MG Mud User | 88f1247 | 2016-06-24 23:31:02 +0200 | [diff] [blame^] | 1 | #pragma strict_types, no_warn_deprecated |
| 2 | |
| 3 | #include "/secure/master.h" |
| 4 | |
| 5 | static mapping projects=([]); |
| 6 | static string *insecure,*deputy_files; |
| 7 | |
| 8 | int ReloadInsecureFile() |
| 9 | { |
| 10 | insecure = efun::explode( read_file("/secure/INSECURE") || "", "\n" ); |
| 11 | insecure -= ({""}); |
| 12 | insecure = map( insecure, #'lower_case/*'*/ ); |
| 13 | return(1); |
| 14 | } |
| 15 | |
| 16 | void LoadDeputyFileList() |
| 17 | { |
| 18 | // Leseberechtigungen fuer /log/ARCH/* setzen |
| 19 | deputy_files = efun::explode( read_file("/log/ARCH/DEPUTY_FILELIST") || "", |
| 20 | "\n" ) - ({""}); |
| 21 | return; |
| 22 | } |
| 23 | |
| 24 | #define PATH_ARRAY(x) (explode(x, "/")-({"."})) |
| 25 | string *full_path_array(string path, string user) { |
| 26 | string *strs; |
| 27 | string cwd; |
| 28 | |
| 29 | if(!path) |
| 30 | return ({"",""}); // additional "" to yield "/" later. |
| 31 | |
| 32 | // remove multiple '/' |
| 33 | path = regreplace(path, "/+", "/", 1); |
| 34 | |
| 35 | switch(path[0]) { |
| 36 | case '/': |
| 37 | if(!path[1]) return ({"",""}); //additional "" to yield "/" later |
| 38 | strs=PATH_ARRAY(path); |
| 39 | if (!sizeof(strs)) |
| 40 | strs = ({"",""}); |
| 41 | break; |
| 42 | case '+': |
| 43 | if(!path[1]) return ({"","d"}); |
| 44 | strs=({"","d"})+PATH_ARRAY(path[1..<1]); |
| 45 | break; |
| 46 | case '~': |
| 47 | if(user && !path[1]) |
| 48 | return ({"","players",user}); |
| 49 | if(user && path[1]=='/') |
| 50 | strs=({"","players",user})+PATH_ARRAY(path[2..<1]); |
| 51 | else |
| 52 | strs=({"","players"})+PATH_ARRAY(path[1..<1]); |
| 53 | break; |
| 54 | default: |
| 55 | if(user && TP && getuid(TP) == user |
| 56 | && (cwd=(string)TP->QueryProp(P_CURRENTDIR))) |
| 57 | strs=PATH_ARRAY(cwd + "/" + path); |
| 58 | else |
| 59 | strs=PATH_ARRAY(path); |
| 60 | } |
| 61 | // /../ behandeln. Einschraenkungen der RegExp: |
| 62 | // /a/b/../../d wuerde nur durch Wiederholung aufgeloest. |
| 63 | // /../d wird nicht richtig aufgeloest. |
| 64 | //regreplace("/d/inseln/toeter/room/hoehle/../wald/bla.c","(.*)\/[^/]+/\.\. |
| 65 | // /(.*)", "\\1\/\\2", RE_GLOBAL) |
| 66 | |
| 67 | // dies sieht schlimmer aus als es ist (member ist O(n)), solange das Array |
| 68 | // nicht gross wird. |
| 69 | int p; |
| 70 | while((p=member(strs, "..")) != -1) |
| 71 | strs = strs[0..p-2]+strs[p+1..]; |
| 72 | |
| 73 | return strs; |
| 74 | } |
| 75 | #undef PATH_ARRAY |
| 76 | |
| 77 | string _get_path(string path, string user) { |
| 78 | string *p_arr = full_path_array(path, user); |
| 79 | // make path absolute |
| 80 | if (p_arr[0] != "") |
| 81 | p_arr = ({""}) + p_arr; |
| 82 | |
| 83 | return implode(p_arr,"/"); |
| 84 | } |
| 85 | |
| 86 | static int project_access(string user, string project) |
| 87 | { |
| 88 | mixed *lines; |
| 89 | string s; |
| 90 | mapping tmp; |
| 91 | |
| 92 | if (!member(projects,project)) |
| 93 | { |
| 94 | s=read_file(PROJECTDIR+"/"+project+"/ACCESS_RIGHTS"); |
| 95 | if(!s||s=="") |
