source: mod_gnutls/src/gnutls_cache.c @ 15245bf

debian/masterdebian/stretch-backportsupstream
Last change on this file since 15245bf was 15245bf, checked in by Thomas Klute <thomas2.klute@…>, 3 years ago

Split dbm_cache_fetch() in generic and GnuTLS session specific parts

Like with dbm_cache_store(), a new wrapper function takes care of
session key calculation. This change will make it possible to use the
generic dbm_cache_fetch() for OCSP response caching.

  • Property mode set to 100644
File size: 17.9 KB
Line 
1/**
2 *  Copyright 2004-2005 Paul Querna
3 *  Copyright 2008 Nikos Mavrogiannopoulos
4 *  Copyright 2011 Dash Shendy
5 *  Copyright 2015-2016 Thomas Klute
6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 *
19 */
20
21#include "gnutls_cache.h"
22#include "mod_gnutls.h"
23
24#if HAVE_APR_MEMCACHE
25#include "apr_memcache.h"
26#endif
27
28#include "apr_dbm.h"
29
30#include "ap_mpm.h"
31
32#include <unistd.h>
33#include <sys/types.h>
34
35#if !defined(OS2) && !defined(WIN32) && !defined(BEOS) && !defined(NETWARE)
36#include "unixd.h"
37#endif
38
39/* it seems the default has some strange errors. Use SDBM
40 */
41#define MC_TAG "mod_gnutls:"
42#define MC_TAG_LEN sizeof(MC_TAG)
43#define STR_SESSION_LEN (GNUTLS_SESSION_ID_STRING_LEN + MC_TAG_LEN)
44
45#if MODULE_MAGIC_NUMBER_MAJOR < 20081201
46#define ap_unixd_config unixd_config
47#endif
48
49#ifdef APLOG_USE_MODULE
50APLOG_USE_MODULE(gnutls);
51#endif
52
53char *mgs_session_id2sz(unsigned char *id, int idlen,
54        char *str, int strsize) {
55    char *cp;
56    int n;
57
58    cp = str;
59    for (n = 0; n < idlen && n < GNUTLS_MAX_SESSION_ID; n++) {
60        apr_snprintf(cp, strsize - (cp - str), "%02X", id[n]);
61        cp += 2;
62    }
63    *cp = '\0';
64    return str;
65}
66
67/* Name the Session ID as:
68 * server:port.SessionID
69 * to disallow resuming sessions on different servers
70 */
71static int mgs_session_id2dbm(conn_rec * c, unsigned char *id, int idlen,
72        apr_datum_t * dbmkey) {
73    char buf[STR_SESSION_LEN];
74    char *sz;
75
76    sz = mgs_session_id2sz(id, idlen, buf, sizeof (buf));
77    if (sz == NULL)
78        return -1;
79
80    dbmkey->dptr =
81            apr_psprintf(c->pool, "%s:%d.%s",
82            c->base_server->server_hostname,
83            c->base_server->port, sz);
84    dbmkey->dsize = strlen(dbmkey->dptr);
85
86    return 0;
87}
88
89#define CTIME "%b %d %k:%M:%S %Y %Z"
90
91char *mgs_time2sz(time_t in_time, char *str, int strsize) {
92    apr_time_exp_t vtm;
93    apr_size_t ret_size;
94    apr_time_t t;
95
96
97    apr_time_ansi_put(&t, in_time);
98    apr_time_exp_gmt(&vtm, t);
99    apr_strftime(str, &ret_size, strsize - 1, CTIME, &vtm);
100
101    return str;
102}
103
104#if HAVE_APR_MEMCACHE
105
106/* Name the Session ID as:
107 * server:port.SessionID
108 * to disallow resuming sessions on different servers
109 */
110static char *mgs_session_id2mc(conn_rec * c, unsigned char *id, int idlen) {
111    char buf[STR_SESSION_LEN];
112    char *sz;
113
114    sz = mgs_session_id2sz(id, idlen, buf, sizeof (buf));
115    if (sz == NULL)
116        return NULL;
117
118    return apr_psprintf(c->pool, MC_TAG "%s:%d.%s",
119            c->base_server->server_hostname,
120            c->base_server->port, sz);
121}
122
123/**
124 * GnuTLS Session Cache using libmemcached
125 *
126 */
127
