In pty.h, change bcopy(src,dst,num) to
491. memcpy(dst,src,num). (Note the order.) Try again.
492.  
493. If you still can't get the code to compile, let the author know.
494.  
495. ----- Press return to continue. 
496.  
497. Next, compile the utilities. There isn't much to say about them;
498. they're all public domain, some of them clones of or improvements
499. over standard utilities, some of them clones with special features to
500. work with pty, some of them entirely new programs for pty's new
501. features. Just glance at the top of util/Makefile; then
502. % cd util; (date; make) >>& Makelog & and wait.
503.  
504. Warning: The pty session directory is hardcoded in util/sessutil.c.
505. If you have changed PTYDIR, check through sessutil.c carefully.
506.  
507. ----- Press return to continue. 
508.  
509. So now you should have some executables sitting around collecting dust.
510. In Cases ROOT and PTY, put {pty,biff,disconnect,mesg,reconnect,sesskill,
511. sesslist,sessname,sessuser} into a system-wide directory, owner root or
512. pty, mode 4755. Put wall and write into the same place, group tty, mode
513. 2755. Put {condom,excloff,exclon,last,lock,script,script.tidy,sess,tiocsti,
514. tty,u,who,xdisconnect,xreconnect,xsesskill,xsesslist,xsessname,xsessuser}
515. into the same place, mode 755. Make absolutely sure none of the shell
516. scripts are setuid.
517.  
518. In Case UN, just put all the programs somewhere in your PATH.
519.  
520. That's it! Try running TESTS now.
521.  
522. (Two other things you have to do at some point: move your old script,
523. biff, mesg, and so on to script.old, biff.old, mesg.old, etc., with
524. symbolic links to the new versions in their place; and move the old
525. /usr/man/{script,biff,mesg,...}.1 somewhere else, copy all the *.1
526. here to /usr/man/man1, and run /etc/catman.)
527.