1b4cea1552d4db78f138a99db890bff88dfab455
[exim.git] / src / src / log.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2024 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10 /* Functions for writing log files. The code for maintaining datestamped
11 log files was originally contributed by Tony Sheen. */
12
13
14 #include "exim.h"
15
16 #define MAX_SYSLOG_LEN 870
17
18 #define LOG_MODE_FILE   1
19 #define LOG_MODE_SYSLOG 2
20
21 enum { lt_main, lt_reject, lt_panic, lt_debug };
22
23 static uschar *log_names[] = { US"main", US"reject", US"panic", US"debug" };
24
25
26
27 /*************************************************
28 *           Local static variables               *
29 *************************************************/
30
31 static uschar mainlog_name[LOG_NAME_SIZE];
32 static uschar rejectlog_name[LOG_NAME_SIZE];
33
34 static uschar *mainlog_datestamp = NULL;
35 static uschar *rejectlog_datestamp = NULL;
36
37 static int    mainlogfd = -1;
38 static int    rejectlogfd = -1;
39 static ino_t  mainlog_inode = 0;
40 static ino_t  rejectlog_inode = 0;
41
42 static uschar *panic_save_buffer = NULL;
43 static BOOL   panic_recurseflag = FALSE;
44
45 static BOOL   syslog_open = FALSE;
46 static BOOL   path_inspected = FALSE;
47 static int    logging_mode = LOG_MODE_FILE;
48 static uschar *file_path = US"";
49
50 static size_t pid_position[2];
51
52
53 /* These should be kept in-step with the private delivery error
54 number definitions in macros.h */
55
56 static const uschar * exim_errstrings[] = {
57   [0] = US"",
58   [- ERRNO_UNKNOWNERROR] =      US"unknown error",
59   [- ERRNO_USERSLASH] =         US"user slash",
60   [- ERRNO_EXISTRACE] =         US"exist race",
61   [- ERRNO_NOTREGULAR] =        US"not regular",
62   [- ERRNO_NOTDIRECTORY] =      US"not directory",
63   [- ERRNO_BADUGID] =           US"bad ugid",
64   [- ERRNO_BADMODE] =           US"bad mode",
65   [- ERRNO_INODECHANGED] =      US"inode changed",
66   [- ERRNO_LOCKFAILED] =        US"lock failed",
67   [- ERRNO_BADADDRESS2] =       US"bad address2",
68   [- ERRNO_FORBIDPIPE] =        US"forbid pipe",
69   [- ERRNO_FORBIDFILE] =        US"forbid file",
70   [- ERRNO_FORBIDREPLY] =       US"forbid reply",
71   [- ERRNO_MISSINGPIPE] =       US"missing pipe",
72   [- ERRNO_MISSINGFILE] =       US"missing file",
73   [- ERRNO_MISSINGREPLY] =      US"missing reply",
74   [- ERRNO_BADREDIRECT] =       US"bad redirect",
75   [- ERRNO_SMTPCLOSED] =        US"smtp closed",
76   [- ERRNO_SMTPFORMAT] =        US"smtp format",
77   [- ERRNO_SPOOLFORMAT] =       US"spool format",
78   [- ERRNO_NOTABSOLUTE] =       US"not absolute",
79   [- ERRNO_EXIMQUOTA] =         US"Exim-imposed quota",
80   [- ERRNO_HELD] =              US"held",
81   [- ERRNO_FILTER_FAIL] =       US"Delivery filter process failure",
82   [- ERRNO_CHHEADER_FAIL] =     US"Delivery add/remove header failure",
83   [- ERRNO_WRITEINCOMPLETE] =   US"Delivery write incomplete error",
84   [- ERRNO_EXPANDFAIL] =        US"Some expansion failed",
85   [- ERRNO_GIDFAIL] =           US"Failed to get gid",
86   [- ERRNO_UIDFAIL] =           US"Failed to get uid",
87   [- ERRNO_BADTRANSPORT] =      US"Unset or non-existent transport",
88   [- ERRNO_MBXLENGTH] =         US"MBX length mismatch",
89   [- ERRNO_UNKNOWNHOST] =       US"Lookup failed routing or in smtp tpt",
90   [- ERRNO_FORMATUNKNOWN] =     US"Can't match format in appendfile",
91   [- ERRNO_BADCREATE] =         US"Creation outside home in appendfile",
92   [- ERRNO_LISTDEFER] =         US"Can't check a list; lookup defer",
93   [- ERRNO_DNSDEFER] =          US"DNS lookup defer",
94   [- ERRNO_TLSFAILURE] =        US"Failed to start TLS session",
95   [- ERRNO_TLSREQUIRED] =       US"Mandatory TLS session not started",
96   [- ERRNO_CHOWNFAIL] =         US"Failed to chown a file",
97   [- ERRNO_PIPEFAIL] =          US"Failed to create a pipe",
98   [- ERRNO_CALLOUTDEFER] =      US"When verifying",
99   [- ERRNO_AUTHFAIL] =          US"When required by client",
100   [- ERRNO_CONNECTTIMEOUT] =    US"Used internally in smtp transport",
101   [- ERRNO_RCPT4XX] =           US"RCPT gave 4xx error",
102   [- ERRNO_MAIL4XX] =           US"MAIL gave 4xx error",
103   [- ERRNO_DATA4XX] =           US"DATA gave 4xx error",
104   [- ERRNO_PROXYFAIL] =         US"Negotiation failed for proxy configured host",
105   [- ERRNO_AUTHPROB] =          US"Authenticator 'other' failure",
106   [- ERRNO_UTF8_FWD] =          US"target not supporting SMTPUTF8",
107   [- ERRNO_HOST_IS_LOCAL] =     US"host is local",
108   [- ERRNO_TAINT] =             US"tainted filename",
109
110   [- ERRNO_RRETRY] =            US"Not time for routing",
111
112   [- ERRNO_LRETRY] =            US"Not time for local delivery",
113   [- ERRNO_HRETRY] =            US"Not time for any remote host",
114   [- ERRNO_LOCAL_ONLY] =        US"Local-only delivery",
115   [- ERRNO_QUEUE_DOMAIN] =      US"Domain in queue_domains",
116   [- ERRNO_TRETRY] =            US"Transport concurrency limit",
117
118   [- ERRNO_EVENT] =             US"Event requests alternate response",
119 };
120
121
122 /************************************************/
123 const uschar *
124 exim_errstr(int err)
125 {
126 return err < 0 ? exim_errstrings[-err] : CUS strerror(err);
127 }
128
129 /*************************************************
130 *              Write to syslog                   *
131 *************************************************/
132
133 /* The given string is split into sections according to length, or at embedded
134 newlines, and syslogged as a numbered sequence if it is overlong or if there is
135 more than one line. However, if we are running in the test harness, do not do
136 anything. (The test harness doesn't use syslog - for obvious reasons - but we
137 can get here if there is a failure to open the panic log.)