| 96 | return 0; |
| 97 | tmp=([]); |
| 98 | for (lines=explode(s,"\n")-({""});sizeof(lines);lines=lines[1..]) |
| 99 | { |
| 100 | if (lines[0][0]=='*') |
| 101 | tmp[lines[0][1..]]=2; |
| 102 | else |
| 103 | tmp[lines[0]]=1; |
| 104 | } |
| 105 | projects[project]=({tmp,time()}); |
| 106 | return tmp[user]; |
| 107 | } |
| 108 | projects[project][1]=time(); |
| 109 | return projects[project][0][user]; |
| 110 | } |
| 111 | |
| 112 | void OutdateProjectCache(string project) |
| 113 | { |
| 114 | m_delete(projects,project); |
| 115 | } |
| 116 | |
| 117 | static void _cleanup_projects() { |
| 118 | int i; |
| 119 | mixed *users; |
| 120 | |
| 121 | for (users=m_indices(projects),i=sizeof(users)-1;i>=0;i--) |
| 122 | if((time()-projects[users[i]][1])>1800) |
| 123 | m_delete(projects,users[i]); |
| 124 | } |
| 125 | |
| 126 | int access_rights(string *p_arr, string euid) |
| 127 | { |
| 128 | int i; |
| 129 | |
| 130 | i = sizeof(p_arr) - 2; |
| 131 | |
| 132 | while ( i >= 0 && |
| 133 | file_size( implode(p_arr[0..i], "/") + "/access_rights.c" ) < 0 ) |
| 134 | i--; |
| 135 | |
| 136 | if ( i < 0 ) |
| 137 | return 0; |
| 138 | |
| 139 | if ( !catch(i = (int)call_other( |
| 140 | implode(p_arr[0..i], "/") + "/access_rights", |
| 141 | "access_rights", euid, |
| 142 | implode(p_arr[i+1..], "/") ); publish) ) |
| 143 | return i; |
| 144 | |
| 145 | return 0; |
| 146 | } |
| 147 | |
| 148 | string make_path_absolute(string str) { |
| 149 | return _get_path(str, getuid(TP)); |
| 150 | } |
| 151 | |
| 152 | |
| 153 | mixed valid_write(string path, string euid, string fun, object obj) |
| 154 | { |
| 155 | int s,lvl; |
| 156 | string *strs; |
| 157 | int *date; |
| 158 | |
| 159 | if (member(path,' ')!=-1) return 0; |
| 160 | |
| 161 | // Unter LIBDATADIR (/data) sollen komplett identische Schreibrechte |
| 162 | // vergeben werden. |
| 163 | if (sizeof(path) > 6 |
| 164 | && path[0..5] == "/"LIBDATADIR"/") |
| 165 | return valid_write(path[5..], euid, fun, obj) != 0; |
| 166 | |
| 167 | switch(fun) { |
| 168 | case "log_file": |
| 169 | strs=full_path_array("/"+path, 0); |
| 170 | path = implode(strs, "/"); |
| 171 | strs -= ({""}); // remove trailing and leading "/". |
| 172 | if (sizeof(strs)>1 && strs[0]=="log") return path; |
| 173 | return 0; |
| 174 | case "save_object": |
| 175 | if (!path) return 0; |
| 176 | strs=full_path_array("/"+path, 0); |
| 177 | break; |
| 178 | case "ed_start": |
| 179 | if (path && path[0]) |
| 180 | strs=full_path_array(path, euid); |
| 181 | else strs=({"players",euid,".err"}); |
| 182 | break; |
| 183 | default: |
| 184 | strs=full_path_array(path, euid); |
| 185 | } |
| 186 | |
| 187 | if (!euid || euid=="NOBODY" || euid=="ftp" || euid=="anonymous") return 0; |
| 188 | |
| 189 | // Pfad soll ab jetzt auf jeden Fall absolut sein. |
| 190 | if (strs[0] != "") |
| 191 | path = "/" + implode(strs, "/"); |
| 192 | else |
| 193 | path=implode(strs, "/"); |
| 194 | |
| 195 | // fuer die Rechtebestimmung "/" an Anfang und Ende entfernen |
| 196 | strs -= ({""}); |
| 197 | |
| 198 | //Root-Objekte und Master duerfen immer. |