128/* The underlying apr_memcache system is thread safe... woohoo */
129static apr_memcache_t *mc;
130
131static int mc_cache_child_init(apr_pool_t * p, server_rec * s,
132        mgs_srvconf_rec * sc) {
133    apr_status_t rv = APR_SUCCESS;
134    int thread_limit = 0;
135    int nservers = 0;
136    char *cache_config;
137    char *split;
138    char *tok;
139
140    ap_mpm_query(AP_MPMQ_HARD_LIMIT_THREADS, &thread_limit);
141
142    /* Find all the servers in the first run to get a total count */
143    cache_config = apr_pstrdup(p, sc->cache_config);
144    split = apr_strtok(cache_config, " ", &tok);
145    while (split) {
146        nservers++;
147        split = apr_strtok(NULL, " ", &tok);
148    }
149
150    rv = apr_memcache_create(p, nservers, 0, &mc);
151    if (rv != APR_SUCCESS) {
152        ap_log_error(APLOG_MARK, APLOG_CRIT, rv, s,
153                "[gnutls_cache] Failed to create Memcache Object of '%d' size.",
154                nservers);
155        return rv;
156    }
157
158    /* Now add each server to the memcache */
159    cache_config = apr_pstrdup(p, sc->cache_config);
160    split = apr_strtok(cache_config, " ", &tok);
161    while (split) {
162        apr_memcache_server_t *st;
163        char *host_str;
164        char *scope_id;
165        apr_port_t port;
166
167        rv = apr_parse_addr_port(&host_str, &scope_id, &port,
168                split, p);
169        if (rv != APR_SUCCESS) {
170            ap_log_error(APLOG_MARK, APLOG_CRIT, rv, s,
171                    "[gnutls_cache] Failed to Parse Server: '%s'",
172                    split);
173            return rv;
174        }
175
176        if (host_str == NULL) {
177            ap_log_error(APLOG_MARK, APLOG_CRIT, rv, s,
178                    "[gnutls_cache] Failed to Parse Server, "
179                    "no hostname specified: '%s'", split);
180            return rv;
181        }
182
183        if (port == 0) {
184            port = 11211; /* default port */
185        }
186
187        /* Should Max Conns be (thread_limit / nservers) ? */
188        rv = apr_memcache_server_create(p,
189                host_str, port,
190                0,
191                1, thread_limit, 600, &st);
192        if (rv != APR_SUCCESS) {
193            ap_log_error(APLOG_MARK, APLOG_CRIT, rv, s,
194                    "[gnutls_cache] Failed to Create Server: %s:%d",
195                    host_str, port);
196            return rv;
197        }
198
199        rv = apr_memcache_add_server(mc, st);
200        if (rv != APR_SUCCESS) {
201            ap_log_error(APLOG_MARK, APLOG_CRIT, rv, s,
202                    "[gnutls_cache] Failed to Add Server: %s:%d",
203                    host_str, port);
204            return rv;
205        }
206
207        split = apr_strtok(NULL, " ", &tok);
208    }
209    return rv;
210}
211
212static int mc_cache_store(void *baton, gnutls_datum_t key,
213        gnutls_datum_t data) {
214    apr_status_t rv = APR_SUCCESS;
215    mgs_handle_t *ctxt = baton;
216    char *strkey = NULL;
217    apr_uint32_t timeout;
218
219    strkey = mgs_session_id2mc(ctxt->c, key.data, key.size);
220    if (!strkey)
221        return -1;
222
223    timeout = apr_time_sec(ctxt->sc->cache_timeout);
224
225    rv = apr_memcache_set(mc, strkey, (char *) data.data, data.size, timeout,
226            0);
227
228    if (rv != APR_SUCCESS) {
