lustre/tests/sanity-sec.sh

   1 #!/bin/bash
   2 #
   3 # Run select tests by setting ONLY, or as arguments to the script.
   4 # Skip specific tests by setting EXCEPT.
   5 #
   6
   7 set -e
   8
   9 ONLY=${ONLY:-"$*"}
  10 [ "$EXCEPT" ] && echo "Skipping tests: `echo $EXCEPT`"
  11
  12 SRCDIR=`dirname $0`
  13 export PATH=$PWD/$SRCDIR:$SRCDIR:$PWD/$SRCDIR/../utils:$PATH:/sbin
  14 export NAME=${NAME:-local}
  15
  16 LUSTRE=${LUSTRE:-`dirname $0`/..}
  17 . $LUSTRE/tests/test-framework.sh
  18 init_test_env $@
  19 . ${CONFIG:=$LUSTRE/tests/cfg/$NAME.sh}
  20
  21 RUNAS=${RUNAS:-"$LUSTRE/tests/runas"}
  22 WTL=${WTL:-"$LUSTRE/tests/write_time_limit"}
  23
  24 PERM_CONF=/etc/lustre/perm.conf
  25 LLITE_LPROC=$LPROC/llite
  26 MDC_LPROC=$LPROC/mdc
  27 MDT_LPROC=$LPROC/mdt
  28 OST_LPROC=$LPROC/obdfilter
  29
  30 SANITYSECLOG=${TESTSUITELOG:-$TMP/$(basename $0 .sh).log}
  31 FAIL_ON_ERROR=false
  32
  33 ID0=${ID0:-500}
  34 ID1=${ID1:-501}
  35 USER0=`cat /etc/passwd|grep :$ID0:$ID0:|cut -d: -f1`
  36 USER1=`cat /etc/passwd|grep :$ID1:$ID1:|cut -d: -f1`
  37
  38 [ -z "$USER0" ] && \
  39         echo "Please add user0 (uid=$ID0 gid=$ID0)! Skip sanity-sec" && exit 0
  40
  41 [ -z "$USER1" ] && \
  42         echo "Please add user1 (uid=$ID1 gid=$ID1)! Skip sanity-sec" && exit 0
  43
  44 check_and_setup_lustre
  45
  46 DIR=${DIR:-$MOUNT}
  47 [ -z "`echo $DIR | grep $MOUNT`" ] && \
  48         error "$DIR not in $MOUNT" && sec_cleanup && exit 1
  49
  50 [ `echo $MOUNT | wc -w` -gt 1 ] && \
  51         echo "NAME=$MOUNT mounted more than once" && sec_cleanup && exit 0
  52
  53 [ $MDSCOUNT -gt 1 ] && \
  54         echo "skip multi-MDS test" && sec_cleanup && exit 0
  55
  56 # for GSS_SUP
  57 GSS_REF=$(lsmod | grep ^ptlrpc_gss | awk '{print $3}')
  58 if [ ! -z "$GSS_REF" -a "$GSS_REF" != "0" ]; then
  59         GSS_SUP=1
  60         echo "with GSS support"
  61 else
  62         GSS_SUP=0
  63         echo "without GSS support"
  64 fi
  65
  66 MDT="`do_facet $SINGLEMDS \"ls -l $MDT_LPROC/ 2>/dev/null\" | grep MDT | awk '{print $9}'`"
  67 if [ ! -z "$MDT" ]; then
  68         IDENTITY_FLUSH=$MDT_LPROC/$MDT/identity_flush
  69         MDSCAPA=$MDT_LPROC/$MDT/capa
  70         CAPA_TIMEOUT=$MDT_LPROC/$MDT/capa_timeout
  71 fi
  72
  73 # for CLIENT_TYPE
  74 if [ -z "$(grep remote $LLITE_LPROC/*/client_type 2>/dev/null)" ]; then
  75         CLIENT_TYPE="local"
  76         echo "local client"
  77 else
  78         CLIENT_TYPE="remote"
  79         echo "remote client"
  80 fi
  81
  82 SAVE_PWD=$PWD
  83
  84 build_test_filter
  85
  86 sec_login() {
  87         local user=$1
  88         local group=$2
  89
  90         if ! $RUNAS -u $user krb5_login.sh; then
  91                 error "$user login kerberos failed."
