File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/utils/__pycache__/verify.cpython-310.pyc
o
�����N�g�e�����������������������@���s����d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l Z
d�d�l�Z
d�d�l�Z
d�d�l
Z
d�d�l�Z
d�d�l�m�Z���d�d�l�m�Z�m�Z�m�Z���z
d�d�l�Z�d�d�l�Z
W�n
��e�y]������d�d�l�Z�Y�n�w�e���e���Z�e
j�j�����rkd�n�d�Z�g�d���Z d�d ��Z!d
d���Z"d�d
��Z#d�d���Z$d�d���Z%d�d���Z&d�d���Z'd�d�d�e�f�d�d���Z(d�d���Z)d�d���Z*d6d�d ��Z+d!d"��Z,d#d$��Z-d%d&��Z.d'd(��Z/d7d*d+��Z0d,d-��Z1d.d/��Z2d0d1��Z3d2d3��Z4d8d4d5��Z5d�S�)9z3
A few checks to make sure the environment is sane
�����N)��
LOG_LEVELS)���CommandExecutionError��SaltClientError��SaltSystemExitz�c:\salt��/)�z�tcp://z�udp://z�file://c��������������������C���s����z�d�d�l�}�W�n
��t�y�������Y�d�S�w�|�j�}�t���d�|���}�|�s$t���d�|�����d�S�|�����\�}�}�}�|�����r3t |���}�|�����r;t |���}�|�rE|�����rEt |���}�|�d�k�rc|�d�k�rcd�|�v�rZ|�sZt���d ����d�S�|�rb|�d
k�rbd�S�n�|�d�k�so|�d�k�rq|�d�k�rqd�S�t��
d�����d�t�j�d���v�r�t��
d
����d�S�)�z6
ZeroMQ python bindings >= 2.1.9 are required
r����NTz�^(\d+)\.(\d+)(?:\.(\d+))?z0Using untested zmq python bindings version: '%s'������������devz6Using dev zmq module, please report unexpected results� ���z,ZeroMQ python bindings >= 2.1.9 are requiredz�salt-masterz�The Salt Master is unstable using a ZeroMQ version lower than 2.1.11 and requires this fix: http://lists.zeromq.org/pipermail/zeromq-dev/2011-June/012094.htmlF)
��zmq� Exception��__version__��re��match��log��warning��groups��isdigit��int��critical��sys��argv)�r������verr������major��minorZ�point��r�����E/opt/saltstack/salt/lib/python3.10/site-packages/salt/utils/verify.py��zmq_version&���s@�����������������������������������������
�������������
�����������r����c��������������������C���sT���t�j�}�z�t���|�p d�d�t�j�t�j���}�|�s�|�W�S�|�d���}�|�d���W�S���t�j�y)������|���Y�S�w�)�z�
Lookup a hostname and determine its address family. The first address returned
will be AF_INET6 if the system is IPv6-enabled, and AF_INET otherwise.
Nr����)���socket��AF_INET��getaddrinfo� AF_UNSPEC��SOCK_STREAM��gaierror)���hostname��fallbackZ hostnames��hr����r����r�����
lookup_familyY���s��������������������
�������r'���c��������������������C���s����t�|���}�|�|�f�D�]e}�t���|�t�j���}�zWz�|���t�j�t�j�d�����|���|�t�|���f�����W�n<��t�yb��}���z0d�|���d�|�����}�|�j rC|���d�t
|�������}�n�|���d���}�|�d�7�}�t���|�����W�Y�d�}�~�W�|��
������d�S�d�}�~�w�w�W�|��
����q�|��
����w�d S�)
zJ
Attempt to bind to the sockets to verify that they are available
r����z�Unable to bind socket ��:z , error: z�, this might not be a problem.z'; Is there another salt-master running?NFT)�r'���r����r"����
setsockopt�
SOL_SOCKET��SO_REUSEADDR��bindr����r������args��strr����r������close)�Z interfaceZ�pub_portZ�ret_portZ�addr_family��port��sock��exc��msgr����r����r�����
verify_socketl���s(�����������������������
���
���������������r4���c��������������������C���s@���g�}�|�D�]�}�d�}�t�D�]�}�|���|���r�d�}���n�q
|�r�|���|�����q�|�S�)�z!
