Use arc4random_uniform() to avoid "modulo bias"

Remove pw_getrand() unneded now: arc4random_uniform() is stronger then
pw_getrand()'s MD5 tricks (inactive) and its active version, mixing
arc4random() bytes in one, not make things better at all.

The original adduser/rmuser scripts in Perl used to modify the PATH
setting.  When the scripts were converted to Bourne shell, this was
removed.  The adduser script was changed to use an explicit path for
the pw(8) command so that /usr/sbin did not have to be in the user's
PATH.  The rmuser script continued to assume that /usr/sbin was in the
user's path, however.  This fixes the rmuser script to use an explicit
path for pw(8) similar to adduser.

MFC after: 2 weeks

Add support for a new login capability, cpumask which allows login
sessions to be pinned to cpus by login class.

Before updating the password database, the pw(8) utility first performs a
sanity check by invoking "pwd_mkdb -C".  However, if this failed it
silently returned success.  Fix this so it fails the update operation
instead.

MFC after: 1 week

Merge hexdump(9) to userland as hexdump(3) in libutil.  I'm tired of doing
this by hand in userland utilities.

MFC after: 1 month

- Increase the size of the salt in pw(8) from 8 to 32 (same as in pam_unix(8)).
 This makes blowfish password hashes look normal when set using
pw(8)/adduser(8). [1]
- Make it possible to have a '/' in the salt.

PR: 121146 [1]
Submitted by: Jaakko Heinonen [1]
Approved by: rwatson (mentor)
MFC after: 1 month

Add four utility functions related to struct grp processing modeled in-part
after similar calls related to struct pwd in libutil/pw_util.c:
  - gr_equal()
    Perform a deep comparison of two struct grp's.  It does a thorough, yet
    unoptimized comparison of all the members regardless of order.

  - gr_make()
    Create a string (see group(5)) from a struct grp.

  - gr_dup()
    Duplicate a struct grp.  Returns a value that is a single contiguous
    block of memory.

  - gr_scan()
    Create a struct grp from a string (as produced by gr_make()).

MFC after: 3 weeks

In the description of the password field, -w was meant, not the
nonexistant -p flag.

PR: 120122
Submitted by: Andy Kosela <andy.kosela@gmail.com>
MFC after: 3 days

Add the groupmod '-d' option to pw to allow the deletion of existing users
from a group without the need to perform the same operation by replacing
the existing list via the '-M' option.  The '-M' option requires someone
to fetch the existing members with pw, deleting the undesired members from
the list and sending the altered list back to pw.

Approved by: wes (mentor)
MFC after: 5 days

style(9) (verified no object changes)

Approved by: wes (mentor)
MFC after: 5 days

Add the -M command-line option, which will set home directory permissions.
Works both in interactive or batch mode. This is a heavily modified version
of the patch submitted in the PR.

PR: bin/105060
MFC after: 1 week

Clarify in what formats the grouplist for the '-G' switch may be accepted.

Submitted by: Eygene Ryabinkin <rea-fbsd@codelabs.ru>

Constify the first argument to expand_number() so that it can
be called with a const without the compiler grisling.

Allow adding a user(s) to additional groups in batch mode as well.

Submitted by: Eygene Ryabinkin <rea-fbsd@codelabs.ru> (modulo minor changes)
MFC after: 2 weeks

The POP daemon's temporary mail file has a leading dot ('.'). This was
lost in the shell script rewrite of the rmuser command.

Submitted by: Ian Smith <smithi@nimnet.asn.au>

Implement expand_number(3), which is the opposite of humanize_number(3), ie.
a number in human-readable form is converted to int64_t, for example:
123b -> 123
10k -> 10240
16G -> 17179869184

First version submitted by: Eric Anderson <anderson@freebsd.org>
Approved by: re (bmah)

Back out previous commit until I figure out why my regression test fails.

Approved by: re (kensmith)

Use fcntl(2)-style locks instead of less-portable flock(2)-style locks.

Approved by: re (kensmith)

Update some comments, mostly regarding LOGIN_MECLASS and ~/.login_conf.

Nit: avoid shadowing truncate(2) with a local variable.

Fix stupid braino in previous commit.

If (flags & O_TRUNC), don't truncate the file until we've successfully
locked it.

MFC after: 3 weeks

Well gag me with a spoon...   I'm so used to working at high WARNS levels
that I make stupid fundamental mistakes like this when I don't.

Remove superfluous unexpanded RCS tag.

DTRT when O_NONBLOCK is specified.

MFC after: 3 weeks

I'm tired of seeing this done incorrectly and non-portably, so add a
flopen(3) function which reliably opens and locks a file.

MFC after: 3 weeks

Bump .Dd for r1.5; fix grammatical problem.

Specify the correct way to modify this file, and warn that the
user should not depend on the internal variables documented in
this man page.

