Add separate I/O logging functions for tty in/out and stdin/stdout/stderr.
NOTE: stdin logging does not currently work and is disabled for now.

Add pointer to a printf like function to plugin open functon.
This can be used instead of the conversation function to display
info and error messages.

Stop if make in a subdir fails

Only set user's tty to blocking mode when doing the final flush.
Flush pipes as well as pty master when the process is done.

Use print_error() when displaying ldap config info in debugging mode.

No longer need strdup() or strndup() replacements.

Add print_error() function that uses the conversation function to
print a variable number of error strings and use it in log_error().

Do not need the opost flag to term_copy() now that we use pipes for
stdout/stderr when they are not a tty.

Use pipes to the sudo process if stdout or stderr is not a tty.
Still needs some polishing and a decision as to whether it is
desirable to add additonal entry points for logging stdout/stderr/stdin
when they are not ttys.  That would allow a replay program to keep
things separate and to know whether the terminal needs to be in raw
mode at replay time.

Move audit sources into the sudoers plugin dir; the driver does not use them.

Use angle brackets when including headers that can only be found when
an -I flag is specified.  The files in the compat dir could get away
with double quotes here but I've converted all the source files
to use angle brackets for consistency.

Add missing -I$(top_srcdir) to CPPFLAGS so includes in the compat dir
can be found when building outside the source tree.

Clean up links in distclean

Hack around VPATH semantic differences by symlinking files we need from
../../src into the current directory and build those.  A better fix would
be to either make a .a or .la file with those files in it or simply
use a single, flat, Makefile instead of per-subdirs Makefiles.

fmt_string is used by the sudoers plugin too so do not include sudo.h
(which is not really needed here anyway)

Fix building with non-BSD versions of make such as GNU make.
Requires VPATH support, which should be in any non-neolithic make.

Re-enable bsm audit.  Currently auditing is done within the sudoers
plugin itself.  If possible, this should really be done in the main
driver but we don't presently have the needed data to do that.  This
will be re-evaluated when Linux audit support is added.

Remove extraneous $srcdir and use more .c.lo and .c.o rules instead
of explicit rules in the dependency.

Fix mismerge; alias_remove_recursive() now returns int

Fix a crash when checking a sudoers file that has aliases that reference
themselves.  Based on a diff from David Wood.

Print signal info after restoring the tty mode, not before.

Defer call to alarm() until after we fork the child.
Pass correct pid to terminate_child()
If the command exits due to signal, set alive to false like we do when it
    exits normally.
Add missing check for errpipe[0] != -1 before using it in FD_ISSET

Use 1/0 instead of TRUE/FALSE so we don't need sudoers.h

Simplify dependencies by using .c.o and .c.lo rules.

Substitute in @PROGS@ into src/Makefile to add sesh

Add back calls to log_denial() if sudoers does not allow the command.

Pass in correct pwflag for list and validate.

Add missing check for NULL in validate_env_vars

Add sudo_noexec.la to "all" target, otherwise it only gets built
at install time.

Only set sudo_user.env_vars if the env_add list is empty.

Set sudo_user.env_vars so that environment variables specified on
the command line get logged correctly.

Re-enable environment files and setting environment variables on the
command line.

Fix typo in last commit (ifndef vs ifdef)
Make sure we pass ctime() a pointer to time_t as tv_sec in struct
timeval may be long.

Don't stash ctime in on-disk tty ticket info for now; on many (most?)
systems the ctime is updated when the tty is written to.  Once I
have a better idea of what systems do not update ctime on ttys (and
have a way to test for this) the ctime stash will be conditionally
re-enabled.

Add back "dist" target, this time using a MANIFEST file

Remove Makefile in distclean target

Update clean and cleandir targets

Move fileops.c defines and prototypes to filesops.h

Lock the tty timestamp when writing.  We shouldn't have to lock when
reading since the file is updated via a single write system call.

Convert to ANSI C function declarations

Remove extraneous bits and classify by source file.

Add timercmp macro for systems without it

get_boottime() now fills in a timeval struct

Store info from stat(2)ing the tty in the tty ticket when tty tickets
are in use.  On most systems, this closes the loophole whereby a user
can log out of a tty, log back in and still have the timestamp be valid.

Add timespec2timeval and use it when getting ctime/mtime

Convert perm setting to push/pop model; still needs some work
Use the stashed runas groups instead of using getgrouplist()
Reset perms to the initial value on error

fix ctim_get and mtim_get macros

Use timeval directly instead of converting to timespec when dealing
with file times and time of day.

