nixos/tests/userborn.nix

   1 { lib, ... }:
   2
   3 let
   4   # All passwords are "test"
   5   rootHashedPasswordFile = "$y$j9T$6ueoTO5y7vvFsGvpQJEEa.$vubxgBiMnkTCtRtPD3hNiZHa7Nm1WsJeE9QomYqSRXB";
   6   updatedRootHashedPassword = "$y$j9T$pBCO9N1FRF1rSl6V15n9n/$1JmRLEYPO7TRCx43cvLO19u59WA/oqTEhmSR4wrhzr.";
   7
   8   normaloPassword = "test";
   9   updatedNormaloHashedPassword = "$y$j9T$IEWqhKtWg.r.8fVkSEF56.$iKNxdMC6hOAQRp6eBtYvBk4c7BGpONXeZMqc8I/LM46";
  10
  11   sysuserInitialHashedPassword = "$y$j9T$Kb6jGrk41hudTZpNjazf11$iw7fZXrewC6JxRaGPz7/gPXDZ.Z1VWsupvy81Hi1XiD";
  12   updatedSysuserInitialHashedPassword = "$y$j9T$kUBVhgOdSjymSfwfRVja70$eqCwWzVsz0fI0Uc6JsdD2CYMCpfJcErqnIqva2JCi1D";
  13
  14   newNormaloHashedPassword = "$y$j9T$UFBMWbGjjVola0YE9YCcV/$jRSi5S6lzkcifbuqjMcyXLTwgOGm9BTQk/G/jYaxroC";
  15 in
  16
  17 {
  18
  19   name = "userborn";
  20
  21   meta.maintainers = with lib.maintainers; [ nikstur ];
  22
  23   nodes.machine = {
  24     services.userborn.enable = true;
  25
  26     # Read this password file at runtime from outside the Nix store.
  27     environment.etc."rootpw.secret".text = rootHashedPasswordFile;
  28
  29     users = {
  30       users = {
  31         root = {
  32           # Override the empty root password set by the test instrumentation.
  33           hashedPasswordFile = lib.mkForce "/etc/rootpw.secret";
  34         };
  35         normalo = {
  36           isNormalUser = true;
  37           password = normaloPassword;
  38         };
  39         sysuser = {
  40           isSystemUser = true;
  41           group = "sysusers";
  42           initialHashedPassword = sysuserInitialHashedPassword;
  43         };
  44       };
  45       groups = {
  46         sysusers = { };
  47       };
  48     };
  49
  50     specialisation.new-generation.configuration = {
  51       users = {
  52         users = {
  53           root = {
  54             # Forcing this to null simulates removing the config value in a new
  55             # generation.
  56             hashedPasswordFile = lib.mkOverride 9 null;
  57             hashedPassword = updatedRootHashedPassword;
  58           };
  59           normalo = {
  60             hashedPassword = updatedNormaloHashedPassword;
  61           };
  62           sysuser = {
  63             initialHashedPassword = lib.mkForce updatedSysuserInitialHashedPassword;
  64           };
  65           new-normalo = {
  66             isNormalUser = true;
  67             hashedPassword = newNormaloHashedPassword;
  68           };
  69         };
  70         groups = {
  71           new-group = { };
  72         };
  73       };
  74     };
  75   };
  76
  77   testScript = ''
  78     machine.wait_for_unit("userborn.service")
  79
  80     with subtest("Correct mode on the password files"):
  81       assert machine.succeed("stat -c '%a' /etc/passwd") == "644\n"
  82       assert machine.succeed("stat -c '%a' /etc/group") == "644\n"
  83       assert machine.succeed("stat -c '%a' /etc/shadow") == "0\n"
  84
  85     with subtest("root user has correct password"):
  86       print(machine.succeed("getent passwd root"))
  87       assert "${rootHashedPasswordFile}" in machine.succeed("getent shadow root"), "root user password is not correct"
  88
  89     with subtest("normalo user is created"):
  90       print(machine.succeed("getent passwd normalo"))
  91       assert 1000 <= int(machine.succeed("id --user normalo")), "normalo user doesn't have a normal UID"
  92       assert machine.succeed("stat -c '%U' /home/normalo") == "normalo\n"
  93
  94     with subtest("system user is created with correct password"):
  95       print(machine.succeed("getent passwd sysuser"))
  96       assert 1000 > int(machine.succeed("id --user sysuser")), "sysuser user doesn't have a system UID"
  97       assert "${sysuserInitialHashedPassword}" in machine.succeed("getent shadow sysuser"), "system user password is not correct"
  98
  99     with subtest("sysusers group is created"):
 100       print(machine.succeed("getent group sysusers"))
 101
 102     with subtest("Check files"):
 103       print(machine.succeed("grpck -r"))
 104       print(machine.succeed("pwck -r"))
 105
 106
 107     machine.succeed("/run/current-system/specialisation/new-generation/bin/switch-to-configuration switch")
 108
 109
 110     with subtest("root user password is updated"):
 111       print(machine.succeed("getent passwd root"))
 112       assert "${updatedRootHashedPassword}" in machine.succeed("getent shadow root"), "root user password is not updated"
 113
 114     with subtest("normalo user password is updated"):
 115       print(machine.succeed("getent passwd normalo"))
 116       assert "${updatedNormaloHashedPassword}" in machine.succeed("getent shadow normalo"), "normalo user password is not updated"
 117
 118     with subtest("system user password is NOT updated"):
 119       print(machine.succeed("getent passwd sysuser"))
 120       assert "${sysuserInitialHashedPassword}" in machine.succeed("getent shadow sysuser"), "sysuser user password is not updated"
 121
 122     with subtest("new-normalo user is created after switching to new generation"):
 123       print(machine.succeed("getent passwd new-normalo"))
 124       assert 1000 <= int(machine.succeed("id --user new-normalo")), "new-normalo user doesn't have a normal UID"
 125       assert machine.succeed("stat -c '%U' /home/new-normalo") == "new-normalo\n"
 126       assert "${newNormaloHashedPassword}" in machine.succeed("getent shadow new-normalo"), "new-normalo user password is not correct"
 127
 128     with subtest("new-group group is created after switching to new generation"):
 129       print(machine.succeed("getent group new-group"))
 130
 131     with subtest("Check files"):
 132       print(machine.succeed("grpck -r"))
 133       print(machine.succeed("pwck -r"))
 134   '';
 135 }