  92                 exit 1
  93         fi
  94
  95         if ! $RUNAS -u $user -g $group ls $DIR > /dev/null 2>&1; then
  96                 $RUNAS -u $user lfs flushctx -k
  97                 $RUNAS -u $user krb5_login.sh
  98                 if ! $RUNAS -u $user -g $group ls $DIR > /dev/null 2>&1; then
  99                         error "init $user $group failed."
 100                         exit 2
 101                 fi
 102         fi
 103 }
 104
 105 declare -a identity_old
 106
 107 sec_setup() {
 108         for num in `seq $MDSCOUNT`; do
 109                 switch_identity $num true || identity_old[$num]=$?
 110         done
 111
 112         if ! $RUNAS -u $ID0 ls $DIR > /dev/null 2>&1; then
 113                 sec_login $USER0 $USER0
 114         fi
 115
 116         if ! $RUNAS -u $ID1 ls $DIR > /dev/null 2>&1; then
 117                 sec_login $USER1 $USER1
 118         fi
 119 }
 120 sec_setup
 121
 122 # run as different user
 123 test_0() {
 124         rm -rf $DIR/d0
 125         mkdir $DIR/d0
 126
 127         chown $USER0 $DIR/d0 || error "chown (1)"
 128         $RUNAS -u $ID0 ls $DIR || error "ls (2)"
 129         $RUNAS -u $ID0 touch $DIR/f0 && error "touch (3)"
 130         $RUNAS -u $ID0 touch $DIR/d0/f1 || error "touch (4)"
 131         $RUNAS -u $ID1 touch $DIR/d0/f2 && error "touch (5)"
 132         touch $DIR/d0/f3 || error "touch (6)"
 133         chown root $DIR/d0 || error "chown (7)"
 134         chgrp $USER0 $DIR/d0 || error "chgrp (8)"
 135         chmod 775 $DIR/d0 || error "chmod (9)"
 136         $RUNAS -u $ID0 touch $DIR/d0/f4 || error "touch (10)"
 137         $RUNAS -u $ID1 touch $DIR/d0/f5 && error "touch (11)"
 138         touch $DIR/d0/f6 || error "touch (12)"
 139
 140         rm -rf $DIR/d0
 141 }
 142 run_test 0 "uid permission ============================="
 143
 144 # setuid/gid
 145 test_1() {
 146         [ $GSS_SUP = 0 ] && skip "without GSS support." && return
 147         [ -z "$MDT" ] && skip "do not support do_facet operations." && return
 148         [ "$CLIENT_TYPE" = "remote" ] && \
 149                 skip "test_1 for local client only" && return
 150
 151         do_facet $SINGLEMDS "rm -f $PERM_CONF"
 152         do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 153
 154         rm -rf $DIR/d1
 155         mkdir $DIR/d1
 156
 157         chown $USER0 $DIR/d1 || error "chown (1)"
 158         $RUNAS -u $ID1 -v $ID0 touch $DIR/d1/f0 && error "touch (2)"
 159         do_facet $SINGLEMDS "echo '* $ID1 setuid' > $PERM_CONF"
 160         echo "enable uid $ID1 setuid"
 161         do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 162         $RUNAS -u $ID1 -v $ID0 touch $DIR/d1/f1 || error "touch (3)"
 163
 164         chown root $DIR/d1 || error "chown (4)"
 165         chgrp $USER0 $DIR/d1 || error "chgrp (5)"
 166         chmod 770 $DIR/d1 || error "chmod (6)"
 167         $RUNAS -u $ID1 -g $ID1 touch $DIR/d1/f2 && error "touch (7)"
 168         $RUNAS -u $ID1 -g $ID1 -j $ID0 touch $DIR/d1/f3 && error "touch (8)"
 169         do_facet $SINGLEMDS "echo '* $ID1 setuid,setgid' > $PERM_CONF"
 170         echo "enable uid $ID1 setuid,setgid"
 171         do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 172         $RUNAS -u $ID1 -g $ID1 -j $ID0 touch $DIR/d1/f4 || error "touch (9)"
 173         $RUNAS -u $ID1 -v $ID0 -g $ID1 -j $ID0 touch $DIR/d1/f5 || error "touch (10)"
 174
 175         rm -rf $DIR/d1
 176
 177         do_facet $SINGLEMDS "rm -f $PERM_CONF"
 178         do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 179 }
 180 run_test 1 "setuid/gid ============================="
 181
 182 run_rmtacl_subtest() {
 183     $SAVE_PWD/rmtacl/run $SAVE_PWD/rmtacl/$1.test
 184     return $?