MFC After: 2 weeks

There are a couple of bugs in rev. 1.27:
1) The man page should describe the code, not the other way around.
2) Internal variables should not be documented or exposed, except in
   controlled circumstances (i.e. - That's what the -C flag is for).
   The variable should have been saved to the config file in save_config().
3) The next available userid doesn't get automatically updated. The
   end-result is the same (user gets added with the correct uid),
   but in an interactive session the default uid doesn't get updated in
   the display.

So,

o Use the uidstart variable instead of uuid (bug #3)
o Actually save the variable to adduser.conf (bug #2)
o (bug #1 to be fixed in an upcomming commit to adduser.conf.5)

MFC After: 2 weeks

Errm... I don't see how rev. 1.26 could have possibly worked or been tested.
Fix it for real.

Submitted by: Johnny Lee <johnny@bmtk.com>
MFC After: 2 weeks

Do the right thing with symlinks in the skeleton directory.

PR:     bin/63659

Accept passwords which contain whitespace.

PR:     bin/53434

Add home directory creation mode to pw.conf(5) and be a bit
more specific about the effect of the current umask on -M.

Add -M argument to usage() output.

Introduce the new option -M to allow to set the permissions of
the user's newly created home directory.  If omitted, it's derived
from the current umask.

PR:      bin/16880, bin/83253 (partially), bin/104248
MFC in:  1 month

Check if the new user already exists right after entering the
username instead of watching the final call to pw(8) fail.

Remove California Regent's clause 3, per letter

Per Regents of the University of Calfornia letter, remove advertising
clause.

# If I've done so improperly on a file, please let me know.

Flush my typo fix queue for this directory.

Fix typos.

Better mdoc(7).  Bump doc date.

Kicked by: ru

Note the naming convention of files in share/skel and explain the "dot"
prefix is removed.

PR: 103828

Markup fixes.

Fix bug introduced in rev 1.23:

pw_equal does not check crypted password field, so one cannot change
crypted password keeping other fields intact.

Approved by: des
MCF after: 3 days

o Fix groupadd getopt line and make 'pw groupadd -o' work.

PR: bin/100684
Submitted by: Devon H. O'Dell
MFC after: 3 weeks

Minor comment fix.

(pw_copy): Handle the case of a malformed line in master.passwd
 (copy it silently, do not dereference NULL pointer).

PR:             bin/102848
Reviewed by:    security-officer (cperciva)
MFC after:      1 week

Add adding_user.8 to SEE ALSO, note that usernames may contain any character
but not being with a hyphen, similar to adding_user.8.

PR: 35732

Reimplementation of world/kernel build options.  For details, see:

http://lists.freebsd.org/pipermail/freebsd-current/2006-March/061725.html

The src.conf(5) manpage is to follow in a few days.

Brought to you by: imp, jhb, kris, phk, ru (all bugs are mine)

POSIXed strtoll() (and ours one too) can set errno to EINVAL, so check
it first.

Approved by:    andre

Import of OpenBSD's strtonum(3) which is a nicer version of strtoll(3)
providing proper error checking and other improvements.

Obtained from: OpenBSD
Requested by: flz (to port Open[BGP|OSPF]D)
MFC after: 3 days

Add utility functions for checking if a given kernel module is loaded,
and loading it.

Honour the "uuid" directive in adduser.conf

PR: conf/87914
Approved by: philip (mentor)
MFC after: 3 days

Add a family of functions for reliable pidfiles handling.

Idea from: jmg
Discussed on: arch@

Cross-reference pw(8) into chpass(1), passwd(1), and vipw(8).

Change /home symbolic link, so it will point to usr/home instead of /usr/home.

Previous symlink was confusing:

# cd /jails/virtual_system_1/home
# realpath .
/usr/home

...and slower.

OK'ed by: rwatson, phk

Fix a particularly egregious grammar error.

Approved by: wpaul
MFC after: 1 day

 - Act according to the documentation (man page):
   When adding users from a preformatted file, do not exit
   silently when empty lines or lines starting with a '#'
   are encountered - ignore them instead.
 - Fix a spelling error in a comment.

PR: bin/80058

Properly spell default in a comment.

Remove unused variables.

The variable `arglist' has internal linkage in pw.c, don't declare it as extern
here.

Sort sections.

Sort sections.

Added the EXIT STATUS section where appropriate.

More NO_NIS cleanup: LINKS and MLINKS

Grammar in a comment.

Add knob NO_NIS (fka NO_YP_LIBC) and make world compileable when set.
If turned on  no NIS support and related programs will be built.

Lost parts rediscovered by: Danny Braniss <danny at cs.huji.ac.il>
PR: bin/68303
No objections: des, gshapiro, nectar
Reviewed by: ru
Approved by: rwatson (mentor)
MFC after: 2 weeks

Don't rely on NULL being a pointer, add a cast before passing it to a variadic
function.

In fullpath_from_shell(), move the nologin detection before the cat | while
loop to avoid an incorrect display of the nologin path twice.

