Marius Cramer
2014-08-14 892d732fb407872a62548dbc2f8eae7430ae74ce
server/plugins-available/shelluser_base_plugin.inc.php
@@ -58,19 +58,25 @@
      /*
      Register for the events
      */
      $app->plugins->registerEvent('shell_user_insert', $this->plugin_name, 'insert');
      $app->plugins->registerEvent('shell_user_update', $this->plugin_name, 'update');
      $app->plugins->registerEvent('shell_user_delete', $this->plugin_name, 'delete');
   }
   function insert($event_name, $data) {
      global $app, $conf;
      $app->uses('system');
      $app->uses('system,getconf');
      $security_config = $app->getconf->get_security_config('permissions');
      if($security_config['allow_shell_user'] != 'yes') {
         $app->log('Shell user plugin disabled by security settings.',LOGLEVEL_WARN);
         return false;
      }
      //* Check if the resulting path is inside the docroot
      $web = $app->db->queryOneRecord("SELECT * FROM web_domain WHERE domain_id = ".intval($data['new']['parent_domain_id']));
@@ -82,15 +88,27 @@
         $app->log('Directory of the shell user is not valid.',LOGLEVEL_WARN);
         return false;
      }
      if(!$app->system->is_allowed_user($data['new']['username'], false, false)
         || !$app->system->is_allowed_user($data['new']['puser'], true, true)
         || !$app->system->is_allowed_group($data['new']['pgroup'], true, true)) {
         $app->log('Shell user must not be root or in group root.',LOGLEVEL_WARN);
         return false;
      }
      if($app->system->is_user($data['new']['puser'])) {
         //* Remove webfolder protection
         $app->system->web_folder_protection($web['document_root'], false);
         // Get the UID of the parent user
         $uid = intval($app->system->getuid($data['new']['puser']));
         if($uid > $this->min_uid) {
            //* Remove webfolder protection
            $app->system->web_folder_protection($web['document_root'], false);
            if(!is_dir($data['new']['dir'])){
               $app->file->mkdirs(escapeshellcmd($data['new']['dir']), '0700');
               $app->system->chown(escapeshellcmd($data['new']['dir']),escapeshellcmd($data['new']['username']));
               $app->system->chgrp(escapeshellcmd($data['new']['dir']),escapeshellcmd($data['new']['pgroup']));
            }
            $command = 'useradd';
            $command .= ' -d '.escapeshellcmd($data['new']['dir']);
            $command .= ' -g '.escapeshellcmd($data['new']['pgroup']);
@@ -125,7 +143,6 @@
            //* Add webfolder protection again
            $app->system->web_folder_protection($web['document_root'], true);
         } else {
            $app->log("UID = $uid for shelluser:".$data['new']['username']." not allowed.", LOGLEVEL_ERROR);
         }
@@ -137,7 +154,13 @@
   function update($event_name, $data) {
      global $app, $conf;
      $app->uses('system');
      $app->uses('system,getconf');
      $security_config = $app->getconf->get_security_config('permissions');
      if($security_config['allow_shell_user'] != 'yes') {
         $app->log('Shell user plugin disabled by security settings.',LOGLEVEL_WARN);
         return false;
      }
      //* Check if the resulting path is inside the docroot
      $web = $app->db->queryOneRecord("SELECT * FROM web_domain WHERE domain_id = ".intval($data['new']['parent_domain_id']));
@@ -151,6 +174,13 @@
         return false;
      }
      if(!$app->system->is_allowed_user($data['new']['username'], false, false)
         || !$app->system->is_allowed_user($data['new']['puser'], true, true)
         || !$app->system->is_allowed_group($data['new']['pgroup'], true, true)) {
         $app->log('Shell user must not be root or in group root.',LOGLEVEL_WARN);
         return false;
      }
      if($app->system->is_user($data['new']['puser'])) {
         // Get the UID of the parent user
         $uid = intval($app->system->getuid($data['new']['puser']));
@@ -209,15 +239,53 @@
   function delete($event_name, $data) {
      global $app, $conf;
      $app->uses('system');
      $app->uses('system,getconf');
      $security_config = $app->getconf->get_security_config('permissions');
      if($security_config['allow_shell_user'] != 'yes') {
         $app->log('Shell user plugin disabled by security settings.',LOGLEVEL_WARN);
         return false;
      }
      if($app->system->is_user($data['old']['username'])) {
         // Get the UID of the user
         $userid = intval($app->system->getuid($data['old']['username']));
         if($userid > $this->min_uid) {
            // check if we have to delete the dir
            $check = $app->db->queryOneRecord('SELECT shell_user_id FROM `shell_user` WHERE `dir` = \'' . $app->db->quote($data['old']['dir']) . '\'');
            if(!$check && is_dir($data['old']['dir'])) {
               // delete dir
               $homedir = $data['old']['dir'];
               if(substr($homedir, -1) !== '/') $homedir .= '/';
               $files = array('.bash_logout', '.bash_history', '.bashrc', '.profile');
               $dirs = array('.ssh');
               foreach($files as $delfile) {
                  if(is_file($homedir . $delfile) && fileowner($homedir . $delfile) == $userid) unlink($homedir . $delfile);
               }
               foreach($dirs as $deldir) {
                  if(is_dir($homedir . $deldir) && fileowner($homedir . $deldir) == $userid) exec('rm -rf ' . escapeshellarg($homedir . $deldir));
               }
               $empty = true;
               $dirres = opendir($homedir);
               if($dirres) {
                  while(($entry = readdir($dirres)) !== false) {
                     if($entry != '.' && $entry != '..') {
                        $empty = false;
                        break;
                     }
                  }
                  closedir($dirres);
               }
               if($empty == true) {
                  rmdir($homedir);
               }
               unset($files);
               unset($dirs);
            }
            // We delete only non jailkit users, jailkit users will be deleted by the jailkit plugin.
            if ($data['old']['chroot'] != "jailkit") {
               $command = 'userdel -f';
               $command = 'killall -u '.escapeshellcmd($data['old']['username']).' ; userdel -f';
               $command .= ' '.escapeshellcmd($data['old']['username']).' &> /dev/null';
               exec($command);
               $app->log("Deleted shelluser: ".$data['old']['username'], LOGLEVEL_DEBUG);
@@ -246,7 +314,15 @@
      unset($client_data);
      // ssh-rsa authentication variables
      $sshrsa = $this->data['new']['ssh_rsa'];
      //$sshrsa = $this->data['new']['ssh_rsa'];
      $sshrsa = '';
      $ssh_users = $app->db->queryAllRecords("SELECT ssh_rsa FROM shell_user WHERE parent_domain_id = ".intval($this->data['new']['parent_domain_id']));
      if(is_array($ssh_users)) {
         foreach($ssh_users as $sshu) {
            if($sshu['ssh_rsa'] != '') $sshrsa .= "\n".$sshu['ssh_rsa'];
         }
      }
      $sshrsa = trim($sshrsa);
      $usrdir = escapeshellcmd($this->data['new']['dir']);
      $sshdir = $usrdir.'/.ssh';
      $sshkeys= $usrdir.'/.ssh/authorized_keys';