| 199 | if (euid == ROOTID || obj==TO) return path; |
| 200 | |
| 201 | lvl=query_wiz_level(euid); |
| 202 | |
| 203 | //Toplevel: nur EM+ |
| 204 | if ((s=sizeof(strs))<=1) return lvl>=ARCH_LVL; |
| 205 | |
| 206 | switch(strs[0]) { |
| 207 | case TMPDIR: |
| 208 | return 1; |
| 209 | |
| 210 | case STDDIR: |
| 211 | case SYSDIR: |
| 212 | case LIBOBJDIR: |
| 213 | case ETCDIR: |
| 214 | case LIBROOMDIR: |
| 215 | return lvl>=ARCH_LVL; |
| 216 | |
| 217 | case LIBITEMDIR: |
| 218 | return lvl>=ELDER_LVL; |
| 219 | |
| 220 | case SPELLBOOKDIR: |
| 221 | // wenn unterhalb eines unterverzeichnisses des Stils "gilde", dann ists |
| 222 | // einfach |
| 223 | if (sizeof(strs) > 2 |
| 224 | && guild_master(euid, strs[1])) |
| 225 | return 1; |
| 226 | |
| 227 | // sonst nur EMs bzw. access_rights.c fragen. |
| 228 | return ((lvl>=ARCH_LVL) || access_rights(strs,euid)); |
| 229 | |
| 230 | case GUILDDIR: |
| 231 | // wenn unterhalb eines unterverzeichnisses des Stils "filde.gilde", |
| 232 | // dann ists einfach |
| 233 | if (sizeof(strs) > 2) { |
| 234 | string *tmp = explode(strs[1],"files."); |
| 235 | if (sizeof(tmp) == 2) { |
| 236 | if (guild_master(euid, tmp[1])) |
| 237 | return 1; |
| 238 | // Objekte dort sollen auch schreiben duerfen. |
| 239 | if (euid == ("GUILD."+tmp[1])) |
| 240 | return 1; |
| 241 | } |
| 242 | } |
| 243 | // sonst nur EMs bzw. access_rights.c fragen. |
| 244 | return ((lvl>=ARCH_LVL) || access_rights(strs,euid)); |
| 245 | |
| 246 | case DOCDIR: |
| 247 | if ( s > 1 && (strs[1] == "balance") ) |
| 248 | return ((lvl>=ARCH_LVL) || access_rights(strs,euid)); |
| 249 | else |
| 250 | return ((lvl>=SPECIAL_LVL) || access_rights(strs,euid)); |
| 251 | |
| 252 | case FTPDIR: |
| 253 | if ( s > 1 && (strs[1] == "incoming" || strs[1] == "tmp" || |
| 254 | s == 3 && strs[1] == "News" && strs[2] == euid+".news") ) |
| 255 | return 1; |
| 256 | |
| 257 | if (lvl>=ELDER_LVL) |
| 258 | return 1; |
| 259 | |
| 260 | return 0; |
| 261 | |
| 262 | case MAILDIR: |
| 263 | if (euid==MAILID || strs[1]=="spool") break; |
| 264 | return 0; |
| 265 | |
| 266 | case LIBSAVEDIR: |
| 267 | if (lvl>=ARCH_LVL) return 1; |
| 268 | if (s==3 && strs[1] == euid[0..0] && |
| 269 | (strs[2]==euid+".o" || strs[2]==euid)) break; |
| 270 | return 0; |
| 271 | |
| 272 | case LIBLOGDIR: |
| 273 | /* auf /log/ARCH/ haben wirklich nur EMs Zugriff */ |
| 274 | if (strs[1]=="ARCH" && lvl<ARCH_LVL) return 0; |
| 275 | |
| 276 | /* alles andere duerfen auch Weise... */ |
| 277 | if (lvl>=ELDER_LVL) return 1; |
| 278 | |
| 279 | /* Allgemeine logfiles in /log duerfen wirklich nur geschrieben werden */ |
| 280 | if (s==2 && strs[1][0]>='A' && strs[1][0]<='Z' && fun != "write_file") |
| 281 | return 0; |
| 282 | |
| 283 | /* Unterhalb von /log/syslog darf nur geschrieben werden */ |
| 284 | if (s>1 && strs[1]=="syslog" && fun != "write_file") |
| 285 | return 0; |
| 286 | |
| 287 | /* loggen ins eigene repfile immer erlauben */ |
| 288 | if (s==3 && strs[1]=="report" && |
| 289 | strs[2]==explode(euid, ".")[<1]+".rep") break; |
| 290 | |
