]> WPIA git - infra.git/blob - bootstrap-user
add: readme in root dir
[infra.git] / bootstrap-user
1 #!/bin/bash
2 #Get domain-name and gigi-ip from the puppet config to know how to communicate with gigi
3 hostname=$(sed -n "/\$systemDomain/ { s/\$systemDomain = '\([^']*\)'/\1/; p }" environments/production/manifests/ip.pp)
4 ip=$(grep -A10 -F '$ips' environments/production/manifests/ip.pp | grep -F 'gigi =>' | head -n 1 | sed "s/.*'\([^']*\)'.*/\1/")
5
6 folder=.bootstrap-user-data
7 mkdir -p $folder
8
9 # Curl gigi using correct host-header, faking https-access and using the cookies in "cookie-jar"
10 function mcurl {
11     local url="$1"
12     shift
13     curl -s --header "X-Real-Proto: https" --header "Host: www.$hostname" -b $folder/cookie-jar "http://$ip/$url" "$@"
14 }
15
16 # get the csrf out of a webpage (arguments 1 and 2 can be used to select the correct csrf-token)
17 function csrf {
18     grep csrf | ${1:-cat}  | ${2:-cat} | sed "s/.*value='\([^']*\)'.*/\\1/"
19 }
20
21 # update the cookie-jar so that cookies received with https-only property are also sent over our fake-https-connection
22 function open-jar {
23     sed -i 's/TRUE/FALSE/g' "$1" # also use the cookie over insecure connection
24 }
25 function silent_read {
26     prompt="$1"
27     shift
28     read -rsp "$prompt" "$@"
29     printf '\n'
30 }
31 #execute a registration in gigi. If "$1" == "nopass" a password is not asked for but chosen at random.
32 function register {
33     csrf=$(mcurl register -c $folder/cookie-jar | csrf)
34     if ! [[ -f $folder/cookie-jar ]]; then
35         echo "error, could not start gigi"
36         exit 1
37     fi
38     open-jar $folder/cookie-jar
39     silent_read "First Name: " fname
40     silent_read "Last Name: " lname
41     silent_read "Year of birth: " year
42     silent_read "Month of birth: " month
43     silent_read "Day of birth: " day
44     silent_read "Email address: " email
45     while [[ "$email" == *"'"* || "$email" == *"\\"* ]]; do
46         silent_read "Email address was not valid, try again: " email
47     done
48     if [[ "$1" == "nopass" ]]; then
49         pw1="$(head -c 15 /dev/urandom | base64)"
50         pw2="$pw1"
51     else
52         silent_read "Password: " pw1
53         silent_read "Password (repeat): " pw2
54         while [[ "$pw1" != "$pw2" ]]; do
55             silent_read "Password: " pw1
56             silent_read "Password (repeat): " pw2
57         done
58     fi
59     mcurl register --data-urlencode "name-type=western" \
60           --data-urlencode "fname=$fname" \
61           --data-urlencode "lname=$lname" \
62           --data-urlencode "suffix" \
63           --data-urlencode "name" \
64           --data-urlencode "year=$year" \
65           --data-urlencode "month=$month" \
66           --data-urlencode "day=$day" \
67           --data-urlencode "residenceCountry=invalid" \
68           --data-urlencode "email=$email" \
69           --data-urlencode "pword1=$pw1" \
70           --data-urlencode "pword2=$pw2" \
71           --data-urlencode "general=1" \
72           --data-urlencode "country=1" \
73           --data-urlencode "regional=1" \
74           --data-urlencode "radius=1" \
75           --data-urlencode "tos_agree=1" \
76           --data-urlencode "process=Weiter" \
77           --data-urlencode "csrf=$csrf" > /dev/null
78 }
79 function check_error {
80     cat > $folder/page_output
81     if grep -q "error-msgs" $folder/page_output; then
82         cat $folder/page_output
83         exit 1
84     fi
85 }
86
87 if ! type curl > /dev/null; then
88     echo "requires curl" >&2
89     exit 1
90 fi
91 if ! [[ "$(sudo lxc-attach -n postgres-primary -- su -c "psql -At gigi" postgres <<< "\dt")" == "No relations found." ]]; then
92     echo "gigi already has a database" >&2
93     exit 1
94 fi
95 # Manually managing gigi + nginx for now
96 sudo lxc-attach -n front-nginx systemctl stop puppet.service
97 sudo lxc-attach -n gigi systemctl stop puppet.service
98
99 #Stopping nginx so no-one external can interfere with our init procedure
100 sudo lxc-attach -n front-nginx systemctl stop nginx.service
101 sudo lxc-attach -n gigi systemctl stop gigi-proxy.{socket,service}
102 sudo lxc-attach -n gigi systemctl stop cassiopeia-client.service
103 sudo lxc-attach -n gigi gigi reset-database
104 sudo lxc-attach -n gigi systemctl start cassiopeia-client.service
105 sudo lxc-attach -n gigi systemctl start gigi-proxy.socket
106
107 rm -f $folder/cookie-jar
108 echo "So... preliminary things done. Let's start with the setup"
109 echo "We need a first administrative user, this user will be one of the bootstrappers for the WoT and seed for support."
