]> granicus.if.org Git - apache/blob - modules/aaa/mod_access_compat.c
projects / apache / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Add lots of unique tags to error log messages
[apache] / modules / aaa / mod_access_compat.c
1 /* Licensed to the Apache Software Foundation (ASF) under one or more
2  * contributor license agreements.  See the NOTICE file distributed with
3  * this work for additional information regarding copyright ownership.
4  * The ASF licenses this file to You under the Apache License, Version 2.0
5  * (the "License"); you may not use this file except in compliance with
6  * the License.  You may obtain a copy of the License at
7  *
8  *     http://www.apache.org/licenses/LICENSE-2.0
9  *
10  * Unless required by applicable law or agreed to in writing, software
11  * distributed under the License is distributed on an "AS IS" BASIS,
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
13  * See the License for the specific language governing permissions and
14  * limitations under the License.
15  */
16
17 /*
18  * Security options etc.
19  *
20  * Module derived from code originally written by Rob McCool
21  *
22  */
23
24 #include "apr_strings.h"
25 #include "apr_network_io.h"
26 #include "apr_md5.h"
27
28 #define APR_WANT_STRFUNC
29 #define APR_WANT_BYTEFUNC
30 #include "apr_want.h"
31
32 #include "ap_config.h"
33 #include "httpd.h"
34 #include "http_core.h"
35 #include "http_config.h"
36 #include "http_log.h"
37 #include "http_protocol.h"
38 #include "http_request.h"
39
40 #include "mod_auth.h"
41
42 #if APR_HAVE_NETINET_IN_H
43 #include <netinet/in.h>
44 #endif
45
46 enum allowdeny_type {
47     T_ENV,
48     T_NENV,
49     T_ALL,
50     T_IP,
51     T_HOST,
52     T_FAIL
53 };
54
55 typedef struct {
56     apr_int64_t limited;
57     union {
58         char *from;
59         apr_ipsubnet_t *ip;
60     } x;
61     enum allowdeny_type type;
62 } allowdeny;
63
64 /* things in the 'order' array */
65 #define DENY_THEN_ALLOW 0
66 #define ALLOW_THEN_DENY 1
67 #define MUTUAL_FAILURE 2
68
69 typedef struct {
70     int order[METHODS];
71     apr_array_header_t *allows;
72     apr_array_header_t *denys;
73     int *satisfy; /* for every method one */
74 } access_compat_dir_conf;
75
76 module AP_MODULE_DECLARE_DATA access_compat_module;
77
78 static void *create_access_compat_dir_config(apr_pool_t *p, char *dummy)
79 {
80     int i;
81     access_compat_dir_conf *conf =
82         (access_compat_dir_conf *)apr_pcalloc(p, sizeof(access_compat_dir_conf));
83
84     for (i = 0; i < METHODS; ++i) {
85         conf->order[i] = DENY_THEN_ALLOW;
86     }
87     conf->allows = apr_array_make(p, 1, sizeof(allowdeny));
88     conf->denys = apr_array_make(p, 1, sizeof(allowdeny));
89     conf->satisfy = apr_palloc(p, sizeof(*conf->satisfy) * METHODS);
90     for (i = 0; i < METHODS; ++i) {
91         conf->satisfy[i] = SATISFY_NOSPEC;
92     }
93
94     return (void *)conf;
95 }
96
97 static const char *order(cmd_parms *cmd, void *dv, const char *arg)
98 {
99     access_compat_dir_conf *d = (access_compat_dir_conf *) dv;
100     int i, o;
101
102     if (!strcasecmp(arg, "allow,deny"))
103         o = ALLOW_THEN_DENY;
104     else if (!strcasecmp(arg, "deny,allow"))
105         o = DENY_THEN_ALLOW;
106     else if (!strcasecmp(arg, "mutual-failure"))
107         o = MUTUAL_FAILURE;
108     else
109         return "unknown order";
110
111     for (i = 0; i < METHODS; ++i)
112         if (cmd->limited & (AP_METHOD_BIT << i))
113             d->order[i] = o;
114
115     return NULL;
116 }
117
118 static const char *satisfy(cmd_parms *cmd, void *dv, const char *arg)
119 {