 185 }
 186
 187 # remote_acl
 188 # for remote client only
 189 test_2 () {
 190         [ "$CLIENT_TYPE" = "local" ] && \
 191                 skip "remote_acl for remote client only" && return
 192         [ -z "$(grep ^acl $MDC_LPROC/*-mdc-*/connect_flags)" ] && \
 193                 skip "must have acl enabled" && return
 194         [ -z "$(which setfacl 2>/dev/null)" ] && \
 195                 skip "could not find setfacl" && return
 196         [ "$UID" != 0 ] && skip "must run as root" && return
 197
 198         sec_login root root
 199         sec_login bin bin
 200         sec_login daemon daemon
 201         sec_login games users
 202
 203         SAVE_UMASK=`umask`
 204         umask 0022
 205         cd $DIR
 206
 207         if [ ! -z "$MDT" ]; then
 208                 do_facet $SINGLEMDS "echo '* 0 rmtacl' > $PERM_CONF"
 209                 do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 210         fi
 211
 212         if lfs rgetfacl $DIR; then
 213                 echo "performing cp ..."
 214                 run_rmtacl_subtest cp || error "cp"
 215         else
 216                 echo "server doesn't permit current user 'lfs r{s,g}etfacl', skip cp test."
 217         fi
 218         echo "performing getfacl-noacl..."
 219         run_rmtacl_subtest getfacl-noacl || error "getfacl-noacl"
 220         echo "performing misc..."
 221         run_rmtacl_subtest misc || error "misc"
 222         echo "performing permissions..."
 223         run_rmtacl_subtest permissions || error "permissions"
 224         echo "performing setfacl..."
 225         run_rmtacl_subtest setfacl || error "setfacl"
 226
 227         # inheritance test got from HP
 228         echo "performing inheritance..."
 229         cp $SAVE_PWD/rmtacl/make-tree .
 230         chmod +x make-tree
 231         run_rmtacl_subtest inheritance || error "inheritance"
 232         rm -f make-tree
 233
 234         if [ ! -z "$MDT" ]; then
 235                 do_facet $SINGLEMDS "rm -f $PERM_CONF"
 236                 do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 237         fi
 238
 239         cd $SAVE_PWD
 240         umask $SAVE_UMASK
 241 }
 242 run_test 2 "rmtacl ============================="
 243
 244 # rootsquash
 245 # root_squash will be redesigned in Lustre 1.7
 246 test_3() {
 247         skip "root_squash will be redesigned in Lustre 1.7" && return
 248 }
 249 run_test 3 "rootsquash ============================="
 250
 251 # bug 3285 - supplementary group should always succeed.
 252 # NB: the supplementary groups are set for local client only,
 253 # as for remote client, the groups of the specified uid on MDT
 254 # will be obtained by upcall /sbin/l_getidentity and used.