| 291 | /* in fremden Verzeichnissen hat niemand was zu loggen */ |
| 292 | if (get_wiz_level(strs[1]) >= WIZARD_LVL && |
| 293 | strs[1] != efun::explode(euid, ".")[<1]) |
| 294 | return 0; |
| 295 | break; |
| 296 | |
| 297 | case WIZARDDIR: |
| 298 | /* kein Zugriff auf Objekte mit hoeheren Rechten */ |
| 299 | if (query_wiz_level(strs[1]) > lvl) return 0; |
| 300 | |
| 301 | /* Magier selbst oder Weise duerfen hier schreiben */ |
| 302 | if ((IS_WIZARD(euid) && euid==strs[1])||(lvl>=ELDER_LVL)) break; |
| 303 | |
| 304 | /* Es steht jedoch frei, auch anderen Schreibrechte zu geben... */ |
| 305 | return access_rights(strs,euid); |
| 306 | |
| 307 | case DOMAINDIR: |
| 308 | /* neue Regionen duerfen nur Erzmagier anlegen */ |
| 309 | if (s<2 && lvl<ARCH_LVL) return 0; |
| 310 | |
| 311 | /* kein Zugriff auf Objekte mit hoeheren Rechten */ |
| 312 | if (s>2 && query_wiz_level(creator_file(path)) > lvl) |
| 313 | return 0; |
| 314 | |
| 315 | /* Auf Regionfiles von erzmagier haben nur EMs Zugriff */ |
| 316 | if (creator_file(path)=="erzmagier" && lvl<ARCH_LVL) return 0; |
| 317 | |
| 318 | /* innerhalb der Region haben RMs und Weise volle Schreibrechte */ |
| 319 | if (lvl>=ELDER_LVL || domain_master(euid,strs[1])) break; |
| 320 | |
| 321 | /* neue Verzeichnisse in der Region kann nur RM+ anlegen */ |
| 322 | if (s<=3 && (fun=="mkdir" || fun=="rmdir")) return 0; |
| 323 | |
| 324 | /* Magier auf ihre eigenen Files... */ |
| 325 | if (s>2 && strs[2]==euid) break; |
| 326 | |
| 327 | /* Files der Magier in der Region in ihre eigenen Verzeichnisse... */ |
| 328 | if (s>2 && euid==sprintf("d.%s.%s", strs[1], strs[2])) break; |
| 329 | |
| 330 | /* Files mit Regionsuid */ |
| 331 | if (euid==strs[1]) break; |
| 332 | |
| 333 | /* Es ist moeglich anderen Magiern Rechte bei sich einzuraeumen. */ |
| 334 | if (access_rights(strs,euid)>0) break; |
| 335 | |
| 336 | /* Auf das Verzeichniss 'alle' haben alle Regionsmitglieder Zugriff. |
| 337 | Ausser, wenn sie ueber access_rights.c explizit ausgeschlossen |
| 338 | werden (Returncode < 0). */ |
| 339 | if (s>2 && strs[2]=="alle" && domain_member(euid, strs[1]) && |
| 340 | access_rights(strs,euid)>=0) break; |
| 341 | return 0; |
| 342 | |
| 343 | case PROJECTDIR: |
| 344 | /* Nur Erzmagier duerfen neue Projektverzeichnisse anlegen... */ |
| 345 | if (s<3 && lvl<ARCH_LVL) return 0; |
| 346 | |
| 347 | /* alles weitere duerfen auch Weise tun */ |
| 348 | if (lvl>=ELDER_LVL) break; |
| 349 | |
| 350 | /* in den Serviceverzeichnissen muss lediglich der Name stimmen */ |
| 351 | if (s>3 && strs[1]=="service" && euid==strs[2]) break; |
| 352 | |
| 353 | /* Objekte eines Projektes haben Schreibzugriffe auf ihr Projekt */ |
| 354 | if (s>3 && (implode(strs[0..1], ".") == euid |
| 355 | || implode(strs[0..2], ".") == euid) ) return 1; |
| 356 | |
| 357 | /* Schreibrechte koennen natuerlich auch vergeben werden... */ |
| 358 | if (project_access(euid,strs[1])) break; |
| 359 | // Alternativ besteht neben dem ACCESS_RIGHTS auch noch die |
| 360 | // Moeglichkeit, per access_rights.c Rechte einzuraeumen. |
