Compare commits
3 Commits
| Author | SHA1 | Date | |
|---|---|---|---|
| 9efebbc02a | |||
| ef41d682a1 | |||
| 42f0d5e575 |
2
build.go
2
build.go
@@ -63,7 +63,7 @@ func BuildCmd() *cli.Command {
|
||||
},
|
||||
},
|
||||
Action: func(c *cli.Context) error {
|
||||
if err := utils.EnuseIsPrivilegedGroupMember(); err != nil {
|
||||
if err := utils.CheckUserPrivileges(); err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
|
||||
34
fix.go
34
fix.go
@@ -131,22 +131,22 @@ func FixCmd() *cli.Command {
|
||||
}
|
||||
}
|
||||
|
||||
// Создаем базовый каталог /tmp/alr с владельцем root:wheel и правами 775
|
||||
err = utils.EnsureTempDirWithRootOwner(tmpDir, 0o775)
|
||||
// Создаем базовый каталог /tmp/alr с владельцем root:wheel и правами 2775
|
||||
err = utils.EnsureTempDirWithRootOwner(tmpDir, 0o2775)
|
||||
if err != nil {
|
||||
slog.Warn(gotext.Get("Unable to create temporary directory"), "error", err)
|
||||
}
|
||||
|
||||
// Создаем каталог dl с правами для группы wheel
|
||||
dlDir := filepath.Join(tmpDir, "dl")
|
||||
err = utils.EnsureTempDirWithRootOwner(dlDir, 0o775)
|
||||
err = utils.EnsureTempDirWithRootOwner(dlDir, 0o2775)
|
||||
if err != nil {
|
||||
slog.Warn(gotext.Get("Unable to create download directory"), "error", err)
|
||||
}
|
||||
|
||||
// Создаем каталог pkgs с правами для группы wheel
|
||||
pkgsDir := filepath.Join(tmpDir, "pkgs")
|
||||
err = utils.EnsureTempDirWithRootOwner(pkgsDir, 0o775)
|
||||
err = utils.EnsureTempDirWithRootOwner(pkgsDir, 0o2775)
|
||||
if err != nil {
|
||||
slog.Warn(gotext.Get("Unable to create packages directory"), "error", err)
|
||||
}
|
||||
@@ -158,7 +158,8 @@ func FixCmd() *cli.Command {
|
||||
// Проверяем, есть ли файлы в директории
|
||||
entries, err := os.ReadDir(tmpDir)
|
||||
if err == nil && len(entries) > 0 {
|
||||
fixCmd := execWithPrivileges("chown", "-R", "root:wheel", tmpDir)
|
||||
group := utils.GetPrivilegedGroup()
|
||||
fixCmd := execWithPrivileges("chown", "-R", "root:"+group, tmpDir)
|
||||
if fixErr := fixCmd.Run(); fixErr != nil {
|
||||
slog.Warn(gotext.Get("Unable to fix file ownership"), "error", fixErr)
|
||||
}
|
||||
@@ -172,26 +173,11 @@ func FixCmd() *cli.Command {
|
||||
|
||||
slog.Info(gotext.Get("Rebuilding cache"))
|
||||
|
||||
// Пробуем создать директорию кэша
|
||||
err = os.MkdirAll(paths.CacheDir, 0o775)
|
||||
// Создаем директорию кэша с правильными правами
|
||||
slog.Info(gotext.Get("Creating cache directory"))
|
||||
err = utils.EnsureTempDirWithRootOwner(paths.CacheDir, 0o2775)
|
||||
if err != nil {
|
||||
// Если не получилось, пробуем через sudo с правильными правами для группы wheel
|
||||
slog.Info(gotext.Get("Creating cache directory with sudo"))
|
||||
sudoCmd := execWithPrivileges("mkdir", "-p", paths.CacheDir)
|
||||
if sudoErr := sudoCmd.Run(); sudoErr != nil {
|
||||
return cliutils.FormatCliExit(gotext.Get("Unable to create new cache directory"), err)
|
||||
}
|
||||
|
||||
// Устанавливаем права 775 и группу wheel
|
||||
chmodCmd := execWithPrivileges("chmod", "775", paths.CacheDir)
|
||||
if chmodErr := chmodCmd.Run(); chmodErr != nil {
|
||||
return cliutils.FormatCliExit(gotext.Get("Unable to set cache directory permissions"), chmodErr)
|
||||
}
|
||||
|
||||
chgrpCmd := execWithPrivileges("chgrp", "wheel", paths.CacheDir)
|
||||
if chgrpErr := chgrpCmd.Run(); chgrpErr != nil {
|
||||
return cliutils.FormatCliExit(gotext.Get("Unable to set cache directory group"), chgrpErr)
|
||||
}
|
||||
return cliutils.FormatCliExit(gotext.Get("Unable to create new cache directory"), err)
|
||||
}
|
||||
|
||||
deps, err = appbuilder.