 255 test_4() {
 256         rm -rf $DIR/d4
 257         mkdir $DIR/d4
 258         chmod 771 $DIR/d4
 259         chgrp $ID0 $DIR/d4
 260         $RUNAS -u $ID0 ls $DIR/d4 || error "setgroups (1)"
 261         if [ "$CLIENT_TYPE" != "remote" ]; then
 262                 if [ ! -z "$MDT" ]; then
 263                         do_facet $SINGLEMDS "echo '* $ID1 setgrp' > $PERM_CONF"
 264                         do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 265                 fi
 266                 $RUNAS -u $ID1 -G1,2,$ID0 ls $DIR/d4 || error "setgroups (2)"
 267                 if [ ! -z "$MDT" ]; then
 268                         do_facet $SINGLEMDS "rm -f $PERM_CONF"
 269                         do_facet $SINGLEMDS "echo -1 > $IDENTITY_FLUSH"
 270                 fi
 271         fi
 272         $RUNAS -u $ID1 -G1,2 ls $DIR/d4 && error "setgroups (3)"
 273         rm -rf $DIR/d4
 274 }
 275 run_test 4 "set supplementary group ==============="
 276
 277 mds_capability_timeout() {
 278         [ $# -lt 1 ] && echo "Miss mds capability timeout value" && return 1
 279
 280         echo "Set mds capability timeout as $1 seconds"
 281         do_facet $SINGLEMDS "echo $1 > $CAPA_TIMEOUT"
 282         return 0
 283 }
 284
 285 mds_capability_switch() {
 286         [ $# -lt 1 ] && echo "Miss mds capability switch value" && return 1
 287
 288         case $1 in
 289                 0) echo "Turn off mds capability";;
 290                 3) echo "Turn on mds capability";;
 291                 *) echo "Invalid mds capability switch value" && return 2;;
 292         esac
 293
 294         do_facet $SINGLEMDS "echo $1 > $MDSCAPA"
 295         return 0
 296 }
 297
 298 oss_capability_switch() {
 299         [ $# -lt 1 ] && echo "Miss oss capability switch value" && return 1
 300
 301         case $1 in
 302                 0) echo "Turn off oss capability";;
 303                 1) echo "Turn on oss capability";;
 304                 *) echo "Invalid oss capability switch value" && return 2;;
 305         esac
 306
 307         for i in `seq $OSTCOUNT`; do
 308                 local j=`expr $i - 1`
 309                 local OST="`do_facet ost$i \"ls -l $OST_LPROC/\" | grep OST | awk '{print $9}' | grep $j$`"
 310                 do_facet ost$i "echo $1 > $OST_LPROC/$OST/capa"
 311         done
 312         return 0
 313 }
 314
 315 turn_capability_on() {
 316         local capa_timeout=${1:-"1800"}
 317
 318         # To turn on fid capability for the system,
 319         # there is a requirement that fid capability
 320         # is turned on on all MDS/OSS servers before
 321         # client mount.
 322
 323         umount $MOUNT || return 1
 324
 325         mds_capability_switch 3 || return 2
 326         oss_capability_switch 1 || return 3
 327         mds_capability_timeout $capa_timeout || return 4
 328
 329         mount_client $MOUNT || return 5
 330         return 0
 331 }
 332
 333 turn_capability_off() {
 334         # to turn off fid capability, you can just do
 335         # it in a live system. But, please turn off
 336         # capability of all OSS servers before MDS servers.
 337
 338         oss_capability_switch 0 || return 1
 339         mds_capability_switch 0 || return 2
 340         return 0
 341 }
 342
 343 # We demonstrate that access to the objects in the filesystem are not
 344 # accessible without supplying secrets from the MDS by disabling a
 345 # proc variable on the mds so that it does not supply secrets. We then
 346 # try and access objects which result in failure.
 347 test_5() {
 348         local file=$DIR/f5
 349
 350         [ -z "$MDT" ] && skip "do not support do_facet operations." && return
 351         turn_capability_off
 352         if [ $? != 0 ]; then
 353                 error "turn_capability_off"
 354                 return 1
 355         fi
 356         rm -f $file
 357
 358         # Disable proc variable
 359         mds_capability_switch 0
 360         if [ $? != 0 ]; then
 361                 error "mds_capability_switch 0"
 362                 return 2
 363         fi
 364         oss_capability_switch 1
 365         if [ $? != 0 ]; then
 366                 error "oss_capability_switch 1"
 367                 return 3
 368         fi
 369
 370         # proc variable disabled -- access to the objects in the filesystem
 371         # is not allowed
 372         echo "Should get Write error here : (proc variable are disabled "\
 373              "-- access to the objects in the filesystem is denied."