| 361 | if (access_rights(strs,euid)>0) break; |
| 362 | |
| 363 | return 0; |
| 364 | |
| 365 | default: return 0; |
| 366 | } |
| 367 | return path; |
| 368 | } |
| 369 | |
| 370 | mixed valid_read(string path, string euid, string fun, object obj) |
| 371 | { |
| 372 | int s, lev; |
| 373 | string *strs, suf; |
| 374 | |
| 375 | if (member(path,' ')!=-1) return 0; |
| 376 | |
| 377 | // Unter LIBDATADIR (/data) sollen komplett identische Leserechte |
| 378 | // vergeben werden. |
| 379 | if (sizeof(path) > 6 |
| 380 | && path[0..5] == "/"LIBDATADIR"/") |
| 381 | return valid_read(path[5..], euid, fun, obj) != 0; |
| 382 | |
| 383 | if (!euid) euid="-"; |
| 384 | |
| 385 | strs=full_path_array(path, euid); |
| 386 | // Pfad soll ab jetzt auf jeden Fall absolut sein. |
| 387 | if (strs[0] != "") |
| 388 | path = "/" + implode(strs, "/"); |
| 389 | else |
| 390 | path=implode(strs, "/"); |
| 391 | |
| 392 | // fuer die Rechtebestimmung "/" an Anfang und Ende entfernen |
| 393 | strs -= ({""}); |
| 394 | |
| 395 | if (!sizeof(strs) || !sizeof(path) || euid == ROOTID || obj==TO) return path; |
| 396 | |
| 397 | if ((s=sizeof(strs)) <= 1) return path; |
| 398 | |
| 399 | lev=query_wiz_level(euid); |
| 400 | |
| 401 | switch(strs[0]) { |
| 402 | case "core": |
| 403 | case "wahl": |
| 404 | return 0; |
| 405 | |
| 406 | case NEWSDIR: |
| 407 | if (strs[1] == "archiv.pub") // oeffentliches archiv |
| 408 | return path; |
| 409 | else if (strs[1] == "archiv.magier" // Magier-Archiv |
| 410 | && lev >= WIZARD_LVL) |
| 411 | return path; |
| 412 | |
| 413 | return 0; // kein Zugriff auf /news/ oder alles andere. |
| 414 | |
| 415 | case "maps": |
| 416 | if (lev<=WIZARD_LVL) return 0; |
| 417 | |
| 418 | case "": |
| 419 | case ETCDIR: |
| 420 | case STDDIR: |
| 421 | case SYSDIR: |
| 422 | case DOCDIR: |
| 423 | case LIBOBJDIR: |
| 424 | case LIBROOMDIR: |
| 425 | case LIBITEMDIR: |
| 426 | case FTPDIR: |
| 427 | return path; |
| 428 | |
| 429 | case MAILDIR: |
| 430 | return (euid==MAILID); |
| 431 | |
| 432 | case SECUREDIR: |
| 433 | if (strs[1]=="save") return 0; |
| 434 | if (path[<2..]==".o" || path[<5..]==".dump") return 0; |
| 435 | if (strs[1]!="ARCH" || lev>=ARCH_LVL) return path; |
| 436 | |
| 437 | case LIBLOGDIR: |
| 438 | if ( strs[1] == "ARCH" && !IS_DEPUTY(euid) ) |
| 439 | return 0; |
| 440 | |
| 441 | if ( strs[1] == "ARCH" && lev < ARCH_LVL && s == 3 && |
| 442 | strs[2] != "*" && strs[2][0..2] != "bb." && |
| 443 | member( deputy_files, strs[2] ) < 0 ) |
| 444 | return 0; |
| 445 | |
| 446 | if ( lev > WIZARD_LVL ) |
| 447 | return path; |
| 448 | |
| 449 | if ( s == 2 && (strs[1] == "report" || strs[1] == "error") ) |
| 450 | return path; // fuer 'cd' |
| 451 | |
| 452 | // /log sollte jeder auflisten koennen |
| 453 | if ( s == 2 && strs[1]=="*" && fun=="get_dir") |
| 454 | return path; |
| 455 | |
| 456 | // unter /log/report/, /log/error und /log/warning/ duerfen alle lesen |
| 457 | if ( s==3 && |
| 458 | (strs[1] == "report" || strs[1] == "error" |
| 459 | || strs[1] =="warning")) |
| 460 | return path; |
| 461 | |