110 register
111 adminEmail=$email
112 adminPw=$pw1
113 echo "Ok, let's define the second bootstrapper"
114 register nopass
115 secondaryEmail=$email
116 echo "You should now have been sent an activation link to the email you entered previously"
117 read -rp "The activation link: " link
118 params=${link##*\?}
119 csrf=$(mcurl "verify?$params" -c $folder/cookie-jar | csrf)
120 open-jar $folder/cookie-jar
121 echo "doing verification with $params"
122 if ! mcurl verify -d "$params&csrf=$csrf" | grep -qF "<div class='alert alert-success'>"; then
123     echo "Your e-mail address did not verify." >&2
124     exit 1
125 fi
126
127 echo "granting initial bootstrapping-rights"
128 sudo lxc-attach -n postgres-primary -- su -c "psql -d gigi" postgres <<EOF
129 INSERT INTO user_groups("user","permission","grantedby") VALUES((SELECT "id" FROM "users" WHERE "email"='$adminEmail'),'supporter',(SELECT "id" FROM "users" WHERE "email"='$adminEmail'));
130 INSERT INTO user_groups("user","permission","grantedby") VALUES((SELECT "id" FROM "users" WHERE "email"='$adminEmail'),'org-agent',(SELECT "id" FROM "users" WHERE "email"='$adminEmail'));
131 INSERT INTO notary("from","to","points","location","when","date") VALUES((SELECT "id" FROM "users" WHERE "email"='$secondaryEmail'), (SELECT "preferredName" FROM "users" WHERE "email"='$adminEmail'), 100, 'initial', CURRENT_TIMESTAMP, '$(date +%Y-%m-%d)');
132 INSERT INTO notary("from","to","points","location","when","date") VALUES((SELECT "id" FROM "users" WHERE "email"='$adminEmail'), (SELECT "preferredName" FROM "users" WHERE "email"='$secondaryEmail'), 100, 'initial', CURRENT_TIMESTAMP, '$(date +%Y-%m-%d)');
133 INSERT INTO cats_passed("user_id", "variant_id") VALUES((SELECT "id" FROM "users" WHERE "email"='$adminEmail'),1);
134 EOF
135 sudo lxc-attach -n gigi -- systemctl stop gigi-proxy.service
136
137 csrf=$(mcurl login -c $folder/cookie-jar | csrf)
138 open-jar $folder/cookie-jar
139 mcurl login -c $folder/cookie-jar --data-urlencode "username=$adminEmail" --data-urlencode "password=$adminPw" --data-urlencode "csrf=$csrf" | check_error
140 open-jar $folder/cookie-jar
141
142 echo "Creating organisation"
143 csrf=$(mcurl "orga/new" | csrf)
144 mgmOid=$(mcurl "orga/new" -v -d "O=SomeCA&L=town&ST=state&C=AT&contact=ce%40email.org&comments=&action=new&csrf=$csrf" 2>&1 | grep "< Location: " | sed "s_.*/\([0-9]*\)[^0-9]*_\1_")
145 if ! grep -q '^[0-9]\+$' <<< $mgmOid; then
146     echo "Got an Organisation ID that is not a number: $mgmOid." >&2
147     exit 1
148 fi
149 printf "Management Organisation id is \"%s\"\n" "$mgmOid"
150
151 echo "using SQL to add self as orgadmin for organisation"
152 sudo lxc-attach -n postgres-primary -- su -c "psql -d gigi" postgres <<EOF
153 INSERT INTO org_admin("orgid", "memid", "creator", "master") VALUES('$mgmOid', (SELECT "id" FROM "users" WHERE "email"='$adminEmail'), (SELECT "id" FROM "users" WHERE "email"='$secondaryEmail'), 'y');
154 EOF
155 echo "adding org-domain"
156 csrf=$(mcurl orga/$mgmOid | csrf "head -n 4" "tail -n 1")
157 domainName="$hostname"
158 mcurl orga/$mgmOid -d "domain=$domainName&addDomain=action&csrf=$csrf" | check_error
159
160 csrf=$(mcurl account/details -v | csrf "tail -1")
161 mcurl account/details -v -d "orgaForm=orga&org%3A$mgmOid&csrf=$csrf" | check_error
162
163 echo "Configuring pings for the domain"
164 domain=$(mcurl "account/domains" | grep "/account/domains/" | sed "s_.*/\([0-9]\+\)'.*_\1_")
165 if ! grep -q '^[0-9]\+$' <<< $domain; then
166     echo "Got a Domain ID that is not a number: $domain." >&2