138
139 Arguments:
140   priority       syslog priority
141   s              the string to be written
142
143 Returns:         nothing
144 */
145
146 static void
147 write_syslog(int priority, const uschar *s)
148 {
149 int len;
150 int linecount = 0;
151
152 if (!syslog_pid && LOGGING(pid))
153   s = string_sprintf("%.*s%s", (int)pid_position[0], s, s + pid_position[1]);
154 if (!syslog_timestamp)
155   {
156   len = log_timezone ? 26 : 20;
157   if (LOGGING(millisec)) len += 4;
158   s += len;
159   }
160
161 len = Ustrlen(s);
162
163 #ifndef NO_OPENLOG
164 if (!syslog_open && !f.running_in_test_harness)
165   {
166 # ifdef SYSLOG_LOG_PID
167   openlog(CS syslog_processname, LOG_PID|LOG_CONS, syslog_facility);
168 # else
169   openlog(CS syslog_processname, LOG_CONS, syslog_facility);
170 # endif
171   syslog_open = TRUE;
172   }
173 #endif
174
175 /* First do a scan through the message in order to determine how many lines
176 it is going to end up as. Then rescan to output it. */
177
178 for (int pass = 0; pass < 2; pass++)
179   {
180   const uschar * ss = s;
181   for (int i = 1, tlen = len; tlen > 0; i++)
182     {
183     int plen = tlen;
184     uschar *nlptr = Ustrchr(ss, '\n');
185     if (nlptr != NULL) plen = nlptr - ss;
186 #ifndef SYSLOG_LONG_LINES
187     if (plen > MAX_SYSLOG_LEN) plen = MAX_SYSLOG_LEN;
188 #endif
189     tlen -= plen;
190     if (ss[plen] == '\n') tlen--;    /* chars left */
191
192     if (pass == 0)
193       linecount++;
194     else if (f.running_in_test_harness)
195       if (linecount == 1)
196         fprintf(stderr, "SYSLOG: '%.*s'\n", plen, ss);
197       else
198         fprintf(stderr, "SYSLOG: '[%d%c%d] %.*s'\n", i,
199           ss[plen] == '\n' && tlen != 0 ? '\\' : '/',
200           linecount, plen, ss);
201     else
202       if (linecount == 1)
203         syslog(priority, "%.*s", plen, ss);
204       else
205         syslog(priority, "[%d%c%d] %.*s", i,
206           ss[plen] == '\n' && tlen != 0 ? '\\' : '/',
207           linecount, plen, ss);
208
209     ss += plen;
210     if (*ss == '\n') ss++;
211     }
212   }
213 }
214
215
216
217 /*************************************************
218 *             Die tidily                         *
219 *************************************************/
220
221 /* This is called when Exim is dying as a result of something going wrong in
222 the logging, or after a log call with LOG_PANIC_DIE set. Optionally write a
223 message to debug_file or a stderr file, if they exist. Then, if in the middle
224 of accepting a message, throw it away tidily by calling receive_bomb_out();
225 this will attempt to send an SMTP response if appropriate. Passing NULL as the
226 first argument stops it trying to run the NOTQUIT ACL (which might try further
227 logging and thus cause problems). Otherwise, try to close down an outstanding
228 SMTP call tidily.
229
230 Arguments:
231   s1         Error message to write to debug_file and/or stderr and syslog
232   s2         Error message for any SMTP call that is in progress
233 Returns:     The function does not return
234 */
235
236 static void
237 die(uschar *s1, uschar *s2)
238 {
239 if (s1)
240   {
241   write_syslog(LOG_CRIT, s1);
242   if (debug_file) debug_printf("%s\n", s1);
243   if (log_stderr && log_stderr != debug_file)
244     fprintf(log_stderr, "%s\n", s1);
245   }
246 if (f.receive_call_bombout) receive_bomb_out(NULL, s2);  /* does not return */
247 if (smtp_input) smtp_closedown(s2);
248 exim_exit(EXIT_FAILURE);
249 }
250
251
252
253 /*************************************************
254 *             Create a log file                  *
255 *************************************************/
256
257 /* This function is called to create and open a log file. It may be called in a
258 subprocess when the original process is root.
259
260 Arguments:
261   name         the file name
262
263 The file name has been build in a working buffer, so it is permissible to
264 overwrite it temporarily if it is necessary to create the directory.
265
266 Returns:       a file descriptor, or < 0 on failure (errno set)
267 */
268
269 static int
270 log_open_already_exim(const uschar * const name)
271 {
272 int fd = -1;
273 const int flags = O_WRONLY | O_APPEND | O_CREAT | O_NONBLOCK;
274
275 if (geteuid() != exim_uid)
276   {
277   errno = EACCES;
278   return -1;
279   }
280
281 fd = Uopen(name, flags, LOG_MODE);
282
283 /* If creation failed, attempt to build a log directory in case that is the
284 problem. */
285
286 if (fd < 0 && errno == ENOENT)
287   {
288   BOOL created;
289   uschar *lastslash = Ustrrchr(name, '/');
290   *lastslash = 0;
291   created = directory_make(NULL, name, LOG_DIRECTORY_MODE, FALSE);
292   DEBUG(D_any)
293     if (created)
294       debug_printf("created log directory %s\n", name);
295     else
296       debug_printf("failed to create log directory %s: %s\n", name, strerror(errno));
297   *lastslash = '/';
298   if (created) fd = Uopen(name, flags, LOG_MODE);
299   }
300
301 return fd;
302 }
303
304
305
306 /* Inspired by OpenSSH's mm_send_fd(). Thanks!
307 Send fd over socketpair.
308 Return: true iff good.
309 */
310
311 BOOL
312 send_fd_over_socket(const int sock, const int fd)
313 {
314 struct msghdr msg;
315 union {
316   struct cmsghdr hdr;
317   char buf[CMSG_SPACE(sizeof(int))];
318 } cmsgbuf;
319 struct cmsghdr *cmsg;
320 char ch = 'A';
321 struct iovec vec = {.iov_base = &ch, .iov_len = 1};
322 ssize_t n;
323
324 memset(&msg, 0, sizeof(msg));
325 memset(&cmsgbuf, 0, sizeof(cmsgbuf));
326 msg.msg_control = &cmsgbuf.buf;
327 msg.msg_controllen = sizeof(cmsgbuf.buf);
328
329 cmsg = CMSG_FIRSTHDR(&msg);
330 cmsg->cmsg_len = CMSG_LEN(sizeof(int));
331 cmsg->cmsg_level = SOL_SOCKET;
332 cmsg->cmsg_type = SCM_RIGHTS;
333 *(int *)CMSG_DATA(cmsg) = fd;
334
335 msg.msg_iov = &vec;
336 msg.msg_iovlen = 1;
337
338 while ((n = sendmsg(sock, &msg, 0)) == -1 && errno == EINTR);
339 return n == 1;
340 }
341
342 /* Inspired by OpenSSH's mm_receive_fd(). Thanks!