120     access_compat_dir_conf *d = (access_compat_dir_conf *) dv;
121     int satisfy = SATISFY_NOSPEC;
122     int i;
123
124     if (!strcasecmp(arg, "all")) {
125         satisfy = SATISFY_ALL;
126     }
127     else if (!strcasecmp(arg, "any")) {
128         satisfy = SATISFY_ANY;
129     }
130     else {
131         return "Satisfy either 'any' or 'all'.";
132     }
133
134     for (i = 0; i < METHODS; ++i) {
135         if (cmd->limited & (AP_METHOD_BIT << i)) {
136             d->satisfy[i] = satisfy;
137         }
138     }
139
140     return NULL;
141 }
142
143 static const char *allow_cmd(cmd_parms *cmd, void *dv, const char *from,
144                              const char *where_c)
145 {
146     access_compat_dir_conf *d = (access_compat_dir_conf *) dv;
147     allowdeny *a;
148     char *where = apr_pstrdup(cmd->pool, where_c);
149     char *s;
150     char msgbuf[120];
151     apr_status_t rv;
152
153     if (strcasecmp(from, "from"))
154         return "allow and deny must be followed by 'from'";
155
156     a = (allowdeny *) apr_array_push(cmd->info ? d->allows : d->denys);
157     a->x.from = where;
158     a->limited = cmd->limited;
159
160     if (!strncasecmp(where, "env=!", 5)) {
161         a->type = T_NENV;
162         a->x.from += 5;
163
164     }
165     else if (!strncasecmp(where, "env=", 4)) {
166         a->type = T_ENV;
167         a->x.from += 4;
168
169     }
170     else if (!strcasecmp(where, "all")) {
171         a->type = T_ALL;
172     }
173     else if ((s = ap_strchr(where, '/'))) {
174         *s++ = '\0';
175         rv = apr_ipsubnet_create(&a->x.ip, where, s, cmd->pool);
176         if(APR_STATUS_IS_EINVAL(rv)) {
177             /* looked nothing like an IP address */
178             return "An IP address was expected";
179         }
180         else if (rv != APR_SUCCESS) {
181             apr_strerror(rv, msgbuf, sizeof msgbuf);
182             return apr_pstrdup(cmd->pool, msgbuf);
183         }
184         a->type = T_IP;
185     }
186     else if (!APR_STATUS_IS_EINVAL(rv = apr_ipsubnet_create(&a->x.ip, where,
187                                                             NULL, cmd->pool))) {
188         if (rv != APR_SUCCESS) {
189             apr_strerror(rv, msgbuf, sizeof msgbuf);
190             return apr_pstrdup(cmd->pool, msgbuf);
191         }
192         a->type = T_IP;
193     }
194     else { /* no slash, didn't look like an IP address => must be a host */
195         a->type = T_HOST;
196     }
197
198     return NULL;
199 }
200
201 static char its_an_allow;
202
203 static const command_rec access_compat_cmds[] =
204 {
205     AP_INIT_TAKE1("order", order, NULL, OR_LIMIT,
206                   "'allow,deny', 'deny,allow', or 'mutual-failure'"),
207     AP_INIT_ITERATE2("allow", allow_cmd, &its_an_allow, OR_LIMIT,
208                      "'from' followed by hostnames or IP-address wildcards"),
209     AP_INIT_ITERATE2("deny", allow_cmd, NULL, OR_LIMIT,
210                      "'from' followed by hostnames or IP-address wildcards"),
211     AP_INIT_TAKE1("Satisfy", satisfy, NULL, OR_AUTHCFG,
212                   "access policy if both allow and require used ('all' or 'any')"),
213     {NULL}
214 };
215
216 static int in_domain(const char *domain, const char *what)
217 {
218     int dl = strlen(domain);
219     int wl = strlen(what);
220
221     if ((wl - dl) >= 0) {
222         if (strcasecmp(domain, &what[wl - dl]) != 0) {
223             return 0;
224         }
225
226         /* Make sure we matched an *entire* subdomain --- if the user
227          * said 'allow from good.com', we don't want people from nogood.com
228          * to be able to get in.