|
||||
|
||||
@@ -176,8 +176,13 @@ func getBasePkgInfo(vars *alrsh.Package, input interface {
|
||||
OsInfoProvider
|
||||
},
|
||||
) *nfpm.Info {
|
||||
repo := input.Repository()
|
||||
// Избегаем дублирования "alr-" префикса
|
||||
if strings.HasPrefix(repo, "alr-") {
|
||||
repo = repo[4:] // убираем "alr-" префикс
|
||||
}
|
||||
return &nfpm.Info{
|
||||
Name: fmt.Sprintf("%s+alr-%s", vars.Name, input.Repository()),
|
||||
Name: fmt.Sprintf("%s+alr-%s", vars.Name, repo),
|
||||
Arch: cpu.Arch(),
|
||||
Version: vars.Version,
|
||||
Release: overrides.ReleasePlatformSpecific(vars.Release, input.OSRelease()),
|
||||
|
||||
@@ -62,11 +62,9 @@ func (d *Database) Connect() error {
|
||||
dbDir := filepath.Dir(dsn)
|
||||
if _, err := os.Stat(dbDir); err != nil {
|
||||
if os.IsNotExist(err) {
|
||||
// Директория не существует - пытаемся создать
|
||||
if mkErr := os.MkdirAll(dbDir, 0775); mkErr != nil {
|
||||
// Не смогли создать - вернём ошибку, пользователь должен использовать alr fix
|
||||
return fmt.Errorf("cache directory does not exist, please run 'alr fix' to create it: %w", mkErr)
|
||||
}
|
||||
// Директория не существует - не пытаемся создать
|
||||
// Пользователь должен использовать alr fix для создания системных каталогов
|
||||
return fmt.Errorf("cache directory does not exist, please run 'sudo alr fix' to create it")
|
||||
} else {
|
||||
return fmt.Errorf("failed to check database directory: %w", err)
|
||||
}
|
||||
|
||||
@@ -19,7 +19,6 @@ package utils
|
||||
import (
|
||||
"os"
|
||||
"os/exec"
|
||||
"os/user"
|
||||
|
||||
"github.com/leonelquinteros/gotext"
|
||||
"github.com/urfave/cli/v2"
|
||||
@@ -33,40 +32,10 @@ func IsNotRoot() bool {
|
||||
return os.Getuid() != 0
|
||||
}
|
||||
|
||||
// EnuseIsPrivilegedGroupMember проверяет, что пользователь является членом привилегированной группы (wheel)
|
||||
// EnuseIsPrivilegedGroupMember проверяет, что пользователь является членом привилегированной группы (wheel/sudo)
|
||||
// DEPRECATED: используйте CheckUserPrivileges() из utils.go
|
||||
func EnuseIsPrivilegedGroupMember() error {
|
||||
// В CI пропускаем проверку группы wheel
|
||||
if os.Getenv("CI") == "true" {
|
||||
return nil
|
||||
}
|
||||
|
||||
// Если пользователь root, пропускаем проверку
|
||||
if os.Geteuid() == 0 {
|
||||
return nil
|
||||
}
|
||||
|
||||
currentUser, err := user.Current()
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
privilegedGroup := GetPrivilegedGroup()
|
||||
group, err := user.LookupGroup(privilegedGroup)
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
groups, err := currentUser.GroupIds()
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
for _, gid := range groups {
|
||||
if gid == group.Gid {
|
||||
return nil
|
||||
}
|
||||
}
|
||||
return cliutils.FormatCliExit(gotext.Get("You need to be a %s member to perform this action", privilegedGroup), nil)
|
||||
return CheckUserPrivileges()
|
||||
}
|
||||
|
||||
func RootNeededAction(f cli.ActionFunc) cli.ActionFunc {
|
||||
|
||||
@@ -17,8 +17,10 @@
|
||||
package utils
|
||||
|
||||
import (
|
||||
"fmt"
|
||||
"os"
|
||||
"os/exec"
|
||||