343 Return fd passed over socketpair, or -1 on error.
344 */
345
346 int
347 recv_fd_from_sock(const int sock)
348 {
349 struct msghdr msg;
350 union {
351   struct cmsghdr hdr;
352   char buf[CMSG_SPACE(sizeof(int))];
353 } cmsgbuf;
354 struct cmsghdr *cmsg;
355 char ch = '\0';
356 struct iovec vec = {.iov_base = &ch, .iov_len = 1};
357 ssize_t n;
358 int fd;
359
360 memset(&msg, 0, sizeof(msg));
361 msg.msg_iov = &vec;
362 msg.msg_iovlen = 1;
363
364 memset(&cmsgbuf, 0, sizeof(cmsgbuf));
365 msg.msg_control = &cmsgbuf.buf;
366 msg.msg_controllen = sizeof(cmsgbuf.buf);
367
368 while ((n = recvmsg(sock, &msg, 0)) == -1 && errno == EINTR) ;
369 if (n != 1 || ch != 'A') return -1;
370
371 if (!(cmsg = CMSG_FIRSTHDR(&msg))) return -1;
372 if (cmsg->cmsg_type != SCM_RIGHTS) return -1;
373 if ((fd = *(const int *)CMSG_DATA(cmsg)) < 0) return -1;
374 return fd;
375 }
376
377
378
379 /*************************************************
380 *     Create a log file as the exim user         *
381 *************************************************/
382
383 /* This function is called when we are root to spawn an exim:exim subprocess
384 in which we can create a log file. It must be signal-safe since it is called
385 by the usr1_handler().
386
387 Arguments:
388   name         the file name
389
390 Returns:       a file descriptor, or < 0 on failure (errno set)
391 */
392
393 int
394 log_open_as_exim(const uschar * const name)
395 {
396 int fd = -1;
397 const uid_t euid = geteuid();
398
399 if (euid == exim_uid)
400   fd = log_open_already_exim(name);
401 else if (euid == root_uid)
402   {
403   int sock[2];
404   if (socketpair(AF_UNIX, SOCK_STREAM, 0, sock) == 0)
405     {
406     const pid_t pid = fork();
407     if (pid == 0)
408       {
409       (void)close(sock[0]);
410       if (  setgroups(1, &exim_gid) != 0
411          || setgid(exim_gid) != 0
412          || setuid(exim_uid) != 0
413
414          || getuid() != exim_uid || geteuid() != exim_uid
415          || getgid() != exim_gid || getegid() != exim_gid
416
417          || (fd = log_open_already_exim(name)) < 0
418          || !send_fd_over_socket(sock[1], fd)
419          ) _exit(EXIT_FAILURE);
420       (void)close(sock[1]);
421       _exit(EXIT_SUCCESS);
422       }
423
424     (void)close(sock[1]);
425     if (pid > 0)
426       {
427       fd = recv_fd_from_sock(sock[0]);
428       while (waitpid(pid, NULL, 0) == -1 && errno == EINTR);
429       }
430     (void)close(sock[0]);
431     }
432   }
433
434 if (fd >= 0)
435   {
436   int flags;
437   flags = fcntl(fd, F_GETFD);
438   if (flags != -1) (void)fcntl(fd, F_SETFD, flags | FD_CLOEXEC);
439   flags = fcntl(fd, F_GETFL);
440   if (flags != -1) (void)fcntl(fd, F_SETFL, flags & ~O_NONBLOCK);
441   }
442 else
443   errno = EACCES;
444
445 return fd;
446 }
447
448
449
450
451 /*************************************************
452 *                Open a log file                 *
453 *************************************************/
454
455 /* This function opens one of a number of logs, creating the log directory if
456 it does not exist. This may be called recursively on failure, in order to open
457 the panic log.
458
459 The directory is in the static variable file_path. This is static so that
460 the work of sorting out the path is done just once per Exim process.
461
462 Exim is normally configured to avoid running as root wherever possible, the log
463 files must be owned by the non-privileged exim user. To ensure this, first try
464 an open without O_CREAT - most of the time this will succeed. If it fails, try
465 to create the file; if running as root, this must be done in a subprocess to
466 avoid races.
467
468 Arguments:
469   fd         where to return the resulting file descriptor
470   type       lt_main, lt_reject, lt_panic, or lt_debug
471   tag        optional tag to include in the name (only hooked up for debug)
472
473 Returns:   nothing
474 */
475
476 static void
477 open_log(int * fd, int type, const uschar * tag)
478 {
479 uid_t euid;
480 BOOL ok, ok2;
481 uschar buffer[LOG_NAME_SIZE];
482
483 /* The names of the log files are controlled by file_path. The panic log is
484 written to the same directory as the main and reject logs, but its name does
485 not have a datestamp. The use of datestamps is indicated by %D/%M in file_path.
486 When opening the panic log, if %D or %M is present, we remove the datestamp
487 from the generated name; if it is at the start, remove a following
488 non-alphanumeric character as well; otherwise, remove a preceding
489 non-alphanumeric character. This is definitely kludgy, but it sort of does what
490 people want, I hope. */
491
492 ok = string_format(buffer, sizeof(buffer), CS file_path, log_names[type]);
493
494 switch (type)
495   {
496   case lt_main:
497     /* Save the name of the mainlog for rollover processing. Without a datestamp,
498     it gets statted to see if it has been cycled. With a datestamp, the datestamp
499     will be compared. The static slot for saving it is the same size as buffer,
500     and the text has been checked above to fit, so this use of strcpy() is OK. */
501     Ustrcpy(mainlog_name, buffer);
502     if (string_datestamp_offset > 0)
503       mainlog_datestamp = mainlog_name + string_datestamp_offset;
504     break;
505
506   case lt_reject:
507     /* Ditto for the reject log */
508     Ustrcpy(rejectlog_name, buffer);
509     if (string_datestamp_offset > 0)
510       rejectlog_datestamp = rejectlog_name + string_datestamp_offset;
511     break;
512
513   case lt_debug:
514     /* and deal with the debug log (which keeps the datestamp, but does not
515     update it) */
516     Ustrcpy(debuglog_name, buffer);
517     if (tag)
518       {
519       if (is_tainted(tag))
520         die(US"exim: tainted tag for debug log filename",
521               US"Logging failure; please try later");
522
523       /* this won't change the offset of the datestamp */
524       ok2 = string_format(buffer, sizeof(buffer), "%s%s",
525         debuglog_name, tag);
526       if (ok2)
527         Ustrcpy(debuglog_name, buffer);
528       }
529     break;
530
531   default:
532     /* Remove any datestamp if this is the panic log. This is rare, so there's no
533     need to optimize getting the datestamp length. We remove one non-alphanumeric
534     char afterwards if at the start, otherwise one before. */
535     if (string_datestamp_offset >= 0)
536       {
537       uschar * from = buffer + string_datestamp_offset;
538       uschar * to = from + string_datestamp_length;
539
540       if (from == buffer || from[-1] == '/')
541         {
542         if (!isalnum(*to)) to++;
543         }
544       else
545         if (!isalnum(from[-1])) from--;
546
547       /* This copy is ok, because we know that to is a substring of from. But
548       due to overlap we must use memmove() not Ustrcpy(). */
549       memmove(from, to, Ustrlen(to)+1);
550       }
551     break;
552   }
553
554 /* If the file name is too long, it is an unrecoverable disaster */
555
556 if (!ok)
557   die(US"exim: log file path too long: aborting",
558       US"Logging failure; please try later");
559
560 /* We now have the file name. After a successful open, return. */
561
562 if ((*fd = log_open_as_exim(buffer)) >= 0)
563   return;
564
565 euid = geteuid();
566
567 /* Creation failed. There are some circumstances in which we get here when
568 the effective uid is not root or exim, which is the problem. (For example, a
569 non-setuid binary with log_arguments set, called in certain ways.) Rather than
570 just bombing out, force the log to stderr and carry on if stderr is available.