229          */
230
231         if (wl == dl) {
232             return 1;                /* matched whole thing */
233         }
234         else {
235             return (domain[0] == '.' || what[wl - dl - 1] == '.');
236         }
237     }
238     else {
239         return 0;
240     }
241 }
242
243 static int find_allowdeny(request_rec *r, apr_array_header_t *a, int method)
244 {
245
246     allowdeny *ap = (allowdeny *) a->elts;
247     apr_int64_t mmask = (AP_METHOD_BIT << method);
248     int i;
249     int gothost = 0;
250     const char *remotehost = NULL;
251
252     for (i = 0; i < a->nelts; ++i) {
253         if (!(mmask & ap[i].limited)) {
254             continue;
255         }
256
257         switch (ap[i].type) {
258         case T_ENV:
259             if (apr_table_get(r->subprocess_env, ap[i].x.from)) {
260                 return 1;
261             }
262             break;
263
264         case T_NENV:
265             if (!apr_table_get(r->subprocess_env, ap[i].x.from)) {
266                 return 1;
267             }
268             break;
269
270         case T_ALL:
271             return 1;
272
273         case T_IP:
274             if (apr_ipsubnet_test(ap[i].x.ip, r->client_addr)) {
275                 return 1;
276             }
277             break;
278
279         case T_HOST:
280             if (!gothost) {
281                 int remotehost_is_ip;
282
283                 remotehost = ap_get_remote_host(r->connection,
284                                                 r->per_dir_config,
285                                                 REMOTE_DOUBLE_REV,
286                                                 &remotehost_is_ip);
287
288                 if ((remotehost == NULL) || remotehost_is_ip) {
289                     gothost = 1;
290                 }
291                 else {
292                     gothost = 2;
293                 }
294             }
295
296             if ((gothost == 2) && in_domain(ap[i].x.from, remotehost)) {
297                 return 1;
298             }
299             break;
300
301         case T_FAIL:
302             /* do nothing? */
303             break;
304         }
305     }
306
307     return 0;
308 }
309
310 static int access_compat_ap_satisfies(request_rec *r)
311 {
312     access_compat_dir_conf *conf = (access_compat_dir_conf *)
313         ap_get_module_config(r->per_dir_config, &access_compat_module);
314
315     return conf->satisfy[r->method_number];
316 }
317
318 static int check_dir_access(request_rec *r)
319 {
320     int method = r->method_number;
321     int ret = OK;
322     access_compat_dir_conf *a = (access_compat_dir_conf *)
323         ap_get_module_config(r->per_dir_config, &access_compat_module);
324
325     if (a->order[method] == ALLOW_THEN_DENY) {
326         ret = HTTP_FORBIDDEN;
327         if (find_allowdeny(r, a->allows, method)) {
328             ret = OK;
329         }
330         if (find_allowdeny(r, a->denys, method)) {
331             ret = HTTP_FORBIDDEN;
332         }
333     }
334     else if (a->order[method] == DENY_THEN_ALLOW) {
335         if (find_allowdeny(r, a->denys, method)) {
336             ret = HTTP_FORBIDDEN;
337         }
338         if (find_allowdeny(r, a->allows, method)) {
339             ret = OK;
340         }
341     }
342     else {
343         if (find_allowdeny(r, a->allows, method)
344             && !find_allowdeny(r, a->denys, method)) {
345             ret = OK;
346         }
347         else {
348             ret = HTTP_FORBIDDEN;
349         }
350     }
351
352     if (ret == HTTP_FORBIDDEN) {
353         ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, r, APLOGNO(01797)
354                       "client denied by server configuration: %s%s",
355                       r->filename ? "" : "uri ",
356                       r->filename ? r->filename : r->uri);
357     }
358
359     return ret;
360 }
361
362 static void register_hooks(apr_pool_t *p)
363 {
364     APR_REGISTER_OPTIONAL_FN(access_compat_ap_satisfies);
365
366     /* This can be access checker since we don't require r->user to be set. */
367     ap_hook_check_access(check_dir_access, NULL, NULL, APR_HOOK_MIDDLE,
368                          AP_AUTH_INTERNAL_PER_CONF);
369 }
370
371 AP_DECLARE_MODULE(access_compat) =
372 {
373     STANDARD20_MODULE_STUFF,
374     create_access_compat_dir_config,   /* dir config creater */
375     NULL,                           /* dir merger --- default is to override */
376     NULL,                           /* server config */
377     NULL,                           /* merge server config */
378     access_compat_cmds,
379     register_hooks                  /* register hooks */
380 };
Unnamed repository; edit this file 'description' to name the repository.