 374         $WTL $file 30
 375         if [ $? == 0 ]; then
 376                 error "Write worked well even though secrets not supplied."
 377                 return 4
 378         fi
 379
 380         turn_capability_on
 381         if [ $? != 0 ]; then
 382                 error "turn_capability_on"
 383                 return 4
 384         fi
 385         sleep 5
 386
 387         # proc variable enabled, secrets supplied -- write should work now
 388         echo "Should not fail here : (proc variable enabled, secrets supplied "\
 389              "-- write should work now)."
 390         $WTL $file 30
 391         if [ $? != 0 ]; then
 392                 error "Write failed even though secrets supplied."
 393                 return 5
 394         fi
 395
 396         turn_capability_off
 397         if [ $? != 0 ]; then
 398                 error "turn_capability_off"
 399                 return 7
 400         fi
 401         rm -f $file
 402 }
 403 run_test 5 "capa secrets ========================="
 404
 405 # Expiry: A test program is performing I/O on a file. It has credential
 406 # with an expiry half a minute later. While the program is running the
 407 # credentials expire and no automatic extensions or renewals are
 408 # enabled. The program will demonstrate an I/O failure.
 409 test_6() {
 410         local file=$DIR/f6
 411
 412         [ -z "$MDT" ] && skip "do not support do_facet operations." && return
 413         turn_capability_off
 414         if [ $? != 0 ]; then
 415                 error "turn_capability_off"
 416                 return 1
 417         fi
 418         rm -f $file
 419
 420         turn_capability_on 30
 421         if [ $? != 0 ]; then
 422                 error "turn_capability_on 30"
 423                 return 2
 424         fi
 425         # Token expiry
 426         $WTL $file 60
 427         if [ $? != 0 ]; then
 428                 error "$WTL $file 60"
 429                 return 3
 430         fi
 431
 432         # Reset MDS capability timeout
 433         mds_capability_timeout 30
 434         if [ $? != 0 ]; then
 435                 error "mds_capability_timeout 30"
 436                 return 4
 437         fi
 438         $WTL $file 60 &
 439         local PID=$!
 440         sleep 5
 441
 442         # To disable automatic renew, only need turn capa off on MDS.
 443         mds_capability_switch 0
 444         if [ $? != 0 ]; then
 445                 error "mds_capability_switch 0"
 446                 return 5
 447         fi
 448
 449         echo "We expect I/O failure."
 450         wait $PID
 451         if [ $? == 0 ]; then
 452                 echo "no I/O failure got."
 453                 return 6
 454         fi
 455
 456         turn_capability_off
 457         if [ $? != 0 ]; then
 458                 error "turn_capability_off"
 459                 return 7
 460         fi
 461         rm -f $file
 462 }
 463 run_test 6 "capa expiry ========================="
 464
 465 log "cleanup: ======================================================"
 466
 467 sec_unsetup() {
 468         for num in `seq $MDSCOUNT`; do
 469                 if [ "${identity_old[$num]}" = 1 ]; then
 470                         switch_identity $num false || identity_old[$num]=$?
 471                 fi
 472         done
 473
 474         $RUNAS -u $ID0 ls $DIR
 475         $RUNAS -u $ID1 ls $DIR
 476 }
 477 sec_unsetup
 478
 479 sec_cleanup() {
 480         if [ "$I_MOUNTED" = "yes" ]; then
 481                 cleanupall -f || error "sec_cleanup"
 482         fi
 483 }
 484 sec_cleanup
 485
 486 echo '=========================== finished ==============================='
 487 [ -f "$SANITYSECLOG" ] && \
 488         cat $SANITYSECLOG && grep -q FAIL $SANITYSECLOG && exit 1 || true
 489 echo "$0 completed"