571 */
572
573 if (euid != root_uid && euid != exim_uid && log_stderr)
574   {
575   *fd = fileno(log_stderr);
576   return;
577   }
578
579 /* Otherwise this is a disaster. This call is deliberately ONLY to the panic
580 log. If possible, save a copy of the original line that was being logged. If we
581 are recursing (can't open the panic log either), the pointer will already be
582 set.  Also, when we had to use a subprocess for the create we didn't retrieve
583 errno from it, so get the error from the open attempt above (which is often
584 meaningful enough, so leave it). */
585
586 if (!panic_save_buffer)
587   if ((panic_save_buffer = US malloc(LOG_BUFFER_SIZE)))
588     memcpy(panic_save_buffer, log_buffer, LOG_BUFFER_SIZE);
589
590 log_write(0, LOG_PANIC_DIE, "Cannot open %s log file \"%s\": %s: "
591   "euid=%d egid=%d", log_names[type], buffer, strerror(errno), euid, getegid());
592 /* Never returns */
593 }
594
595
596 static void
597 unlink_log(int type)
598 {
599 if (type == lt_debug) unlink(CS debuglog_name);
600 }
601
602
603
604 /* Append to a gstring, in no-extend (or rebuffer) mode
605 and without taint-checking.  Thanks to the no-extend, the
606 gstring struct never needs reallocation; we ignore the
607 infore that the initial space allocation for the string
608 was exceeded, and just leave it potentially truncated. */
609
610 static void
611 string_fmt_append_noextend(gstring * g, char * fmt, ...)
612 {
613 va_list ap;
614 va_start(ap, fmt);
615 /* can return NULL if it truncates; just ignore */
616 (void) string_vformat(g, SVFMT_TAINT_NOCHK, fmt, ap);
617 va_end(ap);
618 }
619
620 /*************************************************
621 *     Add configuration file info to log line    *
622 *************************************************/
623
624 /* This is put in a function because it's needed twice (once for debugging,
625 once for real).
626
627 Arguments:
628   g             extensible-string referring to static buffer,
629                 usable after return
630   flags         log flags
631
632 Returns:      nothing
633 */
634
635 static void
636 log_config_info(gstring * g, int flags)
637 {
638 string_fmt_append_noextend(g, "Exim configuration error");
639
640 if (flags & (LOG_CONFIG_FOR & ~LOG_CONFIG))
641   string_fmt_append_noextend(g, " for ");
642 else
643   {
644   if (flags & (LOG_CONFIG_IN & ~LOG_CONFIG))
645     string_fmt_append_noextend(g, " in line %d of %s",
646                                   config_lineno, config_filename);
647
648   string_fmt_append_noextend(g, ":\n  ");
649   }
650 }
651
652
653 /*************************************************
654 *           A write() operation failed           *
655 *************************************************/
656
657 /* This function is called when write() fails on anything other than the panic
658 log, which can happen if a disk gets full or a file gets too large or whatever.
659 We try to save the relevant message in the panic_save buffer before crashing
660 out.
661
662 The potential invoker should probably not call us for EINTR -1 writes.  But
663 otherwise, short writes are bad as we don't do non-blocking writes to fds
664 subject to flow control.  (If we do, that's new and the logic of this should
665 be reconsidered).
666
667 Arguments:
668   name      the name of the log being written
669   length    the string length being written
670   rc        the return value from write()
671
672 Returns:    does not return
673 */
674
675 static void
676 log_write_failed(uschar *name, int length, int rc)
677 {
678 int save_errno = errno;
679
680 if (!panic_save_buffer)
681   if ((panic_save_buffer = US malloc(LOG_BUFFER_SIZE)))
682     memcpy(panic_save_buffer, log_buffer, LOG_BUFFER_SIZE);
683
684 log_write(0, LOG_PANIC_DIE, "failed to write to %s: length=%d result=%d "
685   "errno=%d (%s)", name, length, rc, save_errno,
686   (save_errno == 0)? "write incomplete" : strerror(save_errno));
687 /* Never returns */
688 }
689
690
691
692 /*************************************************
693 *     Write to an fd, retrying after signals     *
694 *************************************************/
695
696 /* Basic write to fd for logs, handling EINTR.
697
698 Arguments:
699   fd        the fd to write to
700   buf       the string to write
701   length    the string length being written
702
703 Returns:
704   length actually written, persisting an errno from write()
705 */
706 ssize_t
707 write_to_fd_buf(int fd, const uschar * buf, size_t length)
708 {
709 ssize_t wrote;
710 size_t total_written = 0;
711 const uschar * p = buf;
712 size_t left = length;
713
714 while (1)
715   {
716   wrote = write(fd, p, left);
717   if (wrote == (ssize_t)-1)
718     {
719     if (errno == EINTR) continue;
720     return wrote;
721     }
722   total_written += wrote;
723   if (wrote == left)
724     break;
725   else
726     {
727     p += wrote;
728     left -= wrote;
729     }
730   }
731 return total_written;
732 }
733
734 static inline ssize_t
735 write_gstring_to_fd_buf(int fd, const gstring * g)
736 {
737 return write_to_fd_buf(fd, g->s, gstring_length(g));
738 }
739
740
741
742 static void
743 set_file_path(void)
744 {
745 int sep = ':';              /* Fixed separator - outside use */
746 uschar *t;
747 const uschar *tt = US LOG_FILE_PATH;
748 while ((t = string_nextinlist(&tt, &sep, log_buffer, LOG_BUFFER_SIZE)))
749   {
750   if (Ustrcmp(t, "syslog") == 0 || t[0] == 0) continue;
751   file_path = string_copy(t);
752   break;
753   }
754 }
755
756
757 /* Close mainlog, unless we do not see a chance to open the file mainlog later
758 again.  This will happen if we log from a transport process (which has dropped
759 privs); something we traditionally avoid, but the introduction of taint-tracking
760 and resulting detection of errors is makinng harder. */
761
762 void
763 mainlog_close(void)
764 {
765 if (mainlogfd < 0
766    || !(geteuid() == 0 || geteuid() == exim_uid))
767   return;
768 (void)close(mainlogfd);
769 mainlogfd = -1;
770 mainlog_inode = 0;
771 }
772
773 /*************************************************
774 *            Write message to log file           *
775 *************************************************/
776
777 /* Exim can be configured to log to local files, or use syslog, or both. This
778 is controlled by the setting of log_file_path. The following cases are
779 recognized:
780
781   log_file_path = ""               write files in the spool/log directory
782   log_file_path = "xxx"            write files in the xxx directory
783   log_file_path = "syslog"         write to syslog
784   log_file_path = "syslog : xxx"   write to syslog and to files (any order)
785
786 The message always gets '\n' added on the end of it, since more than one
787 process may be writing to the log at once and we don't want intermingling to
788 happen in the middle of lines. To be absolutely sure of this we write the data
789 into a private buffer and then put it out in a single write() call.
790
791 The flags determine which log(s) the message is written to, or for syslogging,
792 which priority to use, and in the case of the panic log, whether the process
793 should die afterwards.
794
795 The variable really_exim is TRUE only when exim is running in privileged state
796 (i.e. not with a changed configuration or with testing options such as -brw).
797 If it is not, don't try to write to the log because permission will probably be
798 denied.
799
800 Avoid actually writing to the logs when exim is called with -bv or -bt to
801 test an address, but take other actions, such as panicking.