229        ap_log_error(APLOG_MARK, APLOG_CRIT, rv,
230                ctxt->c->base_server,
231                "[gnutls_cache] error setting key '%s' "
232                "with %d bytes of data", strkey, data.size);
233        return -1;
234    }
235
236    return 0;
237}
238
239static gnutls_datum_t mc_cache_fetch(void *baton, gnutls_datum_t key) {
240    apr_status_t rv = APR_SUCCESS;
241    mgs_handle_t *ctxt = baton;
242    char *strkey = NULL;
243    char *value;
244    apr_size_t value_len;
245    gnutls_datum_t data = {NULL, 0};
246
247    strkey = mgs_session_id2mc(ctxt->c, key.data, key.size);
248    if (!strkey) {
249        return data;
250    }
251
252    rv = apr_memcache_getp(mc, ctxt->c->pool, strkey,
253            &value, &value_len, NULL);
254
255    if (rv != APR_SUCCESS) {
256#if MOD_GNUTLS_DEBUG
257        ap_log_error(APLOG_MARK, APLOG_DEBUG, rv,
258                ctxt->c->base_server,
259                "[gnutls_cache] error fetching key '%s' ",
260                strkey);
261#endif
262        data.size = 0;
263        data.data = NULL;
264        return data;
265    }
266
267    /* TODO: Eliminate this memcpy. gnutls-- */
268    data.data = gnutls_malloc(value_len);
269    if (data.data == NULL)
270        return data;
271
272    data.size = value_len;
273    memcpy(data.data, value, value_len);
274
275    return data;
276}
277
278static int mc_cache_delete(void *baton, gnutls_datum_t key) {
279    apr_status_t rv = APR_SUCCESS;
280    mgs_handle_t *ctxt = baton;
281    char *strkey = NULL;
282
283    strkey = mgs_session_id2mc(ctxt->c, key.data, key.size);
284    if (!strkey)
285        return -1;
286
287    rv = apr_memcache_delete(mc, strkey, 0);
288
289    if (rv != APR_SUCCESS) {
290        ap_log_error(APLOG_MARK, APLOG_DEBUG, rv,
291                ctxt->c->base_server,
292                "[gnutls_cache] error deleting key '%s' ",
293                strkey);
294        return -1;
295    }
296
297    return 0;
298}
299
300#endif  /* have_apr_memcache */
301
302static const char *db_type(mgs_srvconf_rec * sc) {
303    if (sc->cache_type == mgs_cache_gdbm)
304        return "gdbm";
305    else
306        return "db";
307}
308
309#define SSL_DBM_FILE_MODE ( APR_UREAD | APR_UWRITE | APR_GREAD | APR_WREAD )
310
311static void dbm_cache_expire(server_rec *s)
312{
313    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
314        ap_get_module_config(s->module_config, &gnutls_module);
315
316    apr_status_t rv;
317    apr_dbm_t *dbm;
318    apr_datum_t dbmkey;
319    apr_datum_t dbmval;
320    apr_time_t dtime;
321    apr_pool_t *spool;
322    int total, deleted;
323
324    apr_time_t now = apr_time_now();
325
326    if (now - sc->last_cache_check < (sc->cache_timeout) / 2)
327        return;
328
329    sc->last_cache_check = now;
330
331    apr_pool_create(&spool, NULL);
332
333    total = 0;
334    deleted = 0;
335
336    rv = apr_dbm_open_ex(&dbm, db_type(sc),
337            sc->cache_config, APR_DBM_RWCREATE,
338            SSL_DBM_FILE_MODE, spool);
339    if (rv != APR_SUCCESS) {
340        ap_log_error(APLOG_MARK, APLOG_NOTICE, rv, s,
341                "[gnutls_cache] error opening cache searcher '%s'",
342                sc->cache_config);
343        apr_pool_destroy(spool);
344        return;
345    }
346
347    apr_dbm_firstkey(dbm, &dbmkey);
348    while (dbmkey.dptr != NULL) {
