t/nntpd-tls.t

   1 # Copyright (C) 2019 all contributors <meta@public-inbox.org>
   2 # License: AGPL-3.0+ <https://www.gnu.org/licenses/agpl-3.0.txt>
   3 use strict;
   4 use warnings;
   5 use Test::More;
   6 use File::Temp qw(tempdir);
   7 use Socket qw(SOCK_STREAM IPPROTO_TCP SOL_SOCKET);
   8 # IO::Poll and Net::NNTP are part of the standard library, but
   9 # distros may split them off...
  10 foreach my $mod (qw(DBD::SQLite IO::Socket::SSL Net::NNTP IO::Poll)) {
  11         eval "require $mod";
  12         plan skip_all => "$mod missing for $0" if $@;
  13 }
  14 Net::NNTP->can('starttls') or
  15         plan skip_all => 'Net::NNTP does not support TLS';
  16 IO::Socket::SSL->VERSION(2.007) or
  17         plan skip_all => 'IO::Socket::SSL <2.007 not supported by Net::NNTP';
  18
  19 my $cert = 'certs/server-cert.pem';
  20 my $key = 'certs/server-key.pem';
  21 unless (-r $key && -r $cert) {
  22         plan skip_all =>
  23                 "certs/ missing for $0, run ./create-certs.perl in certs/";
  24 }
  25
  26 use_ok 'PublicInbox::TLS';
  27 use_ok 'IO::Socket::SSL';
  28 require './t/common.perl';
  29 require PublicInbox::InboxWritable;
  30 require PublicInbox::MIME;
  31 require PublicInbox::SearchIdx;
  32 my $version = 2; # v2 needs newer git
  33 require_git('2.6') if $version >= 2;
  34 my $tmpdir = tempdir('pi-nntpd-tls-XXXXXX', TMPDIR => 1, CLEANUP => 1);
  35 my $err = "$tmpdir/stderr.log";
  36 my $out = "$tmpdir/stdout.log";
  37 my $mainrepo = "$tmpdir";
  38 my $pi_config = "$tmpdir/pi_config";
  39 my $group = 'test-nntpd-tls';
  40 my $addr = $group . '@example.com';
  41 my $nntpd = 'blib/script/public-inbox-nntpd';
  42 my $starttls = tcp_server();
  43 my $nntps = tcp_server();
  44 my ($pid, $tail_pid);
  45 END {
  46         foreach ($pid, $tail_pid) {
  47                 kill 'TERM', $_ if defined $_;
  48         }
  49 };
  50
  51 my $ibx = PublicInbox::Inbox->new({
  52         mainrepo => $mainrepo,
  53         name => 'nntpd-tls',
  54         version => $version,
  55         -primary_address => $addr,
  56         indexlevel => 'basic',
  57 });
  58 $ibx = PublicInbox::InboxWritable->new($ibx, {nproc=>1});
  59 $ibx->init_inbox(0);
  60 {
  61         open my $fh, '>', $pi_config or die "open: $!\n";
  62         print $fh <<EOF
  63 [publicinbox "nntpd-tls"]
  64         mainrepo = $mainrepo
  65         address = $addr
  66         indexlevel = basic
  67         newsgroup = $group
  68 EOF
  69         ;
  70         close $fh or die "close: $!\n";
  71 }
  72
  73 {
  74         my $im = $ibx->importer(0);
  75         my $mime = PublicInbox::MIME->new(do {
  76                 open my $fh, '<', 't/data/0001.patch' or die;
  77                 local $/;
  78                 <$fh>
  79         });
  80         ok($im->add($mime), 'message added');
  81         $im->done;
  82         if ($version == 1) {
  83                 my $s = PublicInbox::SearchIdx->new($ibx, 1);
  84                 $s->index_sync;
  85         }
  86 }
  87
  88 my $nntps_addr = $nntps->sockhost . ':' . $nntps->sockport;
  89 my $starttls_addr = $starttls->sockhost . ':' . $starttls->sockport;
  90 my $env = { PI_CONFIG => $pi_config };
  91
  92 for my $args (
  93         [ "--cert=$cert", "--key=$key",
  94                 "-lnntps://$nntps_addr",
  95                 "-lnntp://$starttls_addr" ],
  96 ) {