"os/user"
|
||||
"strings"
|
||||
|
||||
"golang.org/x/sys/unix"
|
||||
@@ -28,66 +30,135 @@ func NoNewPrivs() error {
|
||||
return unix.Prctl(unix.PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)
|
||||
}
|
||||
|
||||
// EnsureTempDirWithRootOwner создает каталог в /tmp/alr с правами для привилегированной группы
|
||||
// Все каталоги в /tmp/alr принадлежат root:привилегированная_группа с правами 775
|
||||
// EnsureTempDirWithRootOwner создает каталог в /tmp/alr или /var/cache/alr с правами для привилегированной группы
|
||||
// Все каталоги в /tmp/alr и /var/cache/alr принадлежат root:привилегированная_группа с правами 2775
|
||||
// Для других каталогов использует стандартные права
|
||||
func EnsureTempDirWithRootOwner(path string, mode os.FileMode) error {
|
||||
if strings.HasPrefix(path, "/tmp/alr") {
|
||||
// Сначала создаем директорию обычным способом
|
||||
err := os.MkdirAll(path, mode)
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
needsElevation := strings.HasPrefix(path, "/tmp/alr") || strings.HasPrefix(path, "/var/cache/alr")
|
||||
|
||||
if needsElevation {
|
||||
// В CI или если мы уже root, не нужно использовать sudo
|
||||
isRoot := os.Geteuid() == 0
|
||||
isCI := os.Getenv("CI") == "true"
|
||||
|
||||
|
||||
// В CI создаем директории с обычными правами
|
||||
if isCI {
|
||||
err := os.MkdirAll(path, mode)
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
// В CI не используем группу wheel и не меняем права
|
||||
// Устанавливаем базовые права 777 для временных каталогов
|
||||
chmodCmd := exec.Command("chmod", "777", path)
|
||||
chmodCmd.Run() // Игнорируем ошибки
|
||||
return nil
|
||||
}
|
||||
|
||||
|
||||
// Для обычной работы устанавливаем права и привилегированную группу
|
||||
permissions := "2775"
|
||||
group := GetPrivilegedGroup()
|
||||
|
||||
var chmodCmd, chownCmd *exec.Cmd
|
||||
|
||||
var mkdirCmd, chmodCmd, chownCmd *exec.Cmd
|
||||
if isRoot {
|
||||
// Выполняем команды напрямую без sudo
|
||||
mkdirCmd = exec.Command("mkdir", "-p", path)
|
||||
chmodCmd = exec.Command("chmod", permissions, path)
|
||||
chownCmd = exec.Command("chown", "root:"+group, path)
|
||||
} else {
|
||||
// Используем sudo для обычных пользователей
|
||||
// Используем sudo для всех операций с привилегированными каталогами
|
||||
mkdirCmd = exec.Command("sudo", "mkdir", "-p", path)
|
||||
chmodCmd = exec.Command("sudo", "chmod", permissions, path)
|
||||
chownCmd = exec.Command("sudo", "chown", "root:"+group, path)
|
||||
}
|
||||
|
||||
// Устанавливаем права с setgid битом
|
||||
|
||||
// Создаем директорию через sudo если нужно
|
||||
err := mkdirCmd.Run()
|
||||
if err != nil {
|
||||
// Игнорируем ошибку если директория уже существует
|
||||
if !isRoot {
|
||||
// Проверяем существует ли директория
|
||||
if _, statErr := os.Stat(path); statErr != nil {
|
||||
return fmt.Errorf("не удалось создать директорию %s: %w", path, err)
|
||||
}
|
||||
}
|
||||
}
|
||||
|
||||
// Устанавливаем права с setgid битом для наследования группы
|
||||
err = chmodCmd.Run()
|
||||
if err != nil {
|
||||
// Для root игнорируем ошибки, если группа не существует
