Я борюсь с некоторыми проблемами при написании сценария gpg с bash в коробке Debian 6.0.6. У меня есть сценарий, который выполняет пакет операций и хочет убедиться, что gpg-agent доступен, прежде чем он попытается продолжить.
Поскольку gpg-agent не предпринимает никаких действий и возвращает успешный результат, если он запущен, когда он уже запущен, убедиться, что агент присутствует, очень просто:
eval $(gpg-agent --daemon)
gpg-agent начать, или сообщит:
gpg-agent[21927]: a gpg-agent is already running - not starting a new one
и вернуть 0 (успех), если он уже запущен.
Проблема возникает, когда агент уже работает в другом сеансе. gpg-agent говорит, что уже работает ... но gpg затем оно заявляет, что оно недоступно.
$ gpg-agent --version
gpg-agent (GnuPG) 2.0.19
libgcrypt 1.5.0
$ gpg --version
gpg (GnuPG) 1.4.13
$ eval $(gpg-agent --daemon)
gpg-agent[21927]: a gpg-agent is already running - not starting a new one
$ gpg -d demo-file.asc
gpg: gpg-agent is not available in this session
Это меня расстраивает и сбивает с толку. Кажется, что gpg-agent обнаруживает агента иначе, чем сам gpg. Хуже, gpg не предлагает способа спросить, доступен ли агент с помощью сценариев, так же как он любит молча игнорировать получателей с непригодными ключами и по-прежнему возвращать успех, поэтому очень сложно обнаружить эту проблему до начала пакета. Я не хочу вдаваться в парсинг вывода gpg, в том числе по причинам i18n.
Вы можете воспроизвести это, убедившись, что у вас не запущен gpg-agent или GPG_AGENT_INFO установить, то в одном терминале работает eval $(gpg-agent --daemon) и в другой Терминал работает выше. Вы заметите, что gpg-agent сообщает, что он уже запущен, но gpg не может подключиться к агенту.
Идеи?
ОБНОВИТЬ: gpg-agent обнаруживает другого агента, ища файл сокета в известном месте и записывая в него для проверки работоспособности, согласно этому strace:
socket(PF_FILE, SOCK_STREAM, 0) = 5
connect(5, {sa_family=AF_FILE, sun_path="/home/craig/.gnupg/S.gpg-agent"}, 32) = 0
fcntl(5, F_GETFL) = 0x2 (flags O_RDWR)
fcntl(5, F_GETFL) = 0x2 (flags O_RDWR)
select(6, [5], NULL, NULL, {0, 0}) = 1 (in [5], left {0, 0})
read(5, "OK Pleased to meet you, process "..., 1002) = 38
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f41a3e61000
write(2, "gpg-agent: gpg-agent running and"..., 43gpg-agent: gpg-agent running and available
) = 43
в то время как GnuPG, кажется, смотрит только на окружающую среду, игнорируя хорошо известное расположение сокета. В common/simple-pwquery.c:
/* Try to open a connection to the agent, send all options and return
the file descriptor for the connection. Return -1 in case of
error. */
static int
agent_open (int *rfd)
{
int rc;
int fd;
char *infostr, *p;
struct sockaddr_un client_addr;
size_t len;
int prot;
char line[200];
int nread;
*rfd = -1;
infostr = getenv ( "GPG_AGENT_INFO" );
if ( !infostr || !*infostr )
infostr = default_gpg_agent_info;
if ( !infostr || !*infostr )
{
#ifdef SPWQ_USE_LOGGING
log_error (_("gpg-agent is not available in this session\n"));
#endif
return SPWQ_NO_AGENT;
}
/* blah blah blah truncated blah */
}
Я действительно не хочу убивать агент, чтобы убедиться, что я могу запустить его снова, и нет стандартного места, где агент пользователя мог бы записать файл среды. Хуже того, я даже не могу проверить наличие GPG_AGENT_INFO в среде, поскольку это может относиться к устаревшему (мертвому) агенту, который с тех пор был заменен ... и ни один gpg ни gpg-agent укажите параметр командной строки для проверки связи с агентом и верните истину, если все в порядке.
gpg-connect-agent /byeОсновная версия запущенного агента gpg - 2. Вы должны вызывать gpg2, а не gpg, как указано здесь: https://unix.stackexchange.com/questions/231386/how-to-make-gpg-find-gpg-agent
Пока что лучший обходной путь, который у меня есть, - это следующий ужасный беспорядок:
if ! test -v GPG_AGENT_INFO; then
if gpg-agent 2>/dev/null; then
if test -e /tmp/.gpg-agent-$USER/env; then
. /tmp/.gpg-agent-$USER/env
elif test -e ~/.gpg-agent-info; then
. ~/.gpg-agent-info
else
echo 'A gpg agent is running, but we cannot find its socket info because'
echo 'the GPG_AGENT_INFO env var is not set and gpg agent info has not been'
echo 'written to any expected location. Cannot continue. Please report this'
echo 'issue for investigation.'
exit 5
fi
else
mkdir /tmp/.gpg-agent-$USER
chmod 700 /tmp/.gpg-agent-$USER
gpg-agent --daemon --write-env-file /tmp/.gpg-agent-$USER/env
. /tmp/.gpg-agent-$USER/env
fi
# The env file doesn't include an export statement
export GPG_AGENT_INFO
else
if ! gpg-agent 2>/dev/null; then
echo 'GPG_AGENT_INFO is set, but cannot connect to the agent.'
echo 'Unsure how to proceed, so aborting execution. Please report this'
echo 'issue for investigation.'
exit 5
fi
fi
Это будет проверять GPG_AGENT_INFO в среде и, если он установлен, убедитесь, что gpg-agent действительно запущен. (Я еще не уверен, как это взаимодействует с другими реализациями gpg-agent, такими как агент GNOME). Если информация агента установлена, но агент не работает, он не знает, как справиться, и сдается.
Если информация об агенте не указана, она проверяет, запущен ли агент. Если это так, он ищет информацию об окружении в нескольких хорошо известных местах и, если не может найти ее, сдается.
Если агент не запущен и информация об агенте не задана, он запускает агент, записывает файл env в частное расположение и продолжает работу.
Сказать, что я недоволен этим ужасным, враждебным пользователю и ненадежным взломом, - значит ничего не сказать.
Очень удивительно, что gpg, инструмент безопасности / криптографии, будет игнорировать аргументы и продолжаем. --use-agent должно быть фатальной ошибкой, если агент не запущен, по крайней мере, необязательно, так же как указание -r с неверным получателем должна быть ошибка, а не игнорироваться. Дело в том, что gpg находит своего агента иначе, чем gpg-agent команда сбивает с толку.
В моей системе Ubuntu gpg-agent настроен на запись своего файла среды в ~/.gnupg/gpg-agent-info-$(hostname) (что делается /etc/X11/Xsession.d/90gpg-agent). Если ваша система этого не делает, вы можете изменить способ запуска агента для записи файла среды в хорошо известном месте, который впоследствии может быть получен. Например:
$ gpg-agent --daemon --write-env-file="$HOME/.gnupg/gpg-agent-info"
$ source ~/.gnupg/gpg-agent-info