Update the options in rrsync.
[rsync.git] / support / rrsync
1 #!/usr/bin/env perl
2 # Name: /usr/local/bin/rrsync (should also have a symlink in /usr/bin)
3 # Purpose: Restricts rsync to subdirectory declared in .ssh/authorized_keys
4 # Author: Joe Smith <js-cgi@inwap.com> 30-Sep-2004
5 # Modified by: Wayne Davison <wayne@opencoder.net>
6 use strict;
7
8 use Socket;
9 use Cwd 'abs_path';
10 use File::Glob ':glob';
11
12 # You may configure these values to your liking.  See also the section
13 # of options if you want to disable any options that rsync accepts.
14 use constant RSYNC => '/usr/bin/rsync';
15 use constant LOGFILE => 'rrsync.log';
16
17 my $Usage = <<EOM;
18 Use 'command="$0 [-ro|-wo] SUBDIR"'
19         in front of lines in $ENV{HOME}/.ssh/authorized_keys
20 EOM
21
22 # Handle the -ro and -wo options.
23 our $only = '';
24 while (@ARGV && $ARGV[0] =~ /^-([rw])o$/) {
25     my $r_or_w = $1;
26     if ($only && $only ne $r_or_w) {
27         die "$0: the -ro and -wo options conflict.\n";
28     }
29     $only = $r_or_w;
30     shift;
31 }
32
33 our $subdir = shift;
34 die "$0: No subdirectory specified\n$Usage" unless defined $subdir;
35 $subdir = abs_path($subdir);
36 die "$0: Restricted directory does not exist!\n" if $subdir ne '/' && !-d $subdir;
37
38 # The client uses "rsync -av -e ssh src/ server:dir/", and sshd on the server
39 # executes this program when .ssh/authorized_keys has 'command="..."'.
40 # For example:
41 # command="rrsync logs/client" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzGhEeNlPr...
42 # command="rrsync -ro results" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAmkHG1WCjC...
43 #
44 # Format of the environment variables set by sshd:
45 # SSH_ORIGINAL_COMMAND=rsync --server          -vlogDtpr --partial . ARG # push
46 # SSH_ORIGINAL_COMMAND=rsync --server --sender -vlogDtpr --partial . ARGS # pull
47 # SSH_CONNECTION=client_addr client_port server_port
48
49 my $command = $ENV{SSH_ORIGINAL_COMMAND};
50 die "$0: Not invoked via sshd\n$Usage"  unless defined $command;
51 die "$0: SSH_ORIGINAL_COMMAND='$command' is not rsync\n" unless $command =~ s/^rsync\s+//;
52 die "$0: --server option is not first\n" unless $command =~ /^--server\s/;
53 our $am_sender = $command =~ /^--server\s+--sender\s/; # Restrictive on purpose!
54 die "$0 sending to read-only server not allowed\n" if $only eq 'r' && !$am_sender;
55 die "$0 reading from write-only server not allowed\n" if $only eq 'w' && $am_sender;
56
57 ### START of options data produced by the cull_options script. ###
58
59 # These options are the only options that rsync might send to the server,
60 # and only in the option format that the stock rsync produces.
61
62 # To disable a short-named option, add its letter to this string:
63 our $short_disabled = 's';
64
65 our $short_no_arg = 'ACDEHIJKLNORSUWXbcdgklmnopqrstuvxyz'; # DO NOT REMOVE ANY
66 our $short_with_num = '@B'; # DO NOT REMOVE ANY
67
68 # To disable a long-named option, change its value to a -1.  The values mean:
69 # 0 = the option has no arg; 1 = the arg doesn't need any checking; 2 = only
70 # check the arg when receiving; and 3 = always check the arg.
71 our %long_opt = (
72   'append' => 0,
73   'backup-dir' => 2,
74   'block-size' => 1,
75   'bwlimit' => 1,
76   'checksum-choice' => 1,
77   'checksum-seed' => 1,
78   'compare-dest' => 2,
79   'compress-choice' => 1,
80   'compress-level' => 1,
81   'copy-dest' => 2,
82   'copy-unsafe-links' => 0,
83   'daemon' => -1,
84   'debug' => 1,
85   'delay-updates' => 0,
86   'delete' => 0,
87   'delete-after' => 0,
88   'delete-before' => 0,
89   'delete-delay' => 0,
90   'delete-during' => 0,
91   'delete-excluded' => 0,
92   'delete-missing-args' => 0,
93   'existing' => 0,
94   'fake-super' => 0,
95   'files-from' => 3,
96   'force' => 0,
97   'from0' => 0,
98   'fuzzy' => 0,
99   'group' => 0,
100   'groupmap' => 1,
101   'hard-links' => 0,
102   'iconv' => 1,
103   'ignore-errors' => 0,
104   'ignore-existing' => 0,
105   'ignore-missing-args' => 0,
106   'ignore-times' => 0,
107   'info' => 1,
108   'inplace' => 0,
109   'link-dest' => 2,
110   'links' => 0,
111   'list-only' => 0,
112   'log-file' => $only eq 'r' ? -1 : 3,
113   'log-format' => 1,
114   'max-alloc' => 1,
115   'max-delete' => 1,
116   'max-size' => 1,
117   'min-size' => 1,