Filter files to verify.
TF)���DEFAULT_SCHEMES�
startswith��append)���filesZ to_verify��filenameZ�verify_file��schemer����r����r������verify_logs_filter����s������������
���������
�����r;���c��������������������C���s����t�t�|���|���S�)�z�
Verify the log files exist and are owned by the named user. Filenames that
begin with tcp:// and udp:// will be filtered out. Filenames that begin
with file:// are handled correctly
)���verify_filesr;���)�r8�����userr����r����r������verify_log_files����s������r>���c��������������������C���s`���t�j�j�����r�d�S�d�d�l�}�z�|���|���W�S���t�y/������t�d���|���t j
d�d�����t ��t�j�j
j�����Y�d�S�w�)�z.
Get the user from passwords database
Tr����NzNFailed to prepare the Salt environment for user {}. The user is not available.)���file��flush)���salt��utils��platform�
is_windows��pwd��getpwnam��KeyError��print��formatr������stderr��exit��defaultsZ exitcodes� EX_NOUSER)�r=���rE���r����r����r�����
_get_pwnam����s��������������������������������rN���c������������ �������C���s����t�j�j�����r�d�S�t�|���}�|�d���}�|�D�]�}�t�j���|���}�zC|�r>z�t���|�����W�n���t y=��}���z
|�j
t
j�k�r3��W�Y�d�}�~�n�d�}�~�w�w�t�j���|���s\t�j�j
��|�d�������W�d���������n�1�sWw�������Y���W�nI��t y���}���z%t�j���|���ryd�|���d�|���d���}�t�|�d�����|�j
t
j�k�r���d ��|���}�t�|�d�����d�}�~�w���t y���}���z
d
|���d�|�����}�t�|�d�����d�}�~�w�w�t���|���}�|�|�j�k�r�z t���|�|�d�����W�q���t y�������Y�q�w�q�d�S�)
zK
Verify that the named files exist and are owned by the named user
Tr����N��wz�Failed to create path z�, is z� a file?)�r3���zCNo permissions to access "{}", are you running as the correct user?z�Failed to create path "z�" - ���)�rA���rB���rC���rD���rN�����os��path��dirname��makedirs��OSError��errnoZ�EEXIST��isfiler8���Z�fopenr����Z�EACCESrI�����stat��st_uid��chown) r8���r=�����pwnam��uidZ�fn_rS�����errr3���Z�statsr����r����r����r<�������s\���������������������������������������������������
�����������
�������
�����
�
���������������r<���F��c��������������������C���s����t�j�j�����r�t�|�|�|�|�d���S�t�|���}�|�d���}�|�d���}�t�j�j�j�|�d�d���} |�D���]�}
|
s+q%t�j �
|
��s�z+t�j�j���d����
��t��
|
����W�d���������n�1�sIw�������Y���t�����d�k�r[t���|
|�|�����W�n$��t�y���}���z�d }�t�j���|���|
|�������t���|�j�����W�Y�d�}�~�n�d�}�~�w�w�t���|
��}
t�����d�k���r�t���|
��}�|�j�|�k�s�|�j�|�k�r�|�r�|�j�| v�r�n�t���|
|�|�����d
d���t���|
��D���D�]c}�t�j ��|
|���}�t�j j���d���|�v�r�q�t�j�j ��|���D�]H\�}�}�}�t���|�|���D�]<}�|�� d
��r�q�t�j ��|�|���}�z#t���|���}�|�j�|�k�s�|�j�|�k���r�|���r�|�j�| v���r�n�t���|�|�|�����W�q���t���y�������Y�q�w�q�q�|
|�k���rCt��!|
j"��}�|�d�k���rC|�d�k���rCt��#|
t�j$����r=t��%|
d�����q%t&�'d�|
����q%|�d�u���rNt(����d�S�d�S�)��h
Verify that the named directories are in place and that the environment
can shake the salt
)��
permissive�
skip_extrar���������F����include_default�����Nr�����,Failed to create directory path "{0}" - {1}
c��������������������S���s����g�|�]�}�d�|�v�r�|���q�S�)���jobsr����)���.0��ar����r����r�����
<listcomp>����s������z�verify_env.<locals>.<listcomp>rg�����.i����i����z/Unable to securely set the permissions of "%s".))rA���rB���rC���rD�����win_verify_envrN���r=�����get_gid_listrQ���rR�����isdirr8���Z set_umaskrT�����getuidrZ���rU���r����rJ�����writerI���rK���rV���rX���rY�����st_gid��listdir��join��sepZ�os_walk� itertools��chainr6�����S_IMODE��st_mode��access��W_OK��chmodr����r����r����)���dirsr=���r`�����pki_dirra�����root_dirr[���r\�����gidr������dir_r]���r3�����modeZ�fmode��subdirZ�fsubdir��rootr8�����namerR���Z�smoder����r����r�����
verify_env����s��������������������
���������������������������������
���
���������������������
�������
���������������������
�����������������
�
���r����c��������������������C���s����t�j�j�����r�d�S�|�t�j�j�����k�r�d�S�t�|���}�zNt�t�d���r$t�� |�|�j
����n�t���t�j�j�j�|�d�d�������t��
|�j
����t���|�j�����d�t�j�v�rG|�j�t�j�d�<�d�t�j�v�rR|�j�t�j�d�<�d�D�]
}�|�t�j�v�ra|�j�t�j�|�<�qTW�d�S���t�yt������t���d�|�����Y�d�S�w�) z0
Check user and assign process uid/gid.
T�
initgroupsFrc�����HOMEZ�SHELL)�Z�USERZ�LOGNAMEz9Salt configured to run as user "%s" but unable to switch.)�rA���rB���rC���rD���r=�����get_userrN�����hasattrrQ���r������pw_gid� setgroupsrm�����setgid��setuid��pw_uid��environ��pw_dir��pw_shell��pw_namerU���r����r����)�r=���Z�pwuserZ�envvarr����r����r�����
check_user<���s2���������������
���������
���
�����
�����������������r����c��������������������C���sl���|�g�}�t�j���|���\�}�}�|�d�k�r�|�g�}�t�j���|���\�}�}�|�|�d���k�r4|���d�|�����t�j���|���\�}�}�|�|�d���k�s |�S�)�a����
Returns a full list of directories leading up to, and including, a path.
So list_path_traversal('/path/to/salt') would return:
['/', '/path', '/path/to', '/path/to/salt']
in that order.
This routine has been tested on Windows systems as well.
list_path_traversal('c:\path\to\salt') on Windows would return:
['c:\', 'c:\path', 'c:\path\to', 'c:\path\to\salt']
r^���r����)�rQ���rR�����split��insert)�rR�����out��head��tailr����r����r������list_path_traversalb���s������������������������r����r����c��������������������C���s����t�|���D�]>}�t���|�t�j���sBd�|���d���}�t�j���|���s�|�d�7�}�n�t�j�j�� ��}�|�|�k�r1|�d�|���d���7�}�n�|�d�|���d���7�}�|�r>��d�S�t
|�����q�d�S�)�a����
Walk from the root up to a directory and verify that the current
user has access to read each directory. This is used for making
sure a user can read all parent directories of the minion's key
before trying to go and generate a new key and raising an IOError
z�Could not access rk���z� Path does not exist.z� Try running as user z
Please give z� read permissions.N)�r����rQ���ry�����R_OKrR�����existsrA���rB���r=���r����r����)�rR���r=���Z�skip_perm_errorsZ�tpathr3�����current_userr����r����r������check_path_traversal{���s������������
�������������������r����c��������������������C���s����|���d�d���}�t�j���d���r�t�������}�}�n�t���t�j���\�}�}�t j
��|���d���d���}�t�t �
|�����}�t���d�|�����t�j�}�|�d���|�k�r=d�S�d ��|�|���}�|�|�k�rO|�d
7�}�t�j�}�n�|�d���|�k�rYt�j�}�n�|�d���|�k�rct�j�}�n |�d���|�k�rlt�j�}�|�|�k�ry|�d
��|�|�����7�}�|�d�7�}�t�j�|�|�d�����d�S�)�zI
Check the number of max allowed open files and adjust if needed