802
803 In Exim proper, the buffer for building the message is got at start-up, so that
804 nothing gets done if it can't be got. However, some functions that are also
805 used in utilities occasionally obey log_write calls in error situations, and it
806 is simplest to put a single malloc() here rather than put one in each utility.
807 Malloc is used directly because the store functions may call log_write().
808
809 If a message_id exists, we include it after the timestamp.
810
811 Arguments:
812   selector  write to main log or LOG_INFO only if this value is zero, or if
813               its bit is set in log_selector[0]
814   flags     each bit indicates some independent action:
815               LOG_SENDER      add raw sender to the message
816               LOG_RECIPIENTS  add raw recipients list to message
817               LOG_CONFIG      add "Exim configuration error"
818               LOG_CONFIG_FOR  add " for " instead of ":\n  "
819               LOG_CONFIG_IN   add " in line x[ of file y]"
820               LOG_MAIN        write to main log or syslog LOG_INFO
821               LOG_REJECT      write to reject log or syslog LOG_NOTICE
822               LOG_PANIC       write to panic log or syslog LOG_ALERT
823               LOG_PANIC_DIE   write to panic log or LOG_ALERT and then crash
824   format    a printf() format
825   ...       arguments for format
826
827 Returns:    nothing
828 */
829
830 void
831 log_write(unsigned int selector, int flags, const char *format, ...)
832 {
833 int paniclogfd;
834 ssize_t written_len;
835 gstring gs = { .size = LOG_BUFFER_SIZE-2, .ptr = 0, .s = log_buffer };
836 gstring * g = &gs;
837 va_list ap;
838
839 /* If panic_recurseflag is set, we have failed to open the panic log. This is
840 the ultimate disaster. First try to write the message to a debug file and/or
841 stderr and also to syslog. If panic_save_buffer is not NULL, it contains the
842 original log line that caused the problem. Afterwards, expire. */
843
844 if (panic_recurseflag)
845   {
846   uschar * extra = panic_save_buffer ? panic_save_buffer : US"";
847   if (debug_file) debug_printf("%s%s", extra, log_buffer);
848   if (log_stderr && log_stderr != debug_file)
849     fprintf(log_stderr, "%s%s", extra, log_buffer);
850   if (*extra) write_syslog(LOG_CRIT, extra);
851   write_syslog(LOG_CRIT, log_buffer);
852   die(US"exim: could not open panic log - aborting: see message(s) above",
853     US"Unexpected log failure, please try later");
854   }
855
856 /* Ensure we have a buffer (see comment above); this should never be obeyed
857 when running Exim proper, only when running utilities. */
858
859 if (!log_buffer)
860   if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
861     {
862     fprintf(stderr, "exim: failed to get store for log buffer\n");
863     exim_exit(EXIT_FAILURE);
864     }
865
866 /* If we haven't already done so, inspect the setting of log_file_path to
867 determine whether to log to files and/or to syslog. Bits in logging_mode
868 control this, and for file logging, the path must end up in file_path. This
869 variable must be in permanent store because it may be required again later in
870 the process. */
871
872 if (!path_inspected)
873   {
874   BOOL multiple = FALSE;
875   int old_pool = store_pool;
876
877   store_pool = POOL_PERM;
878
879   /* If nothing has been set, don't waste effort... the default values for the
880   statics are file_path="" and logging_mode = LOG_MODE_FILE. */
881
882   if (*log_file_path)
883     {
884     int sep = ':';              /* Fixed separator - outside use */
885     uschar *s;
886     const uschar *ss = log_file_path;
887
888     logging_mode = 0;
889     while ((s = string_nextinlist(&ss, &sep, log_buffer, LOG_BUFFER_SIZE)))
890       {
891       if (Ustrcmp(s, "syslog") == 0)
892         logging_mode |= LOG_MODE_SYSLOG;
893       else if (logging_mode & LOG_MODE_FILE)
894         multiple = TRUE;
895       else
896         {
897         logging_mode |= LOG_MODE_FILE;
898
899         /* If a non-empty path is given, use it */
900
901         if (*s)
902           file_path = string_copy(s);
903
904         /* If the path is empty, we want to use the first non-empty, non-
905         syslog item in LOG_FILE_PATH, if there is one, since the value of
906         log_file_path may have been set at runtime. If there is no such item,
907         use the ultimate default in the spool directory. */
908
909         else
910           set_file_path();  /* Empty item in log_file_path */
911         }    /* First non-syslog item in log_file_path */
912       }      /* Scan of log_file_path */
913     }
914
915   /* If no modes have been selected, it is a major disaster */
916
917   if (logging_mode == 0)
918     die(US"Neither syslog nor file logging set in log_file_path",
919         US"Unexpected logging failure");
920
921   /* Set up the ultimate default if necessary. Then revert to the old store
922   pool, and record that we've sorted out the path. */
923
924   if (logging_mode & LOG_MODE_FILE  &&  !file_path[0])
925     file_path = string_sprintf("%s/log/%%slog", spool_directory);
926   store_pool = old_pool;
927   path_inspected = TRUE;
928
929   /* If more than one file path was given, log a complaint. This recursive call
930   should work since we have now set up the routing. */
931
932   if (multiple)
933     log_write(0, LOG_MAIN|LOG_PANIC,
934       "More than one path given in log_file_path: using %s", file_path);
935   }
936
937 /* Optionally trigger debug */
938
939 if (flags & LOG_PANIC && dtrigger_selector & BIT(DTi_panictrigger))
940   debug_trigger_fire();
941
942 /* If debugging, show all log entries, but don't show headers. Do it all
943 in one go so that it doesn't get split when multi-processing. */
944
945 DEBUG(D_any|D_v)
946   {
947   string_fmt_append_noextend(g, "LOG:");
948
949   /* Show the selector that was passed into the call. */
950
951   for (int i = 0; i < log_options_count; i++)
952     {
953     unsigned int bitnum = log_options[i].bit;
954     if (bitnum < BITWORDSIZE && selector == BIT(bitnum))
955       string_fmt_append_noextend(g, " %s", log_options[i].name);
956     }
957
958   string_fmt_append_noextend(g, "%s%s%s%s\n  ",
959     flags & LOG_MAIN ?    " MAIN"   : "",
960     flags & LOG_PANIC ?   " PANIC"  : "",
961     (flags & LOG_PANIC_DIE) == LOG_PANIC_DIE ? " DIE" : "",
962     flags & LOG_REJECT ?  " REJECT" : "");
963
964   if (flags & LOG_CONFIG) log_config_info(g, flags);
965
966   /* We want to be able to log tainted info, but log_buffer is directly
967   malloc'd.  So use deliberately taint-nonchecking routines to build into
968   it, trusting that we will never expand the results. */
969
970   va_start(ap, format);
971   if (!string_vformat(g, SVFMT_TAINT_NOCHK, format, ap))
972     {
973     uschar * s = US"**** log string overflowed log buffer ****";
974     gstring_trim(g, Ustrlen(s));
975     string_fmt_append_noextend(g, "%s", s);