Don't like sudoreplay with libsudoers.la due to a yacc symbol conflict.

Darwin >= 9.x has real setreuid(2)

Ansify env.c

Remove remaining references to the environ pointer.

Don't change the environ directly in the sudoers plugin

Fix typo

Fix use after free in error message when a duplicate alias exists.

Add a "noninteractive" boolean to the settings passed in to the plugin's
open function that is set when the user specifies the -n flag.

Add workaround for the lack of the environ pointer on Mac OS X
in dlopen()ed modules.  Use of environ in the sudoers plugin should
ultimately be removed but this will do for the moment.

Set errorfile to the sudoers path if we set parse_error manually.
This prevents a NULL dereference in printf() when checking a sudoers
file in strict mode when alias errors are present.

Main sudo no longer print "unable to execute" on exec failure so do it here.

Use a pipe to pass back errno to the parent if execve() fails.
If we get an error in script_child(), kill the command and exit.

Handle plugin's open function returning -2 (usage error).

If execve() fails, leave it to the plugin to print an error string.

If execve fails in logging mode, pass the errno directly to the grandparent
on the backchannel and exit.  The immediate parent will get SIGCHLD and
try to report that status but its parent will no longer be listening.
It would probably be cleaner to pass this over a pipe in script_child().

Don't override rval with results of check_user() unless it failed.

Fix typo

NULL-terminate env_add

Call the I/O log open function before the I/O version function.

Remove io_conv and just use sudo_conv

Fix set/restore perms for systems w/o setresuid

Primitive set/restore permissions.  Will be replaced by a push/pop
model.

Only need to take action on SIGCHLD in parent if no I/O logger.
If there is an I/O logger we will receive ECONNRESET or EPIPE when
we try to read from the socketpair.

Merge fb4d571495fa from the 1.7 branch to trunk.

Qualify the command even if it is in the current working directory,
e.g. "./foo" instead of just returning "foo".  This removes an ambiguity
between real commands and possible pseudo-commands in command matching.

--HG--
branch : 1.7

Don't set SA_RESTART when registering SIGALRM handler.
Do set SA_RESTART when registering SIGWINCH handler.

Add dev targets for *.man.in and *.cat that don't specfify the $(srcdir)
prefix.

If log_input or log_output returns false, terminate the command.

Better signal handling.
Instead of using a single variable to store the received signal, use
an array so we can't lose a signal when multiple are sent.
Fix process termination by SIGALRM in non-I/O logger mode.
Fix relaying terminal signals to the child in non-I/O logger mode.

Fix a race between when we get the child pid in the parent and when
the child process exits.  The problem exhibited as a hang after a
short-lived process, e.g. "sudo id" when no IO logger was enabled.

Add a note about the security implications of the fast_glob option.

Add a note about the security implications of the fast_glob option.

--HG--
branch : 1.7

Remove duplicate includes

--HG--
branch : 1.7

Fix up some AC_DEFINE descriptions and regen config.h.in

No longer check for strdup or strndup for LIBOBJ replacement.

Avoid installing signal handlers that are io-logger specific.  Fixes
job control when no io logger is enabled.

Only regen man pages from pod when configured with --with-devel

Top-level Makefile.in.  Nothing is currently substituted but this
is needed for separate build dirs.

Fix out-of-tree builds

Merge

We always install sudoreplay in 1.8

Free str after using it in the version method.  Use sudo_conv, not
io_conv since we don't have the IO conversation function pointer
in the I/O version method anymore now that io_open is delayed.

SIGPOLL is sometimes the same as SIGIO (like on HP-UX)

No need to provide strdup() or strndup(), sudo uses estrdup() and estrndup()

Add license to mksiglist.c and note that the bits from pdksh are public domain

Fix LIBOBJDIR vs. srcdir wrt the siglist bits

Add sudoreplay testsudoers and visudo to clean target

Create our own sys_siglist for systems without it for use by strsignal()

Remove duplicate $(LIBOBJDIR)

Main sudo should not block signals; the plugin should do this in
check_policy.

Fix a sizeof(ptr) vs. sizeof(*ptr)

Unlike most operating systems, HP-UX select() is not interrupted
by SIGCHLD when the signal is registered with SA_RESTART.  If
we clear SA_RESTART when calling sigaction() for SIGCHLD we get
the expected behavior and the code in the select() loops already
handles EINTR correctly.