349        apr_dbm_fetch(dbm, dbmkey, &dbmval);
350        if (dbmval.dptr != NULL
351                && dbmval.dsize >= sizeof (apr_time_t)) {
352            memcpy(&dtime, dbmval.dptr, sizeof (apr_time_t));
353
354            if (now >= dtime) {
355                apr_dbm_delete(dbm, dbmkey);
356                deleted++;
357            }
358            apr_dbm_freedatum(dbm, dbmval);
359        } else {
360            apr_dbm_delete(dbm, dbmkey);
361            deleted++;
362        }
363        total++;
364        apr_dbm_nextkey(dbm, &dbmkey);
365    }
366    apr_dbm_close(dbm);
367
368    ap_log_error(APLOG_MARK, APLOG_DEBUG, rv, s,
369            "[gnutls_cache] Cleaned up cache '%s'. Deleted %d and left %d",
370            sc->cache_config, deleted, total - deleted);
371
372    apr_pool_destroy(spool);
373
374    return;
375}
376
377static gnutls_datum_t dbm_cache_fetch(mgs_handle_t *ctxt, apr_datum_t key)
378{
379    gnutls_datum_t data = {NULL, 0};
380    apr_dbm_t *dbm;
381    apr_datum_t dbmval;
382    apr_status_t rv;
383
384    rv = apr_dbm_open_ex(&dbm, db_type(ctxt->sc),
385            ctxt->sc->cache_config, APR_DBM_READONLY,
386            SSL_DBM_FILE_MODE, ctxt->c->pool);
387    if (rv != APR_SUCCESS) {
388        ap_log_cerror(APLOG_MARK, APLOG_NOTICE, rv, ctxt->c,
389                      "error opening cache '%s'",
390                      ctxt->sc->cache_config);
391        return data;
392    }
393
394    rv = apr_dbm_fetch(dbm, key, &dbmval);
395
396    if (rv != APR_SUCCESS) {
397        apr_dbm_close(dbm);
398        return data;
399    }
400
401    if (dbmval.dptr == NULL || dbmval.dsize <= sizeof (apr_time_t)) {
402        apr_dbm_freedatum(dbm, dbmval);
403        apr_dbm_close(dbm);
404        return data;
405    }
406
407    data.size = dbmval.dsize - sizeof (apr_time_t);
408
409    data.data = gnutls_malloc(data.size);
410    if (data.data == NULL) {
411        apr_dbm_freedatum(dbm, dbmval);
412        apr_dbm_close(dbm);
413        return data;
414    }
415
416    ap_log_cerror(APLOG_MARK, APLOG_DEBUG, rv, ctxt->c,
417                  "fetched %ld bytes from cache",
418                  dbmval.dsize);
419
420    memcpy(data.data, dbmval.dptr + sizeof (apr_time_t), data.size);
421
422    apr_dbm_freedatum(dbm, dbmval);
423    apr_dbm_close(dbm);
424
425    return data;
426}
427
428static gnutls_datum_t dbm_cache_fetch_session(void *baton,
429                                              gnutls_datum_t key)
430{
431    gnutls_datum_t data = {NULL, 0};
432    apr_datum_t dbmkey;
433    mgs_handle_t *ctxt = baton;
434
435    if (mgs_session_id2dbm(ctxt->c, key.data, key.size, &dbmkey) < 0)
436        return data;
437
438    return dbm_cache_fetch(ctxt, dbmkey);
439}
440
441static int dbm_cache_store(server_rec *s, apr_datum_t key,
442                           gnutls_datum_t data, apr_time_t expiry)
443{
444    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
445        ap_get_module_config(s->module_config, &gnutls_module);
446
447    apr_dbm_t *dbm;
448    apr_datum_t dbmval;
449    apr_status_t rv;
450    apr_pool_t *spool;
451
452    /* we expire dbm only on every store */
453    dbm_cache_expire(s);
454
455    apr_pool_create(&spool, NULL);
456
457    /* create DBM value */
458    dbmval.dsize = data.size + sizeof (apr_time_t);
459    dbmval.dptr = (char *) apr_palloc(spool, dbmval.dsize);