  97         for ($out, $err) {
  98                 open my $fh, '>', $_ or die "truncate: $!";
  99         }
 100         if (my $tail_cmd = $ENV{TAIL}) { # don't assume GNU tail
 101                 $tail_pid = fork;
 102                 if (defined $tail_pid && $tail_pid == 0) {
 103                         exec(split(' ', $tail_cmd), $out, $err);
 104                 }
 105         }
 106         my $cmd = [ $nntpd, '-W0', @$args, "--stdout=$out", "--stderr=$err" ];
 107         $pid = spawn_listener($env, $cmd, [ $starttls, $nntps ]);
 108         my %o = (
 109                 SSL_hostname => 'server.local',
 110                 SSL_verifycn_name => 'server.local',
 111                 SSL_verify_mode => SSL_VERIFY_PEER(),
 112                 SSL_ca_file => 'certs/test-ca.pem',
 113         );
 114         my $expect = { $group => [qw(1 1 n)] };
 115
 116         # start negotiating a slow TLS connection
 117         my $slow = IO::Socket::INET->new(
 118                 Proto => 'tcp',
 119                 PeerAddr => $nntps_addr,
 120                 Type => SOCK_STREAM,
 121                 Blocking => 0,
 122         );
 123         $slow = IO::Socket::SSL->start_SSL($slow, SSL_startHandshake => 0, %o);
 124         my $slow_done = $slow->connect_SSL;
 125         diag('W: connect_SSL early OK, slow client test invalid') if $slow_done;
 126         my @poll = (fileno($slow), PublicInbox::TLS::epollbit());
 127         # we should call connect_SSL much later...
 128
 129         # NNTPS
 130         my $c = Net::NNTP->new($nntps_addr, %o, SSL => 1);
 131         my $list = $c->list;
 132         is_deeply($list, $expect, 'NNTPS LIST works');
 133         unlike(get_capa($c), qr/\bSTARTTLS\r\n/,
 134                 'STARTTLS not advertised for NNTPS');
 135         is($c->command('QUIT')->response(), Net::Cmd::CMD_OK(), 'QUIT works');
 136         is(0, sysread($c, my $buf, 1), 'got EOF after QUIT');
 137
 138         # STARTTLS
 139         $c = Net::NNTP->new($starttls_addr, %o);
 140         $list = $c->list;
 141         is_deeply($list, $expect, 'plain LIST works');
 142         ok($c->starttls, 'STARTTLS succeeds');
 143         is($c->code, 382, 'got 382 for STARTTLS');
 144         $list = $c->list;
 145         is_deeply($list, $expect, 'LIST works after STARTTLS');
 146         unlike(get_capa($c), qr/\bSTARTTLS\r\n/,
 147                 'STARTTLS not advertised after STARTTLS');
 148
 149         # Net::NNTP won't let us do dumb things, but we need to test
 150         # dumb things, so use Net::Cmd directly:
 151         my $n = $c->command('STARTTLS')->response();
 152         is($n, Net::Cmd::CMD_ERROR(), 'error attempting STARTTLS again');
 153         is($c->code, 502, '502 according to RFC 4642 sec#2.2.1');
 154
 155         # STARTTLS with bad hostname
 156         $o{SSL_hostname} = $o{SSL_verifycn_name} = 'server.invalid';
 157         $c = Net::NNTP->new($starttls_addr, %o);
 158         like(get_capa($c), qr/\bSTARTTLS\r\n/, 'STARTTLS advertised');
 159         $list = $c->list;
 160         is_deeply($list, $expect, 'plain LIST works again');
 161         ok(!$c->starttls, 'STARTTLS fails with bad hostname');
 162         $c = Net::NNTP->new($starttls_addr, %o);
 163         $list = $c->list;
 164         is_deeply($list, $expect, 'not broken after bad negotiation');
 165
 166         # NNTPS with bad hostname