976     }
977   va_end(ap);
978
979   debug_printf("%Y\n", g);
980
981   /* Having used the buffer for debug output, reset it for the real use. */
982
983   gstring_reset(g);
984   }
985 /* If no log file is specified, we are in a mess. */
986
987 if (!(flags & (LOG_MAIN|LOG_PANIC|LOG_REJECT)))
988   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "log_write called with no log "
989     "flags set");
990
991 /* There are some weird circumstances in which logging is disabled. */
992
993 if (f.disable_logging)
994   {
995   DEBUG(D_any) debug_printf("log writing disabled\n");
996   if ((flags & LOG_PANIC_DIE) == LOG_PANIC_DIE) exim_exit(EXIT_FAILURE);
997   return;
998   }
999
1000 /* Handle disabled reject log */
1001
1002 if (!write_rejectlog) flags &= ~LOG_REJECT;
1003
1004 /* Create the main message in the log buffer. Do not include the message id
1005 when called by a utility. */
1006
1007 string_fmt_append_noextend(&gs, "%s ", tod_stamp(tod_log));
1008
1009 if (LOGGING(pid))
1010   {
1011   if (!syslog_pid) pid_position[0] = gstring_length(g); /* remember begin â€¦ */
1012   string_fmt_append_noextend(g, "[%ld] ", (long)getpid());
1013   if (!syslog_pid) pid_position[1] = gstring_length(g); /*  â€¦ and end+1 of the PID */
1014   }
1015
1016 if (f.really_exim && message_id[0])
1017   string_fmt_append_noextend(g, "%s ", message_id);
1018
1019 if (flags & LOG_CONFIG)
1020   log_config_info(g, flags);
1021
1022 va_start(ap, format);
1023   {
1024   /* We want to be able to log tainted info, but log_buffer is directly
1025   malloc'd.  So use deliberately taint-nonchecking routines to build into
1026   it, trusting that we will never expand the results. */
1027
1028   if (!string_vformat(g, SVFMT_TAINT_NOCHK, format, ap))
1029     {
1030     uschar * s = US"**** log string overflowed log buffer ****";
1031     gstring_trim(g, Ustrlen(s));
1032     string_fmt_append_noextend(g, "%s", s);
1033     }
1034   }
1035 va_end(ap);
1036
1037 /* Add the raw, unrewritten, sender to the message if required. This is done
1038 this way because it kind of fits with LOG_RECIPIENTS. */
1039
1040 if (flags & LOG_SENDER)
1041   string_fmt_append_noextend(g, " from <%s>", raw_sender);
1042
1043 /* Add list of recipients to the message if required; the raw list,
1044 before rewriting, was saved in raw_recipients. There may be none, if an ACL
1045 discarded them all. */
1046
1047 if (flags & LOG_RECIPIENTS && raw_recipients_count > 0)
1048   {
1049   string_fmt_append_noextend(g, " for");
1050   for (int i = 0; i < raw_recipients_count; i++)
1051     if (!string_fmt_append_f(g, SVFMT_TAINT_NOCHK, " %s", raw_recipients[i]))
1052       {
1053     uschar * s = US"<trunc>";
1054     gstring_trim(g, Ustrlen(s));
1055     string_fmt_append_noextend(g, "%s", s);
1056     break;
1057     }
1058   }
1059
1060 /* actual size, now we are placing the newline (and space for NUL) */
1061 gs.size = LOG_BUFFER_SIZE;
1062 string_fmt_append_noextend(g, "\n");
1063 string_from_gstring(g);
1064
1065 /* Handle loggable errors when running a utility, or when address testing.
1066 Write to log_stderr unless debugging (when it will already have been written),
1067 or unless there is no log_stderr (expn called from daemon, for example). */
1068
1069 if (!f.really_exim || f.log_testing_mode)
1070   {
1071   if (  !debug_selector
1072      && log_stderr
1073      && (selector == 0 || (selector & log_selector[0]) != 0)
1074     )
1075     if (host_checking)
1076       fprintf(log_stderr, "LOG: %s", CS(log_buffer + 20));  /* no timestamp */
1077     else
1078       fprintf(log_stderr, "%s", CS log_buffer);
1079
1080   if ((flags & LOG_PANIC_DIE) == LOG_PANIC_DIE) exim_exit(EXIT_FAILURE);
1081   return;
1082   }
1083
1084 /* Handle the main log. We know that either syslog or file logging (or both) is
1085 set up. A real file gets left open during reception or delivery once it has
1086 been opened, but we don't want to keep on writing to it for too long after it
1087 has been renamed. Therefore, do a stat() and see if the inode has changed, and
1088 if so, re-open. */
1089
1090 if (  flags & LOG_MAIN
1091    && (!selector ||  selector & log_selector[0]))
1092   {
1093   if (  logging_mode & LOG_MODE_SYSLOG
1094      && (syslog_duplication || !(flags & (LOG_REJECT|LOG_PANIC))))
1095     write_syslog(LOG_INFO, log_buffer);
1096
1097   if (logging_mode & LOG_MODE_FILE)
1098     {
1099     struct stat statbuf;
1100
1101     /* Check for a change to the mainlog file name when datestamping is in
1102     operation. This happens at midnight, at which point we want to roll over
1103     the file. Closing it has the desired effect. */
1104
1105     if (mainlog_datestamp)
1106       {
1107       uschar *nowstamp = tod_stamp(string_datestamp_type);
1108       if (Ustrncmp (mainlog_datestamp, nowstamp, Ustrlen(nowstamp)) != 0)
1109         {
1110         (void)close(mainlogfd);       /* Close the file */
1111         mainlogfd = -1;               /* Clear the file descriptor */
1112         mainlog_inode = 0;            /* Unset the inode */
1113         mainlog_datestamp = NULL;     /* Clear the datestamp */
1114         }
1115       }
1116
1117     /* Otherwise, we want to check whether the file has been renamed by a
1118     cycling script. This could be "if else", but for safety's sake, leave it as
1119     "if" so that renaming the log starts a new file even when datestamping is
1120     happening. */
1121
1122     if (mainlogfd >= 0)
1123       if (Ustat(mainlog_name, &statbuf) < 0 || statbuf.st_ino != mainlog_inode)
1124         mainlog_close();
1125
1126     /* If the log is closed, open it. Then write the line. */
1127
1128     if (mainlogfd < 0)
1129       {
1130       open_log(&mainlogfd, lt_main, NULL);     /* No return on error */
1131       if (fstat(mainlogfd, &statbuf) >= 0) mainlog_inode = statbuf.st_ino;
1132       }
1133
1134     /* Failing to write to the log is disastrous */
1135
1136     if (  (written_len = write_gstring_to_fd_buf(mainlogfd, g))
1137        != gstring_length(g))
1138       {
1139       log_write_failed(US"main log", gstring_length(g), written_len);
1140       /* That function does not return */
1141       }
1142     }
1143   }
1144
1145 /* Handle the log for rejected messages. This can be globally disabled, in
1146 which case the flags are altered above. If there are any header lines (i.e. if
1147 the rejection is happening after the DATA phase), log the recipients and the
1148 headers. */
1149
1150 if (flags & LOG_REJECT)
1151   {
1152   if (header_list && LOGGING(rejected_header))
1153     {
1154     int i;
1155
1156     if (recipients_count > 0)
1157       {
1158       /* List the sender */
1159
1160       string_fmt_append_noextend(g,
1161                         "Envelope-from: <%s>\n", sender_address);
1162
1163       /* List up to 5 recipients */
1164
1165       string_fmt_append_noextend(g,
1166                         "Envelope-to: <%s>\n", recipients_list[0].address);