460
461    /* prepend expiration time */
462    memcpy((char *) dbmval.dptr, &expiry, sizeof (apr_time_t));
463    memcpy((char *) dbmval.dptr + sizeof (apr_time_t),
464            data.data, data.size);
465
466    rv = apr_dbm_open_ex(&dbm, db_type(sc),
467                         sc->cache_config, APR_DBM_RWCREATE,
468                         SSL_DBM_FILE_MODE, spool);
469    if (rv != APR_SUCCESS)
470    {
471        ap_log_error(APLOG_MARK, APLOG_NOTICE, rv, s,
472                     "error opening cache '%s'",
473                     sc->cache_config);
474        apr_pool_destroy(spool);
475        return -1;
476    }
477
478    rv = apr_dbm_store(dbm, key, dbmval);
479    if (rv != APR_SUCCESS)
480    {
481        ap_log_error(APLOG_MARK, APLOG_DEBUG, rv, s,
482                     "error storing in cache '%s'",
483                     sc->cache_config);
484        apr_dbm_close(dbm);
485        apr_pool_destroy(spool);
486        return -1;
487    }
488
489    ap_log_error(APLOG_MARK, APLOG_DEBUG, rv, s,
490                 "stored %ld bytes of data (%ld byte key) in cache '%s'",
491                 dbmval.dsize, key.dsize, sc->cache_config);
492
493    apr_dbm_close(dbm);
494
495    apr_pool_destroy(spool);
496
497    return 0;
498}
499
500static int dbm_cache_store_session(void *baton, gnutls_datum_t key,
501                                   gnutls_datum_t data)
502{
503    mgs_handle_t *ctxt = baton;
504    apr_datum_t dbmkey;
505
506    if (mgs_session_id2dbm(ctxt->c, key.data, key.size, &dbmkey) < 0)
507        return -1;
508
509    apr_time_t expiry = apr_time_now() + ctxt->sc->cache_timeout;
510
511    return dbm_cache_store(ctxt->c->base_server, dbmkey, data, expiry);
512}
513
514static int dbm_cache_delete(void *baton, gnutls_datum_t key) {
515    apr_dbm_t *dbm;
516    apr_datum_t dbmkey;
517    mgs_handle_t *ctxt = baton;
518    apr_status_t rv;
519
520    if (mgs_session_id2dbm(ctxt->c, key.data, key.size, &dbmkey) < 0)
521        return -1;
522
523    rv = apr_dbm_open_ex(&dbm, db_type(ctxt->sc),
524            ctxt->sc->cache_config, APR_DBM_RWCREATE,
525            SSL_DBM_FILE_MODE, ctxt->c->pool);
526    if (rv != APR_SUCCESS) {
527        ap_log_error(APLOG_MARK, APLOG_NOTICE, rv,
528                ctxt->c->base_server,
529                "[gnutls_cache] error opening cache '%s'",
530                ctxt->sc->cache_config);
531        return -1;
532    }
533
534    rv = apr_dbm_delete(dbm, dbmkey);
535
536    if (rv != APR_SUCCESS) {
537        ap_log_error(APLOG_MARK, APLOG_NOTICE, rv,
538                ctxt->c->base_server,
539                "[gnutls_cache] error deleting from cache '%s'",
540                ctxt->sc->cache_config);
541        apr_dbm_close(dbm);
542        return -1;
543    }
544
545    apr_dbm_close(dbm);
546
547    return 0;
548}
549
550static int dbm_cache_post_config(apr_pool_t * p, server_rec * s,
551        mgs_srvconf_rec * sc) {
552    apr_status_t rv;
553    apr_dbm_t *dbm;
554    const char *path1;
555    const char *path2;
556
557    rv = apr_dbm_open_ex(&dbm, db_type(sc), sc->cache_config,
558            APR_DBM_RWCREATE, SSL_DBM_FILE_MODE, p);
559
560    if (rv != APR_SUCCESS) {
561        ap_log_error(APLOG_MARK, APLOG_ERR, rv, s,
562                "GnuTLS: Cannot create DBM Cache at `%s'",
563                sc->cache_config);
564        return rv;