| 462 | // /log/<Magiername> darf von <Magiername> natuerlich auch |
| 463 | // gelesen werden |
| 464 | if ( s >= 2 && strs[1] == euid ) |
| 465 | return path; |
| 466 | |
| 467 | return 0; |
| 468 | |
| 469 | case "backup": |
| 470 | case LIBSAVEDIR: |
| 471 | if (lev>WIZARD_LVL) return path; |
| 472 | |
| 473 | /* Objekte in /p/* haben bisher leider wizlevel 0 */ |
| 474 | //if (lev==0) return path; |
| 475 | |
| 476 | if (fun=="file_size") return path; |
| 477 | |
| 478 | // das eigene Savefile darf man natuerlich immer. ;-) |
| 479 | if (s==3 && (strs[2]==euid+".o" || strs[2]==euid)) |
| 480 | return path; |
| 481 | return 0; |
| 482 | |
| 483 | case PROJECTDIR: |
| 484 | /* Pruefen ob ein File existiert darf jeder... */ |
| 485 | if (fun=="file_size") return path; |
| 486 | |
| 487 | /* Die Service-Verzeichnisse darf jeder lesen */ |
| 488 | if (s>3 && strs[1]=="service") return path; |
| 489 | |
| 490 | //Weise duerfen in /p/ schreiben, also auch lesen. (Zesstra, 04.11.06) |
| 491 | if (lev>=ELDER_LVL) return path; |
| 492 | |
| 493 | /* wer hier schreiben darf, darf natuerlich auf jeden Fall lesen */ |
| 494 | //Anmerkung v. Zesstra: das prueft nur, ob jemand in ACCESS_RIGHTS |
| 495 | //steht, nicht ob jemand (ggf. aus anderen Gruenden schreiben darf) |
| 496 | if (project_access(euid,strs[1])) return path; |
| 497 | //Alternativ kann man explizite Schreibrechte auch via access_rights.c |
| 498 | //vergeben. (und damit natuerlich auch Leserechte) |
| 499 | if (access_rights(strs,euid)>0) return path; |
| 500 | |
| 501 | /* Objekte eines Projektes haben Lesezugriff auf ihr Projekt */ |
| 502 | if (s>3 && (implode(strs[0..1], ".") == euid |
| 503 | || implode(strs[0..2], ".") == euid) ) return path; |
| 504 | |
| 505 | /* Fall-Through */ |
| 506 | |
| 507 | case GUILDDIR: |
| 508 | /* "secure"-Verzeichnisse darf nur lesen, wer da auch schreiben darf */ |
| 509 | if ( s > 3 && strs[<2] == "secure" && member( insecure, strs[1] ) < 0 |
| 510 | && lev < ARCH_LVL && !access_rights(strs, euid) ) |
| 511 | return 0; |
| 512 | |
| 513 | /* Pruefen ob ein File existiert darf jeder... */ |
| 514 | if (fun=="file_size") return path; |
| 515 | |
| 516 | /* Fall-Through */ |
| 517 | |
| 518 | case SPELLBOOKDIR: |
| 519 | // Gildenpbjekte koennen hier lesen |
| 520 | if (lev==0 && euid[0..4]=="GUILD") return path; |
| 521 | |
| 522 | // Mit Level <= 20 darf man hier nichts lesen |
| 523 | if ( lev<=WIZARD_LVL && sizeof(regexp( ({strs[<1]}), "\\.[och]" )) ) |
| 524 | return 0; |
| 525 | |
| 526 | return path; |
| 527 | |
| 528 | case WIZARDDIR: |
| 529 | if (s==2) return path; |
| 530 | /* das eigene Verzeichniss darf man natuerlich immer lesen... */ |
| 531 | if (strs[1]==euid && lev>=WIZARD_LVL) return path; |
| 532 | |
| 533 | /* Pruefen ob ein File existiert darf jeder... */ |
| 534 | if (fun=="file_size") return path; |
| 535 | |
| 536 | /* fremde Verzeichnisse mit <= Level 20 noch nicht */ |
| 537 | if (lev<=WIZARD_LVL) return 0; |
| 538 | |
| 539 | /* wo man schreiben darf, darf man natuerlich auch lesen... */ |
| 540 | if (lev>=ELDER_LVL) return path; |