167     exit 1
168 fi
169
170 csrf=$(mcurl "account/domains/$domain" | tee $folder/domain | csrf "tail -n 1")
171
172 token=$(grep pre $folder/domain | tail -n 1 | sed "s_.*>\([a-zA-Z0-9]*\)<.*_\1_")
173 name=$(grep "content available at" $folder/domain | sed "s_.*/\([a-zA-Z0-9]*\)\\.txt.*_\1_")
174
175 sudo mkdir -p /data/nginx/challenge/.well-known/someca-challenge
176 printf "%s" "$token" | sudo tee /data/nginx/challenge/.well-known/someca-challenge/$name.txt > /dev/null
177
178 openssl req -newkey rsa:4096 -subj "/CN=$domainName/OU=$token" -nodes -out $folder/self-req -keyout $folder/self-priv
179 openssl x509 -req -in $folder/self-req -signkey $folder/self-priv -out $folder/self-cert -extfile <(printf "extendedKeyUsage = clientAuth, serverAuth\n")
180
181 cp $folder/self-cert modules/gigi/files/gigi.crt
182 setfacl -m user:puppet:r $folder/self-priv
183 cp --preserve=all $folder/self-priv modules/gigi/files/gigi.key
184 sudo lxc-attach -n front-nginx -- puppet agent --test --verbose
185
186 mcurl "account/domains/$domain" -d "HTTPType=y&SSLType=y&ssl-type-0=direct&ssl-port-0=443&ssl-type-1=direct&ssl-port-1=&ssl-type-2=direct&ssl-port-2=&ssl-type-3=direct&ssl-port-3=&csrf=$csrf" | check_error
187
188 echo "Pings configured... waiting"
189 sleep 5
190 mcurl "account/domains/$domain" > $folder/domainStatus
191
192 echo "Issuing certificate for web"
193
194 function issue {
195     options=$1
196     csrf=$(mcurl "account/certs/new" | csrf "head -n 1")
197
198     openssl req -newkey rsa:4096 -subj "/CN=blabla" -nodes -out $folder/req -keyout $folder/priv
199     encoded=$(tr '\n' '?' < $folder/req | sed "s/=/%3D/g;s/+/%2B/g;s/\?/%0A/g")
200
201     mcurl account/certs/new -d "CSR=$encoded&process=Next&csrf=$csrf" | check_error
202
203     serial=$(mcurl account/certs/new -d "$options&OU=&hash_alg=SHA256&validFrom=now&validity=2y&login=1&description=&process=Issue+Certificate&csrf=$csrf" -v 2>&1 | tee $folder/certlog | grep "< Location: " | sed "s_.*/\([a-f0-9]*\)[^0-9]*_\1_")
204     echo "Certificate: $serial"
205     if [[ $serial != "" ]]; then
206         echo "installing"
207         mcurl "account/certs/$serial.crt?chain&noAnchor" > $folder/cert.crt
208         return 0;
209     else
210         return 1;
211     fi
212 }
213 if issue "profile=server-orga&CN=&SANs=dns%3Awww.$domainName%2Cdns%3Astatic.$domainName%2Cdns%3Aapi.$domainName%2Cdns%3Asecure.$domainName"; then
214     cp $folder/cert.crt modules/gigi/files/gigi.crt
215     setfacl -m user:puppet:r $folder/priv
216     cp --preserve=all $folder/priv modules/gigi/files/gigi.key
217     echo "reloading cert"
218     sudo lxc-attach -n front-nginx -- puppet agent --test --verbose
219 else
220     echo "refusing to update"
221 fi
222
223 if issue "profile=mail-orga&CN=Gigi+System&SANs=email%3Agigi@$domainName"; then
224     echo "great!"
225     keystorepw=$(head -c 15 /dev/urandom | base64)
226     openssl pkcs12 -export -name "mail" -in $folder/cert.crt -inkey $folder/priv -CAfile modules/nre/files/config/ca/root.crt -password file:<(printf '%s' "$keystorepw") | sudo tee modules/gigi/files/keystore.pkcs12 > /dev/null
227     printf '%s' "$keystorepw" | sudo tee modules/gigi/files/keystorepw > /dev/null
228 else
229     echo "refusing to update"
230 fi
231 echo "marking gigi ready"
232 echo yes | sudo lxc-attach -n gigi tee /gigi-ready > /dev/null
233 sudo lxc-attach -n gigi -- puppet agent --test --verbose
234
235 sudo lxc-attach -n front-nginx systemctl start puppet.service
236 sudo lxc-attach -n gigi systemctl start puppet.service