565    }
566
567    apr_dbm_close(dbm);
568
569    apr_dbm_get_usednames_ex(p, db_type(sc), sc->cache_config, &path1,
570            &path2);
571
572    /* The Following Code takes logic directly from mod_ssl's DBM Cache */
573#if !defined(OS2) && !defined(WIN32) && !defined(BEOS) && !defined(NETWARE)
574    /* Running as Root */
575    if (path1 && geteuid() == 0) {
576        if (0 != chown(path1, ap_unixd_config.user_id, -1))
577            ap_log_error(APLOG_MARK, APLOG_NOTICE, -1, s,
578                         "GnuTLS: could not chown cache path1 `%s' to uid %d (errno: %d)",
579                         path1, ap_unixd_config.user_id, errno);
580        if (path2 != NULL) {
581            if (0 != chown(path2, ap_unixd_config.user_id, -1))
582                ap_log_error(APLOG_MARK, APLOG_NOTICE, -1, s,
583                             "GnuTLS: could not chown cache path2 `%s' to uid %d (errno: %d)",
584                             path2, ap_unixd_config.user_id, errno);
585        }
586    }
587#endif
588
589    return rv;
590}
591
592int mgs_cache_post_config(apr_pool_t * p, server_rec * s,
593        mgs_srvconf_rec * sc) {
594
595    /* if GnuTLSCache was never explicitly set: */
596    if (sc->cache_type == mgs_cache_unset)
597        sc->cache_type = mgs_cache_none;
598    /* if GnuTLSCacheTimeout was never explicitly set: */
599    if (sc->cache_timeout == -1)
600        sc->cache_timeout = apr_time_from_sec(300);
601
602    if (sc->cache_type == mgs_cache_dbm
603            || sc->cache_type == mgs_cache_gdbm) {
604        return dbm_cache_post_config(p, s, sc);
605    }
606    return 0;
607}
608
609#if HAVE_APR_MEMCACHE
610int mgs_cache_child_init(apr_pool_t * p,
611                         server_rec * s,
612                         mgs_srvconf_rec * sc)
613#else
614int mgs_cache_child_init(apr_pool_t * p __attribute__((unused)),
615                         server_rec * s __attribute__((unused)),
616                         mgs_srvconf_rec * sc)
617#endif
618{
619    if (sc->cache_type == mgs_cache_dbm
620            || sc->cache_type == mgs_cache_gdbm) {
621        return 0;
622    }
623#if HAVE_APR_MEMCACHE
624    else if (sc->cache_type == mgs_cache_memcache) {
625        return mc_cache_child_init(p, s, sc);
626    }
627#endif
628    return 0;
629}
630
631#include <assert.h>
632
633int mgs_cache_session_init(mgs_handle_t * ctxt) {
634    if (ctxt->sc->cache_type == mgs_cache_dbm
635            || ctxt->sc->cache_type == mgs_cache_gdbm) {
636        gnutls_db_set_retrieve_function(ctxt->session,
637                dbm_cache_fetch_session);
638        gnutls_db_set_remove_function(ctxt->session,
639                dbm_cache_delete);
640        gnutls_db_set_store_function(ctxt->session,
641                dbm_cache_store_session);
642        gnutls_db_set_ptr(ctxt->session, ctxt);
643    }
644#if HAVE_APR_MEMCACHE
645    else if (ctxt->sc->cache_type == mgs_cache_memcache) {
646        gnutls_db_set_retrieve_function(ctxt->session,
647                mc_cache_fetch);
648        gnutls_db_set_remove_function(ctxt->session,
649                mc_cache_delete);
650        gnutls_db_set_store_function(ctxt->session,
651                mc_cache_store);
652        gnutls_db_set_ptr(ctxt->session, ctxt);
653    }
654#endif
655
656    return 0;
657}
Note: See TracBrowser for help on using the repository browser.