1167
1168       for (i = 1; i < recipients_count && i < 5; i++)
1169         string_fmt_append_noextend(g,
1170                         "    <%s>\n", recipients_list[i].address);
1171
1172       if (i < recipients_count)
1173         string_fmt_append_noextend(g, "    ...\n", NULL);
1174       }
1175
1176     /* A header with a NULL text is an unfilled-in Received: header */
1177
1178     for (header_line * h = header_list; h; h = h->next) if (h->text)
1179       if (!string_fmt_append_f(g, SVFMT_TAINT_NOCHK,
1180                         "%c %s", h->type, h->text))
1181         {                               /* Buffer is full; truncate */
1182         gstring_trim(g, 100);           /* space for message and separator */
1183         gstring_trim_trailing(g, '\n');
1184         string_fmt_append_noextend(g, "\n*** truncated ***\n");
1185         break;
1186         }
1187     }
1188
1189   /* Write to syslog or to a log file */
1190
1191   if (  logging_mode & LOG_MODE_SYSLOG
1192      && (syslog_duplication || !(flags & LOG_PANIC)))
1193     write_syslog(LOG_NOTICE, string_from_gstring(g));
1194
1195   /* Check for a change to the rejectlog file name when datestamping is in
1196   operation. This happens at midnight, at which point we want to roll over
1197   the file. Closing it has the desired effect. */
1198
1199   if (logging_mode & LOG_MODE_FILE)
1200     {
1201     struct stat statbuf;
1202
1203     if (rejectlog_datestamp)
1204       {
1205       uschar *nowstamp = tod_stamp(string_datestamp_type);
1206       if (Ustrncmp (rejectlog_datestamp, nowstamp, Ustrlen(nowstamp)) != 0)
1207         {
1208         (void)close(rejectlogfd);       /* Close the file */
1209         rejectlogfd = -1;               /* Clear the file descriptor */
1210         rejectlog_inode = 0;            /* Unset the inode */
1211         rejectlog_datestamp = NULL;     /* Clear the datestamp */
1212         }
1213       }
1214
1215     /* Otherwise, we want to check whether the file has been renamed by a
1216     cycling script. This could be "if else", but for safety's sake, leave it as
1217     "if" so that renaming the log starts a new file even when datestamping is
1218     happening. */
1219
1220     if (rejectlogfd >= 0)
1221       if (Ustat(rejectlog_name, &statbuf) < 0 ||
1222            statbuf.st_ino != rejectlog_inode)
1223         {
1224         (void)close(rejectlogfd);
1225         rejectlogfd = -1;
1226         rejectlog_inode = 0;
1227         }
1228
1229     /* Open the file if necessary, and write the data */
1230
1231     if (rejectlogfd < 0)
1232       {
1233       open_log(&rejectlogfd, lt_reject, NULL); /* No return on error */
1234       if (fstat(rejectlogfd, &statbuf) >= 0) rejectlog_inode = statbuf.st_ino;
1235       }
1236
1237     if (  (written_len = write_gstring_to_fd_buf(rejectlogfd, g))
1238        != gstring_length(g))
1239       {
1240       log_write_failed(US"reject log", g->ptr, written_len);
1241       /* That function does not return */
1242       }
1243     }
1244   }
1245
1246
1247 /* Handle the panic log, which is not kept open like the others. If it fails to
1248 open, there will be a recursive call to log_write(). We detect this above and
1249 attempt to write to the system log as a last-ditch try at telling somebody. In
1250 all cases except mua_wrapper, try to write to log_stderr. */
1251
1252 if (flags & LOG_PANIC)
1253   {
1254   if (log_stderr && log_stderr != debug_file && !mua_wrapper)
1255     fprintf(log_stderr, "%s", CS string_from_gstring(g));
1256
1257   if (logging_mode & LOG_MODE_SYSLOG)
1258     write_syslog(LOG_ALERT, log_buffer);
1259
1260   /* If this panic logging was caused by a failure to open the main log,
1261   the original log line is in panic_save_buffer. Make an attempt to write it. */
1262
1263   if (logging_mode & LOG_MODE_FILE)
1264     {
1265     panic_recurseflag = TRUE;
1266     open_log(&paniclogfd, lt_panic, NULL);  /* Won't return on failure */
1267     panic_recurseflag = FALSE;
1268
1269     if (panic_save_buffer)
1270       (void) write(paniclogfd, panic_save_buffer, Ustrlen(panic_save_buffer));
1271
1272     if (  (written_len = write_gstring_to_fd_buf(paniclogfd, g))
1273        != gstring_length(g))
1274       {
1275       int save_errno = errno;
1276       write_syslog(LOG_CRIT, log_buffer);
1277       sprintf(CS log_buffer, "write failed on panic log: length=%d result=%d "
1278         "errno=%d (%s)", g->ptr, (int)written_len, save_errno, strerror(save_errno));
1279       write_syslog(LOG_CRIT, string_from_gstring(g));
1280       flags |= LOG_PANIC_DIE;
1281       }
1282
1283     (void)close(paniclogfd);
1284     }
1285
1286   /* Give up if the DIE flag is set */
1287
1288   if ((flags & LOG_PANIC_DIE) != LOG_PANIC)
1289     if (panic_coredump)
1290       kill(getpid(), SIGSEGV);  /* deliberate trap */
1291     else
1292       die(NULL, US"Unexpected failure, please try later");
1293   }
1294 }
1295
1296
1297
1298 /*************************************************
1299 *            Close any open log files            *
1300 *************************************************/
1301
1302 void
1303 log_close_all(void)
1304 {
1305 if (mainlogfd >= 0)
1306   { (void)close(mainlogfd); mainlogfd = -1; }
1307 if (rejectlogfd >= 0)
1308   { (void)close(rejectlogfd); rejectlogfd = -1; }
1309 closelog();
1310 syslog_open = FALSE;
1311 }
1312
1313
1314
1315 /*************************************************
1316 *             Multi-bit set or clear             *
1317 *************************************************/
1318
1319 /* These functions take a list of bit indexes (terminated by -1) and
1320 clear or set the corresponding bits in the selector.
1321
1322 Arguments:
1323   selector       address of the bit string
1324   selsize        number of words in the bit string
1325   bits           list of bits to set
1326 */
1327
1328 void
1329 bits_clear(unsigned int *selector, size_t selsize, int *bits)
1330 {
1331 for(; *bits != -1; ++bits)
1332   BIT_CLEAR(selector, selsize, *bits);
1333 }
1334
1335 void
1336 bits_set(unsigned int *selector, size_t selsize, int *bits)
1337 {
1338 for(; *bits != -1; ++bits)
1339   BIT_SET(selector, selsize, *bits);
1340 }
1341
1342
1343
1344 /*************************************************
1345 *         Decode bit settings for log/debug      *
1346 *************************************************/
1347
1348 /* This function decodes a string containing bit settings in the form of +name
1349 and/or -name sequences, and sets/unsets bits in a bit string accordingly. It
1350 also recognizes a numeric setting of the form =<number>, but this is not
1351 intended for user use. It's an easy way for Exim to pass the debug settings
1352 when it is re-exec'ed.
1353
1354 The option table is a list of names and bit indexes. The index -1
1355 means "set all bits, except for those listed in notall". The notall
1356 list is terminated by -1.
