]> Sergey Matveev's repositories - public-inbox.git/blob - t/nntpd-tls.t
projects / public-inbox.git / blob
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
t/nntpd*.t: skip TLS tests for old Net::NNTP
[public-inbox.git] / t / nntpd-tls.t
1 # Copyright (C) 2019 all contributors <meta@public-inbox.org>
2 # License: AGPL-3.0+ <https://www.gnu.org/licenses/agpl-3.0.txt>
3 use strict;
4 use warnings;
5 use Test::More;
6 use File::Temp qw(tempdir);
7 use Socket qw(SOCK_STREAM IPPROTO_TCP SOL_SOCKET);
8 # IO::Poll and Net::NNTP are part of the standard library, but
9 # distros may split them off...
10 foreach my $mod (qw(DBD::SQLite IO::Socket::SSL Net::NNTP IO::Poll)) {
11         eval "require $mod";
12         plan skip_all => "$mod missing for $0" if $@;
13 }
14 Net::NNTP->can('starttls') or
15         plan skip_all => 'Net::NNTP does not support TLS';
16
17 my $cert = 'certs/server-cert.pem';
18 my $key = 'certs/server-key.pem';
19 unless (-r $key && -r $cert) {
20         plan skip_all =>
21                 "certs/ missing for $0, run ./create-certs.perl in certs/";
22 }
23
24 use_ok 'PublicInbox::TLS';
25 use_ok 'IO::Socket::SSL';
26 require './t/common.perl';
27 require PublicInbox::InboxWritable;
28 require PublicInbox::MIME;
29 require PublicInbox::SearchIdx;
30 my $version = 2; # v2 needs newer git
31 require_git('2.6') if $version >= 2;
32 my $tmpdir = tempdir('pi-nntpd-tls-XXXXXX', TMPDIR => 1, CLEANUP => 1);
33 my $err = "$tmpdir/stderr.log";
34 my $out = "$tmpdir/stdout.log";
35 my $mainrepo = "$tmpdir";
36 my $pi_config = "$tmpdir/pi_config";
37 my $group = 'test-nntpd-tls';
38 my $addr = $group . '@example.com';
39 my $nntpd = 'blib/script/public-inbox-nntpd';
40 my %opts = (
41         LocalAddr => '127.0.0.1',
42         ReuseAddr => 1,
43         Proto => 'tcp',
44         Type => SOCK_STREAM,
45         Listen => 1024,
46 );
47 my $starttls = IO::Socket::INET->new(%opts);
48 my $nntps = IO::Socket::INET->new(%opts);
49 my ($pid, $tail_pid);
50 END {
51         foreach ($pid, $tail_pid) {
52                 kill 'TERM', $_ if defined $_;
53         }
54 };
55
56 my $ibx = PublicInbox::Inbox->new({
57         mainrepo => $mainrepo,
58         name => 'nntpd-tls',
59         version => $version,
60         -primary_address => $addr,
61         indexlevel => 'basic',
62 });
63 $ibx = PublicInbox::InboxWritable->new($ibx, {nproc=>1});
64 $ibx->init_inbox(0);
65 {
66         open my $fh, '>', $pi_config or die "open: $!\n";
67         print $fh <<EOF
68 [publicinbox "nntpd-tls"]
69         mainrepo = $mainrepo
70         address = $addr
71         indexlevel = basic
72         newsgroup = $group
73 EOF
74         ;
75         close $fh or die "close: $!\n";
76 }
77
78 {
79         my $im = $ibx->importer(0);
80         my $mime = PublicInbox::MIME->new(do {
81                 open my $fh, '<', 't/data/0001.patch' or die;
82                 local $/;
83                 <$fh>
84         });
85         ok($im->add($mime), 'message added');
86         $im->done;
87         if ($version == 1) {
88                 my $s = PublicInbox::SearchIdx->new($ibx, 1);
89                 $s->index_sync;
90         }
91 }
92
93 my $nntps_addr = $nntps->sockhost . ':' . $nntps->sockport;
94 my $starttls_addr = $starttls->sockhost . ':' . $starttls->sockport;
95 my $env = { PI_CONFIG => $pi_config };
96
97 for my $args (
98         [ "--cert=$cert", "--key=$key",
99                 "-lnntps://$nntps_addr",
100                 "-lnntp://$starttls_addr" ],
101 ) {
102         for ($out, $err) {
103                 open my $fh, '>', $_ or die "truncate: $!";
104         }
105         if (my $tail_cmd = $ENV{TAIL}) { # don't assume GNU tail
106                 $tail_pid = fork;
107                 if (defined $tail_pid && $tail_pid == 0) {
108                         exec(split(' ', $tail_cmd), $out, $err);
109                 }
110         }
111         my $cmd = [ $nntpd, '-W0', @$args, "--stdout=$out", "--stderr=$err" ];
112         $pid = spawn_listener($env, $cmd, [ $starttls, $nntps ]);
113         my %o = (
114                 SSL_hostname => 'server.local',
115                 SSL_verifycn_name => 'server.local',
116                 SSL_verify_mode => SSL_VERIFY_PEER(),
117                 SSL_ca_file => 'certs/test-ca.pem',
118         );
119         my $expect = { $group => [qw(1 1 n)] };
120
121         # start negotiating a slow TLS connection
122         my $slow = IO::Socket::INET->new(
123                 Proto => 'tcp',
124                 PeerAddr => $nntps_addr,
125                 Type => SOCK_STREAM,
126                 Blocking => 0,
127         );
128         $slow = IO::Socket::SSL->start_SSL($slow, SSL_startHandshake => 0, %o);
129         my $slow_done = $slow->connect_SSL;
130         diag('W: connect_SSL early OK, slow client test invalid') if $slow_done;
131         my @poll = (fileno($slow), PublicInbox::TLS::epollbit());
132         # we should call connect_SSL much later...