PR: 71786
Submitted by: Andrew Hayden <andrew.hayden@gmail.com>
Reviewed by: mtm
MFC after: 3 days

Also, match the full path to the special nologin shell.
Previously, it would recognize it as a valid shell only
if the basename (nologin) was specified. Now, it will
recognize both the basename and the full path.

NOTE: The full path as adduser(8) understands it is /usr/sbin/nologin.
      There is a symlink, /sbin/nologin, but that's deprecated and
      only there for backwards compatibility.

Remove useless .Pp. Typo: gcos -> gecos (as spelled in passwd(5)).

Mechanically kill hard sentence breaks.

Mechanically kill hard sentence breaks.

Use strlcpy(3) to replace the idiomatic

  strncpy(d, s, l);
  d[l - 1] = '\0';

statements.

Fix a bug which occurred when the home directory given by the
-d option was equal to the one already saved and which caused
the pw utility to avoid updating values passed by other options
processed before the -d option in the code path.

Spotted by: Richard Caley <rjc@interactive.co.uk>

Assorted markup, grammar, and spelling fixes.

Add note that rmuser will clean up any IPC mechanisms owned by the user.

Approved by: bmilekic (mentor)

Accept full path names in addition to base names for shells.

Make explicit in the documentation that valid shells need to be
supplied only if the -S option is not given.

Fixed a typo.

Add humanize_number(3) to libutil for formating numbers into a human
readable form.

Obtained from: NetBSD

Don't depend on NULL's expansion being a pointer, cast it before it is passed
to variadic functions.

Approved by: das (mentor)

Bring the description for login_getclassbyname in sync with the function's
arguments.  The function has as a second argument a struct passwd * pointer,
not a directory name.

MFC after: 2 weeks

This manual page will not first appear in 4.10 as RELENG_4 has a different
version of the adduser utility.

Noticed by: simon

Fix today's faux pas by:

Removing the -compact option passed to .Bl macro to avoid useless .Pp macros;
Adding a missing period;
Using .Xr with .Nd since makewhatis(1) has no support for cases where the Xref is absent.

Informed by: ru

Add an adduser.conf manual page.
Hook it to the build in Makefile.
Xref from adduser.8.
Update adduser.8's BUGS section.
Bump the date on adduser.8.

Sychronize with reality: nologin(8) is now in /usr/sbin

Reminded by: trhodes

o Add an -S option to not attempt to ascertain the validity of a shell.
o Add a -D option to not attempt to create the home directory.
o Treat the /nonexistent home directory specially. It means the user has
  no home directory and it should not be created.
o Update Copyright year and my email.

Shift file locking to source file instead of temp file.  This fixes
data buffering issue that corrupts files if two pw(8)'s run at the
same time as well as changing pw(8) so it uses the same locking
mechanism as PAM, vipw(8), pwd_mkdb(8), etc.

PR: bin/23501
Submitted by: Alex Kapranoff <alex (at) kapran (dot) bitmcnit (dot) bryansk (dot) su>
Approved by: rwatson (mentor)
MFC after: 5 days

Typo fix.

PR: docs/63677
Submitted by: Volker Stolz <stolz@i2.informatik.rwth-aachen.de>
MFC after: 1 week

Make rmuser now also remove ipc resources. Also, fix a few minor
shell style problems (superfluous backslashes at EOL).

PR: 55980
Submitted by: Chris S.J.Peron <maneo@bsdpro.com>
MFC after: 2 weeks

Add the clean_environment call to libutil.h also.

MFC after: 2 weeks

Remove unused includes. Make it WARNS=6 friendly. Concerning bin/2442, make
a new function dup_shell() to replace ok_shell() and make it unconditionnally
strdup() its result to make the caller's code simplier. Change ok_shell() to
just return an integer value suitable for tests (it was used mainly for that
purpose). Do not use strdup() in the caller's code but rely on dup_shell()
that will do the job for us.

PR: bin/2442

add missing endusershell() call. Original version was incorrect.
PR: bin/2442
Reviewed by: Friedemann Becker <zxmxy33@mail.uni-tuebingen.de>

Add a `-H <fd>' option that is like `-h <fd>', but accepts an already
encrypted password on the specified file descriptor.

PR: bin/22033
MFC after: 2 weeks

(mostly) Clean up some const warnings here.  The code takes some liberties
because it is the originator of various const strings and knows that they
came from malloc.

ANSIfy, WARNSify, CONSTify. Bit of style(9)-ify.

mdoc(7): Properly mark C headers.

mdoc(7): Use the new feature of the .In macro.

Do not compare unsigned int values with ULONG_MAX. The comparison is
always false on 64bit platforms and GCC 3.3.1 issues warning there.

Typo.
This has worked so far because the variable was empty by default.

Submitted by: Kostyuk Oleg <cub@cub.org.ua>