Z�max_open_filesi������winr}���Z�minionsz6This salt-master instance has accepted %s minion keys.�����NzhThe number of accepted minion keys({}) should be lower than 1/4 of the max open files soft setting({}). z$salt-master will crash pretty soon! r����rb���zoAccording to the system's hard limit, there's still a margin of {} to raise the salt's max_open_files setting. z#Please consider raising this value.)���levelr3���)���getr����rC���r6���� win32fileZ�_getmaxstdio��resourceZ getrlimitZ
RLIMIT_NOFILErQ���rR���rs�����lenrr���r������debug��logging��INFOrI�����CRITICAL��WARNING)���optsZ�mof_cZ�mof_sZ�mof_hZ�accepted_keys_dirZ�accepted_countr����r3���r����r����r������check_max_open_files����s>���������������������������������������������������������
�������r����c��������������������C���s����d�}�|���t�j�j���d�d�����D�];}�|�d�k�r;t�j���t�j�j���|�|�g�����r-t���t�j�j���|�|�g�����}�q
t�j���t�j�j���|�|�g�����}�q
t�j���t�j�j���|�|�g�����}�q
|�S�)�Nr^���r����)�r����rQ���rR���rt�����islinkrs�����readlink��abspath��rR�����base��partr����r����r������_realpath_darwin����s��������������������r����c����������������
���C���s����d�}�|���t�j�j���D�]5}�|�d�k�r<z�t�j�j���t�j�j���|�|�g�����}�t�j���|���}�W�q ��t y;������t�j���t�j�j���|�|�g�����}�Y�q w�|�}�q |��
d���rJ|�d�d�����}�|�S�)�Nr^���z�\\?\r����)�r����rQ���rR���rt���rA���rB���r����rs���r����rU���r6���r����r����r����r������_realpath_windows����s������������������������
�����r����c��������������������C���s4���t�j�j�����r
t�|���S�t�j�j�����r�t�|���S�t�j�� |���S�)�z�
Cross platform realpath method. On Windows when python 3, this method
uses the os.readlink method to resolve any filesystem links.
All other platforms and version use ``os.path.realpath``.
)
rA���rB���rC���Z is_darwinr����rD���r����rQ���rR�����realpath)�rR���r����r����r����� _realpath����s
�������������r����Tc��������������������C���s����t�j���|���s�t�j���t�����|���}�t�j���|���}�t�j���|���s"t�j���|�|���}�t�j���|���}�|�r2t�|���}�t�|���}�|�rBt�j���|�|�g���|�k�r@|�S�d�S�t�j���|���|�k�rL|�S�d�S�)�a+���
Accepts the root the path needs to be under and verifies that the path is
under said root. Pass in subdir=True if the path can result in a
subdirectory of the root instead of having to reside directly in the root.
Pass realpath=False if filesystem links should not be resolved.
r^���) rQ���rR�����isabsrs�����getcwd��normpathr�����
commonpathrS���)�r����rR���r����r����r����r����r�����
clean_path����s �����������������������������������r����c������������������������sN���z�t���f�d�d���d�D�����r�W�d�S�t�t�|�d���������W�S���t�t�t�t�f�y&������Y�d�S�w�)�z+
Returns if the passed id is valid
c��������������������3���s������|�]�}�|���v�V���q�d�S�)�Nr����)�rh�����x����id_r����r����� <genexpr>"���s��������z�valid_id.<locals>.<genexpr>)�r������\���Fr}���)���any��boolr������AttributeErrorrG���� TypeError��UnicodeDecodeError)�r����r����r����r����r������valid_id����s������������������r����c��������������������C���s"���d�}�|�D�]
}�|���|���r���d�S�q�d�S�)�z�
Check a string to see if it has any potentially unsafe routines which
could be executed via python, this routine is used to improve the
safety of modules suct as virtualenv
)���import��;�
subprocess��eval��openr?�����exec��inputFT)���count)���codeZ�badsZ�badr����r����r������safe_py_code)���s��������
�������r����c��������������������C���s4���g�}�t�����D�]�\�}�}�|�t���d�d���k�r�|���|�����q�|�S�)�z(
Return the insecure logs types