| 541 | |
| 542 | // kein Zugriff auf archivierten Code (wo z.B. secure/ drin sein |
| 543 | // koennen) |
| 544 | if (member(({"bz2","gz","zip"}), explode(strs[<1],".")[<1]) > -1) |
| 545 | return 0; |
| 546 | |
| 547 | /* Files ohne Code sind nicht weiter interessant... */ |
| 548 | if ( !sizeof(regexp( ({strs[<1]}), "\\.[och]" )) ) |
| 549 | return path; |
| 550 | |
| 551 | /* folgende Funktionen sind natuerlich voellig uninteressant */ |
| 552 | if (member(({"get_dir", "restore_object"}), fun)!=-1) |
| 553 | return path; |
| 554 | |
| 555 | /* Zugriff erlaubt, aber mitloggen */ |
| 556 | write_file( READ_FILE, sprintf("%O %s %s: %s\n", fun, ctime()[4..], |
| 557 | euid, path) ); |
| 558 | return path; |
| 559 | |
| 560 | case DOMAINDIR: |
| 561 | /* Mit Level 15 darf man hier _nichts_ lesen */ |
| 562 | if ( fun!="file_size" && lev<WIZARD_LVL && |
| 563 | sizeof(regexp( ({strs[<1]}), "\\.[och]" )) ) return 0; |
| 564 | |
| 565 | /* den Verzeichnisbaum von /d/ darf man natuerlich sonst lesen */ |
| 566 | if (s<=2) return path; |
| 567 | |
| 568 | /* eigenen Code darf man natuerlich auch lesen */ |
| 569 | if (euid==strs[2] || euid==sprintf("d.%s.%s", strs[1], strs[2])) |
| 570 | return path; |
| 571 | |
| 572 | /* Deputies haben ein gemeinsames Verzeichnis unter /d/erzmagier */ |
| 573 | if (strs[1]=="erzmagier" && strs[2]=="polizei" && IS_DEPUTY(euid)) |
| 574 | return path; |
| 575 | |
| 576 | /* d/erzmagier darf man nur als Erzmagier lesen */ |
| 577 | if (strs[1]=="erzmagier" && lev<ARCH_LVL) return 0; |
| 578 | |
| 579 | /* einige Regionen haben std-verzeichnisse, die darf man natuerlich |
| 580 | auch mit Level 20 bereits komplett lesen! */ |
| 581 | if (strs[2]=="std") return path; |
| 582 | |
| 583 | /* "secure"-Verzeichnisse darf nur lesen, wer da auch schreiben darf */ |
| 584 | if ( s > 4 && strs[<2] == "secure" && member( insecure, strs[2] ) < 0 ){ |
| 585 | if ( lev < ELDER_LVL && !domain_master(euid, strs[1]) |
| 586 | && !access_rights(strs, euid) ) |
| 587 | return 0; |
| 588 | else |
| 589 | return path; |
| 590 | } |
| 591 | |
| 592 | /* Dokus, Infos und .readme darf man immer lesen... */ |
| 593 | if ( fun=="file_size" || !sizeof(regexp( ({strs[<1]}), "\\.[och]" )) ) |
| 594 | return path; |
| 595 | |
| 596 | /* Mit Level 20 darf man noch keinen fremden Code lesen! */ |
| 597 | if (lev<=WIZARD_LVL) return 0; |
| 598 | |
| 599 | /* Weise duerfen natuerlich alles weitere lesen */ |
| 600 | if (lev>=ELDER_LVL) return path; |
| 601 | |
| 602 | /* Regionsmagier in ihren Regionen natuerlich auch */ |
| 603 | if (lev>=LORD_LVL && domain_master(euid, strs[1])) return path; |
| 604 | |
| 605 | /* folgende Funktionen sind natuerlich voellig uninteressant */ |
| 606 | if (member(({"get_dir", "restore_object"}), fun)!=-1) |
| 607 | return path; |
| 608 | |
| 609 | /* Zugriff erlaubt, aber mitloggen */ |
| 610 | write_file( READ_FILE, sprintf("%O %s %s: %s\n", fun, ctime()[4..], |
| 611 | euid, path) ); |
| 612 | return path; |
| 613 | } |
| 614 | if (lev<ARCH_LVL) return 0; |
| 615 | return path; |
| 616 | } |
| 617 | |