118   'mkpath' => 0,
119   'modify-window' => 1,
120   'msgs2stderr' => 0,
121   'new-compress' => 0,
122   'no-implied-dirs' => 0,
123   'no-msgs2stderr' => 0,
124   'no-r' => 0,
125   'no-relative' => 0,
126   'no-specials' => 0,
127   'numeric-ids' => 0,
128   'old-compress' => 0,
129   'one-file-system' => 0,
130   'only-write-batch' => 1,
131   'open-noatime' => 0,
132   'owner' => 0,
133   'partial' => 0,
134   'partial-dir' => 2,
135   'perms' => 0,
136   'preallocate' => 0,
137   'recursive' => 0,
138   'remove-sent-files' => $only eq 'r' ? -1 : 0,
139   'remove-source-files' => $only eq 'r' ? -1 : 0,
140   'safe-links' => 0,
141   'sender' => $only eq 'w' ? -1 : 0,
142   'server' => 0,
143   'size-only' => 0,
144   'skip-compress' => 1,
145   'specials' => 0,
146   'stats' => 0,
147   'suffix' => 1,
148   'super' => 0,
149   'temp-dir' => 2,
150   'timeout' => 1,
151   'times' => 0,
152   'use-qsort' => 0,
153   'usermap' => 1,
154   'write-devices' => -1,
155 );
156
157 ### END of options data produced by the cull_options script. ###
158
159 if ($short_disabled ne '') {
160     $short_no_arg =~ s/[$short_disabled]//go;
161     $short_with_num =~ s/[$short_disabled]//go;
162 }
163 $short_no_arg = "[$short_no_arg]" if length($short_no_arg) > 1;
164 $short_with_num = "[$short_with_num]" if length($short_with_num) > 1;
165
166 my $write_log = -f LOGFILE && open(LOG, '>>', LOGFILE);
167
168 chdir($subdir) or die "$0: Unable to chdir to restricted dir: $!\n";
169
170 my(@opts, @args);
171 my $in_options = 1;
172 my $last_opt = '';
173 my $check_type;
174 while ($command =~ /((?:[^\s\\]+|\\.[^\s\\]*)+)/g) {
175   $_ = $1;
176   if ($check_type) {
177     push(@opts, check_arg($last_opt, $_, $check_type));
178     $check_type = 0;
179   } elsif ($in_options) {
180     push(@opts, $_);
181     if ($_ eq '.') {
182       $in_options = 0;
183     } else {
184       die "$0: invalid option: '-'\n" if $_ eq '-';
185       next if /^-$short_no_arg*(e\d*\.\w*)?$/o || /^-$short_with_num\d+$/o;
186
187       my($opt,$arg) = /^--([^=]+)(?:=(.*))?$/;
188       my $disabled;
189       if (defined $opt) {
190         my $ct = $long_opt{$opt};
191         last unless defined $ct;
192         next if $ct == 0;
193         if ($ct > 0) {
194           if (!defined $arg) {
195             $check_type = $ct;
196             $last_opt = $opt;
197             next;
198           }
199           $arg = check_arg($opt, $arg, $ct);
200           $opts[-1] =~ s/=.*/=$arg/;
201           next;
202         }
203         $disabled = 1;
204         $opt = "--$opt";
205       } elsif ($short_disabled ne '') {
206         $disabled = /^-$short_no_arg*([$short_disabled])/o;
207         $opt = "-$1";
208       }
209
210       last unless $disabled; # Generate generic failure
211       die "$0: option $opt has been disabled on this server.\n";
212     }
213   } else {
214     if ($subdir ne '/') {
215       # Validate args to ensure they don't try to leave our restricted dir.
216       s{//+}{/}g;
217       s{^/}{};
218       s{^$}{.};
219     }
220     push(@args, bsd_glob($_, GLOB_LIMIT|GLOB_NOCHECK|GLOB_BRACE|GLOB_QUOTE));
221   }
222 }
223 die "$0: invalid rsync-command syntax or options\n" if $in_options;
224
225 if ($subdir ne '/') {
226     die "$0: do not use .. in any path!\n" if grep m{(^|/)\.\.(/|$)}, @args;
227 }
228
229 @args = ( '.' ) if !@args;
230
231 if ($write_log) {
232   my ($mm,$hh) = (localtime)[1,2];
233   my $host = $ENV{SSH_CONNECTION} || 'unknown';
234   $host =~ s/ .*//; # Keep only the client's IP addr
235   $host =~ s/^::ffff://;
236   $host = gethostbyaddr(inet_aton($host),AF_INET) || $host;
237   printf LOG "%02d:%02d %-13s [%s]\n", $hh, $mm, $host, "@opts @args";
238   close LOG;
239 }
240
241 # Note: This assumes that the rsync protocol will not be maliciously hijacked.
242 exec(RSYNC, @opts, '--', @args) or die "exec(rsync @opts -- @args) failed: $? $!";
243
244 sub check_arg
245 {
246   my($opt, $arg, $type) = @_;
247   $arg =~ s/\\(.)/$1/g;
248   if ($subdir ne '/' && ($type == 3 || ($type == 2 && !$am_sender))) {
249     $arg =~ s{//}{/}g;
250     die "Do not use .. in --$opt; anchor the path at the root of your restricted dir.\n"
251       if $arg =~ m{(^|/)\.\.(/|$)};
252     $arg =~ s{^/}{$subdir/};
253   }
254   $arg;
255 }