��info�����)�r������itemsr����r7���)�Z�insecurer������valuer����r����r������insecure_log6���s����������
�����r����c��������������������C���s8���t���t�|���d���������t�j���}�|�t�j�k�r�t���d�����d�S�d�S�)�zF
If an insecre logging configuration is found, show a warning
Z log_levelzFInsecure logging configuration detected! Sensitive data may be logged.N) r����r����r.�����lowerr������NOTSETr����r����r����)�r����r����r����r����r�����
verify_logA���s������
���������r����c��������������������C���sJ���d�d�l�}�d�d�l�}�d�d�l�}�t�j���d�d���}�d���|�d�g���}�|�j�j�j |�|�d���s*t
d�|���������t�j���|���s5t���|�����|�j�j
����}�|�j�j
��|���r�d } |�j�j�j�d
d�d���sV|�j�j�j�d
d�d�����z�|�j�j�j�| d
d�d�����W�n���t
yq������t���d�| ����Y�n�w�z,|�j�j�j�d�d���}
|
j�d
d�d�d�d�����|
j�d�d�d�d�d�����|
j�d�d�d�d�d�����|
j�| d�d�����W�n���t
y�������t���d�| ����Y�n�w�|�j�j
��|�����r�z�|�j�j�j�|�d
d�����W�n���t
y�������t���d�|�����Y�n�w�|���s�z*|�j�j�����}
|
j�d
d�d�d�d�����|
j�d�d�d�d�d�����|
j�d�d�d�d�d�����|
j�|�d�d�����W�n���t
��y�������t���d�|�����Y�n�w�|�D�]�}�|���s���q�t�j���|�����sLz�t���|�����W�n%��t���yK��}���z�d�}
t�j���|
��|�|�������t���|�j ����W�Y�d�}�~�n�d�}�~�w�w�|�|�k���r�z4|�j�j�j�|�d
d�����|�j�j�����}
|
j�d
d�d�d�d�����|
j�d�d�d�d�d�����|
j�d�d�d�d�d�����|
j�|�d�d�����W���q���t
��y�������t���d�|�����Y���q�w���q�|�d u���r�t!����d�S�d�S�)!r_���r����NZ
SystemRootz
C:\Windowsr����Z�TEMP)�rR����
allow_pathz0`file_roots` set to a possibly unsafe location: z�HKLM\SOFTWARE\Salt Project\saltZ�HKLMz�SOFTWARE\Salt Project\salt)�Z�hive��keyz�S-1-5-32-544��registry)���obj_name� principal��obj_typez)Unable to securely set the owner of '%s'.)�r����Z�grantZ�full_controlZ�this_key_subkeys)�r����Z�access_modeZ�permissionsZ
applies_toz�S-1-5-18z�S-1-3-4T)�r����Z protectedz/Unable to securely set the permissions of '%s'.)�r����r����z)Unable to securely set the owner of "%s".Z�this_folder_subfolders_filesz.Unable to securely set the permissions of '%s'rf���F)"��salt.utils.pathZ�salt.utils.win_daclZ�salt.utils.win_functionsrQ���r����r����rs���rB���rR���Z safe_pathr����rn���rT���Z
win_functionsZ�get_current_userZ�is_adminZ�win_regZ
key_existsZ set_valueZ�win_daclZ set_ownerr����r������daclZ�add_aceZ�saverU���r����rJ���rp���rI���rK���rV���r����)�rR���r|���r`���r}���ra���rA���Z�system_rootr����r����Z�reg_pathr����r����r]���r3���r����r����r����rl���M���s������������������������
�������������������������
���������������������������������������������������������������������������������������������������������������������������������������������
�����������������������������������������������������
&
���rl���)�r����F)�FT)�Fr^���F)6��__doc__rV���ru���r����rQ���r����r����rX���r����Z�salt.defaults.exitcodesrA���Z�salt.utils.filesr����Z�salt.utils.platformZ�salt.utils.userZ
salt._loggingr����Z�salt.exceptionsr����r����r����r����Z�salt.utils.win_reg��ImportErrorr����� getLogger��__name__r����rB���rC���rD���Z�ROOT_DIRr5���r����r'���r4���r;���r>���rN���r<���r����r����r����r����r����r����r����r����r����r����r����r����r����rl���r����r����r����r������<module>����s^�����������������������������������������������
��������3������� ���1
��Y�&
����<�
��
�����
����