133
134         # NNTPS
135         my $c = Net::NNTP->new($nntps_addr, %o, SSL => 1);
136         my $list = $c->list;
137         is_deeply($list, $expect, 'NNTPS LIST works');
138         is($c->command('QUIT')->response(), Net::Cmd::CMD_OK(), 'QUIT works');
139         is(0, sysread($c, my $buf, 1), 'got EOF after QUIT');
140
141         # STARTTLS
142         $c = Net::NNTP->new($starttls_addr, %o);
143         $list = $c->list;
144         is_deeply($list, $expect, 'plain LIST works');
145         ok($c->starttls, 'STARTTLS succeeds');
146         is($c->code, 382, 'got 382 for STARTTLS');
147         $list = $c->list;
148         is_deeply($list, $expect, 'LIST works after STARTTLS');
149
150         # Net::NNTP won't let us do dumb things, but we need to test
151         # dumb things, so use Net::Cmd directly:
152         my $n = $c->command('STARTTLS')->response();
153         is($n, Net::Cmd::CMD_ERROR(), 'error attempting STARTTLS again');
154         is($c->code, 502, '502 according to RFC 4642 sec#2.2.1');
155
156         # STARTTLS with bad hostname
157         $o{SSL_hostname} = $o{SSL_verifycn_name} = 'server.invalid';
158         $c = Net::NNTP->new($starttls_addr, %o);
159         $list = $c->list;
160         is_deeply($list, $expect, 'plain LIST works again');
161         ok(!$c->starttls, 'STARTTLS fails with bad hostname');
162         $c = Net::NNTP->new($starttls_addr, %o);
163         $list = $c->list;
164         is_deeply($list, $expect, 'not broken after bad negotiation');
165
166         # NNTPS with bad hostname
167         $c = Net::NNTP->new($nntps_addr, %o, SSL => 1);
168         is($c, undef, 'NNTPS fails with bad hostname');
169         $o{SSL_hostname} = $o{SSL_verifycn_name} = 'server.local';
170         $c = Net::NNTP->new($nntps_addr, %o, SSL => 1);
171         ok($c, 'NNTPS succeeds again with valid hostname');
172
173         # slow TLS connection did not block the other fast clients while
174         # connecting, finish it off:
175         until ($slow_done) {
176                 IO::Poll::_poll(-1, @poll);
177                 $slow_done = $slow->connect_SSL and last;
178                 @poll = (fileno($slow), PublicInbox::TLS::epollbit());
179         }
180         $slow->blocking(1);
181         ok(sysread($slow, my $greet, 4096) > 0, 'slow got greeting');
182         like($greet, qr/\A201 /, 'got expected greeting');
183         is(syswrite($slow, "QUIT\r\n"), 6, 'slow wrote QUIT');
184         ok(sysread($slow, my $end, 4096) > 0, 'got EOF');
185         is(sysread($slow, my $eof, 4096), 0, 'got EOF');
186         $slow = undef;
187
188         SKIP: {
189                 skip 'TCP_DEFER_ACCEPT is Linux-only', 2 if $^O ne 'linux';
190                 my $var = Socket::TCP_DEFER_ACCEPT();
191                 defined(my $x = getsockopt($nntps, IPPROTO_TCP, $var)) or die;
192                 ok(unpack('i', $x) > 0, 'TCP_DEFER_ACCEPT set on NNTPS');
193                 defined($x = getsockopt($starttls, IPPROTO_TCP, $var)) or die;
194                 is(unpack('i', $x), 0, 'TCP_DEFER_ACCEPT is 0 on plain NNTP');
195         };
196         SKIP: {
197                 skip 'SO_ACCEPTFILTER is FreeBSD-only', 2 if $^O ne 'freebsd';
198                 if (system('kldstat -m accf_data >/dev/null')) {
199                         skip 'accf_data not loaded? kldload accf_data', 2;
200                 }
201                 require PublicInbox::Daemon;
202                 my $var = PublicInbox::Daemon::SO_ACCEPTFILTER();
203                 my $x = getsockopt($nntps, SOL_SOCKET, $var);
204                 like($x, qr/\Adataready\0+\z/, 'got dataready accf for NNTPS');
205                 $x = getsockopt($starttls, IPPROTO_TCP, $var);
206                 is($x, undef, 'no BSD accept filter for plain NNTP');
207         };
208
209         $c = undef;
210         kill('TERM', $pid);
211         is($pid, waitpid($pid, 0), 'nntpd exited successfully');
212         is($?, 0, 'no error in exited process');
213         $pid = undef;
214         my $eout = eval {
215                 open my $fh, '<', $err or die "open $err failed: $!";
216                 local $/;
217                 <$fh>;
218         };
219         unlike($eout, qr/wide/i, 'no Wide character warnings');
220         if (defined $tail_pid) {
221                 kill 'TERM', $tail_pid;
222                 waitpid($tail_pid, 0);
223                 $tail_pid = undef;
224         }
225 }
226 done_testing();
227 1;
My patches to https://public-inbox.org/public-inbox.git