1357
1358 The action taken for bad values varies depending upon why we're here.
1359 For log messages, or if the debugging is triggered from config, then we write
1360 to the log on the way out.  For debug setting triggered from the command-line,
1361 we treat it as an unknown option: error message to stderr and die.
1362
1363 Arguments:
1364   selector       address of the bit string
1365   selsize        number of words in the bit string
1366   notall         list of bits to exclude from "all"
1367   string         the configured string
1368   options        the table of option names
1369   count          size of table
1370   which          "log" or "debug"
1371   flags          DEBUG_FROM_CONFIG
1372
1373 Returns:         nothing on success - bomb out on failure
1374 */
1375
1376 void
1377 decode_bits(unsigned int * selector, size_t selsize, int * notall,
1378   const uschar * string, bit_table * options, int count, uschar * which,
1379   int flags)
1380 {
1381 uschar *errmsg;
1382 if (!string) return;
1383
1384 if (*string == '=')
1385   {
1386   char *end;    /* Not uschar */
1387   memset(selector, 0, sizeof(*selector)*selsize);
1388   *selector = strtoul(CCS string+1, &end, 0);
1389   if (!*end) return;
1390   errmsg = string_sprintf("malformed numeric %s_selector setting: %s", which,
1391     string);
1392   goto ERROR_RETURN;
1393   }
1394
1395 /* Handle symbolic setting */
1396
1397 else for(;;)
1398   {
1399   BOOL adding;
1400   const uschar * s;
1401   int len;
1402   bit_table * start, * end;
1403
1404   Uskip_whitespace(&string);
1405   if (!*string) return;
1406
1407   if (*string != '+' && *string != '-')
1408     {
1409     errmsg = string_sprintf("malformed %s_selector setting: "
1410       "+ or - expected but found \"%s\"", which, string);
1411     goto ERROR_RETURN;
1412     }
1413
1414   adding = *string++ == '+';
1415   s = string;
1416   while (isalnum(*string) || *string == '_') string++;
1417   len = string - s;
1418
1419   start = options;
1420   end = options + count;
1421
1422   while (start < end)
1423     {
1424     bit_table *middle = start + (end - start)/2;
1425     int c = Ustrncmp(s, middle->name, len);
1426     if (c == 0)
1427       if (middle->name[len] != 0) c = -1; else
1428         {
1429         unsigned int bit = middle->bit;
1430
1431         if (bit == -1)
1432           {
1433           if (adding)
1434             {
1435             memset(selector, -1, sizeof(*selector)*selsize);
1436             bits_clear(selector, selsize, notall);
1437             }
1438           else
1439             memset(selector, 0, sizeof(*selector)*selsize);
1440           }
1441         else if (adding)
1442           BIT_SET(selector, selsize, bit);
1443         else
1444           BIT_CLEAR(selector, selsize, bit);
1445
1446         break;  /* Out of loop to match selector name */
1447         }
1448     if (c < 0) end = middle; else start = middle + 1;
1449     }  /* Loop to match selector name */
1450
1451   if (start >= end)
1452     {
1453     errmsg = string_sprintf("unknown %s_selector setting: %c%.*s", which,
1454       adding? '+' : '-', len, s);
1455     goto ERROR_RETURN;
1456     }
1457   }    /* Loop for selector names */
1458
1459 /* Handle disasters */
1460
1461 ERROR_RETURN:
1462 if (Ustrcmp(which, "debug") == 0)
1463   {
1464   if (flags & DEBUG_FROM_CONFIG)
1465     {
1466     log_write(0, LOG_CONFIG|LOG_PANIC, "%s", errmsg);
1467     return;
1468     }
1469   fprintf(stderr, "exim: %s\n", errmsg);
1470   exim_exit(EXIT_FAILURE);
1471   }
1472 else log_write(0, LOG_CONFIG|LOG_PANIC_DIE, "%s", errmsg);
1473 }
1474
1475
1476
1477 /*************************************************
1478 *        Activate a debug logfile (late)         *
1479 *************************************************/
1480
1481 /* Normally, debugging is activated from the command-line; it may be useful
1482 within the configuration to activate debugging later, based on certain
1483 conditions.  If debugging is already in progress, we return early, no action
1484 taken (besides debug-logging that we wanted debug-logging).
1485
1486 Failures in options are not fatal but will result in paniclog entries for the
1487 misconfiguration.
1488
1489 The first use of this is in ACL logic, "control = debug/tag=foo/opts=+expand"
1490 which can be combined with conditions, etc, to activate extra logging only
1491 for certain sources. The second use is inetd wait mode debug preservation.
1492
1493 It might be nice, in ACL-initiated pretrigger mode, to not create the file
1494 immediately but only upon a trigger - but we'd need another cmdline option
1495 to pass the name through child_exxec_exim(). */
1496
1497 void
1498 debug_logging_activate(const uschar * tag_name, const uschar * opts)
1499 {
1500 if (debug_file)
1501   {
1502   debug_printf("DEBUGGING ACTIVATED FROM WITHIN CONFIG.\n"
1503       "DEBUG: Tag=\"%s\" opts=\"%s\"\n", tag_name, opts ? opts : US"");
1504   return;
1505   }
1506
1507 if (tag_name && (Ustrchr(tag_name, '/') != NULL))
1508   {
1509   log_write(0, LOG_MAIN|LOG_PANIC, "debug tag may not contain a '/' in: %s",
1510       tag_name);
1511   return;
1512   }
1513
1514 debug_selector = D_default;
1515 if (opts)
1516   decode_bits(&debug_selector, 1, debug_notall, opts,
1517       debug_options, debug_options_count, US"debug", DEBUG_FROM_CONFIG);
1518
1519 /* When activating from a transport process we may never have logged at all
1520 resulting in certain setup not having been done.  Hack this for now so we
1521 do not segfault; note that nondefault log locations will not work */
1522
1523 if (!*file_path) set_file_path();
1524
1525 open_log(&debug_fd, lt_debug, tag_name);
1526
1527 if (debug_fd != -1)
1528   debug_file = fdopen(debug_fd, "w");
1529 else
1530   log_write(0, LOG_MAIN|LOG_PANIC, "unable to open debug log");
1531 }
1532
1533
1534 void
1535 debug_logging_from_spool(const uschar * filename)
1536 {
1537 if (debug_fd < 0)
1538   {
1539   Ustrncpy(debuglog_name, filename, sizeof(debuglog_name));
1540   if ((debug_fd = log_open_as_exim(filename)) >= 0)
1541     debug_file = fdopen(debug_fd, "w");
1542   DEBUG(D_deliver) debug_printf("debug enabled by spoolfile\n");
1543   }
1544 /*
1545 else DEBUG(D_deliver)
1546   debug_printf("debug already active; ignoring spoolfile '%s'\n", filename);
1547 */
1548 }
1549
1550
1551 void
1552 debug_logging_stop(BOOL kill)
1553 {
1554 debug_printf("debug terminated by %s\n", kill ? "kill" : "stop");
1555 debug_pretrigger_discard();
1556 if (!debug_file || !debuglog_name[0]) return;
1557
1558 debug_selector = 0;
1559 fclose(debug_file);
1560 debug_file = NULL;
1561 debug_fd = -1;
1562 if (kill) unlink_log(lt_debug);
1563 }
1564
1565
1566 /* End of log.c */
1567 /* vi: sw ai sw=2
1568 */