|
||||
if !isRoot {
|
||||
return err
|
||||
return fmt.Errorf("не удалось установить права на %s: %w", path, err)
|
||||
}
|
||||
}
|
||||
|
||||
// Устанавливаем владельца root:wheel
|
||||
|
||||
// Устанавливаем владельца root:группа
|
||||
err = chownCmd.Run()
|
||||
if err != nil {
|
||||
// Для root игнорируем ошибки, если группа не существует
|
||||
if !isRoot {
|
||||
return err
|
||||
return fmt.Errorf("не удалось установить владельца на %s: %w", path, err)
|
||||
}
|
||||
}
|
||||
|
||||
|
||||
return nil
|
||||
}
|
||||
|
||||
|
||||
// Для остальных каталогов обычное создание
|
||||
return os.MkdirAll(path, mode)
|
||||
}
|
||||
|
||||
// IsUserInGroup проверяет, состоит ли пользователь в указанной группе
|
||||
func IsUserInGroup(username, groupname string) bool {
|
||||
u, err := user.Lookup(username)
|
||||
if err != nil {
|
||||
return false
|
||||
}
|
||||
|
||||
groups, err := u.GroupIds()
|
||||
if err != nil {
|
||||
return false
|
||||
}
|
||||
|
||||
targetGroup, err := user.LookupGroup(groupname)
|
||||
if err != nil {
|
||||
return false
|
||||
}
|
||||
|
||||
for _, gid := range groups {
|
||||
if gid == targetGroup.Gid {
|
||||
return true
|
||||
}
|
||||
}
|
||||
return false
|
||||
}
|
||||
|
||||
// CheckUserPrivileges проверяет, что пользователь имеет необходимые привилегии для работы с ALR
|
||||
// Пользователь должен быть root или состоять в группе wheel/sudo
|
||||
func CheckUserPrivileges() error {
|
||||
// Если пользователь root - все в порядке
|
||||
if os.Geteuid() == 0 {
|
||||
return nil
|
||||
}
|
||||
|
||||
// В CI не проверяем привилегии
|
||||
if os.Getenv("CI") == "true" {
|
||||
return nil
|
||||
}
|
||||
|
||||
currentUser, err := user.Current()
|
||||
if err != nil {
|
||||
return fmt.Errorf("не удалось получить информацию о текущем пользователе: %w", err)
|
||||
}
|
||||
|
||||
privilegedGroup := GetPrivilegedGroup()
|
||||
|
||||
// Проверяем членство в привилегированной группе
|
||||
if !IsUserInGroup(currentUser.Username, privilegedGroup) {
|
||||
return fmt.Errorf("пользователь %s не имеет необходимых привилегий для работы с ALR.\n"+
|
||||
"Для работы с ALR необходимо быть пользователем root или состоять в группе %s.\n"+
|
||||
"Выполните команду: sudo usermod -a -G %s %s\n"+
|
||||
"Затем перезайдите в систему или выполните: newgrp %s",
|
||||
currentUser.Username, privilegedGroup, privilegedGroup, currentUser.Username, privilegedGroup)
|
||||
}
|
||||
|
||||
return nil
|
||||
}
|
||||
|
||||
@@ -21,6 +21,7 @@ import (
|
||||
"github.com/urfave/cli/v2"
|
||||
|
||||
appbuilder "gitea.plemya-x.ru/Plemya-x/ALR/internal/cliutils/app_builder"
|
||||
"gitea.plemya-x.ru/Plemya-x/ALR/internal/utils"
|
||||
)
|
||||
|
||||
func RefreshCmd() *cli.Command {
|
||||
@@ -29,6 +30,9 @@ func RefreshCmd() *cli.Command {
|
||||
Usage: gotext.Get("Pull all repositories that have changed"),
|
||||
Aliases: []string{"ref"},
|
||||
Action: func(c *cli.Context) error {
|
||||
if err := utils.CheckUserPrivileges(); err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
ctx := c.Context
|
||||
|
||||
|
||||
Reference in New Issue
Block a user