 167         $c = Net::NNTP->new($nntps_addr, %o, SSL => 1);
 168         is($c, undef, 'NNTPS fails with bad hostname');
 169         $o{SSL_hostname} = $o{SSL_verifycn_name} = 'server.local';
 170         $c = Net::NNTP->new($nntps_addr, %o, SSL => 1);
 171         ok($c, 'NNTPS succeeds again with valid hostname');
 172
 173         # slow TLS connection did not block the other fast clients while
 174         # connecting, finish it off:
 175         until ($slow_done) {
 176                 IO::Poll::_poll(-1, @poll);
 177                 $slow_done = $slow->connect_SSL and last;
 178                 @poll = (fileno($slow), PublicInbox::TLS::epollbit());
 179         }
 180         $slow->blocking(1);
 181         ok(sysread($slow, my $greet, 4096) > 0, 'slow got greeting');
 182         like($greet, qr/\A201 /, 'got expected greeting');
 183         is(syswrite($slow, "QUIT\r\n"), 6, 'slow wrote QUIT');
 184         ok(sysread($slow, my $end, 4096) > 0, 'got EOF');
 185         is(sysread($slow, my $eof, 4096), 0, 'got EOF');
 186         $slow = undef;
 187
 188         SKIP: {
 189                 skip 'TCP_DEFER_ACCEPT is Linux-only', 2 if $^O ne 'linux';
 190                 my $var = Socket::TCP_DEFER_ACCEPT();
 191                 defined(my $x = getsockopt($nntps, IPPROTO_TCP, $var)) or die;
 192                 ok(unpack('i', $x) > 0, 'TCP_DEFER_ACCEPT set on NNTPS');
 193                 defined($x = getsockopt($starttls, IPPROTO_TCP, $var)) or die;
 194                 is(unpack('i', $x), 0, 'TCP_DEFER_ACCEPT is 0 on plain NNTP');
 195         };
 196         SKIP: {
 197                 skip 'SO_ACCEPTFILTER is FreeBSD-only', 2 if $^O ne 'freebsd';
 198                 if (system('kldstat -m accf_data >/dev/null')) {
 199                         skip 'accf_data not loaded? kldload accf_data', 2;
 200                 }
 201                 require PublicInbox::Daemon;
 202                 my $var = PublicInbox::Daemon::SO_ACCEPTFILTER();
 203                 my $x = getsockopt($nntps, SOL_SOCKET, $var);
 204                 like($x, qr/\Adataready\0+\z/, 'got dataready accf for NNTPS');
 205                 $x = getsockopt($starttls, IPPROTO_TCP, $var);
 206                 is($x, undef, 'no BSD accept filter for plain NNTP');
 207         };
 208
 209         $c = undef;
 210         kill('TERM', $pid);
 211         is($pid, waitpid($pid, 0), 'nntpd exited successfully');
 212         is($?, 0, 'no error in exited process');
 213         $pid = undef;
 214         my $eout = eval {
 215                 open my $fh, '<', $err or die "open $err failed: $!";
 216                 local $/;
 217                 <$fh>;
 218         };
 219         unlike($eout, qr/wide/i, 'no Wide character warnings');
 220         if (defined $tail_pid) {
 221                 kill 'TERM', $tail_pid;
 222                 waitpid($tail_pid, 0);
 223                 $tail_pid = undef;
 224         }
 225 }
 226 done_testing();
 227
 228 sub get_capa {
 229         my ($sock) = @_;
 230         syswrite($sock, "CAPABILITIES\r\n");
 231         my $capa = '';
 232         do {
 233                 my $r = sysread($sock, $capa, 8192, length($capa));
 234                 die "unexpected: $!" unless defined($r);
 235                 die 'unexpected EOF' if $r == 0;
 236         } until $capa =~ /\.\r\n\z/;
 237         $capa;
 238 }
 239
 240 1;