]> git.sev.monster Git - dotfiles.git/blob - etc/zsh/.zprofile
777e0fa87a342aa4c756091eb8d4593d7747ede9
[dotfiles.git] / etc / zsh / .zprofile
1 # NOTE:
2 # our .zprofile can be expensive, so we keep track of what has been run
3 # already, and only set up what is necessary. additionally, we want to ensure
4 # that our environment is set up as early as possible, so we also source
5 # .zprofile in .zshenv for new non-login shells.
6 #
7 # these issues are handled by using these methods:
8 #   * the parent shell that starts the user's session after logging in to some
9 #     graphical environments may not be a login shell—due to misconfiguration
10 #     or otherwise—which means .zprofile is not ran and the environment is not
11 #     properly configured for any child processes.
12 #   * some desktop environments/graphical terminal emulators will start new
13 #     terminal windows with login shells, which runs .zprofile every time and
14 #     leads to noticably slow startup times.
15 #   * switching users without wiping the environment will result in paths and
16 #     variables intended for the old user being used for the new user. while
17 #     this may be considered an edge-case that should not be supported, there
18 #     are legitimate reasons to want to do this, and in any case the shell
19 #     should not choke or cause unexpected problems should it happen anyway.
20
21 ### cleanup
22 # XXX: only call after relevant vars have been set up, defined early so that
23 #      below code can utilize it after they do so
24 function _sev_zcleanup {
25     ## gpg forwarding
26     if [[ -d $_sev_gpg_forward_dir && ( -z $1 || $1 == 'gpg-forward' ) ]] {
27         # clean up forward dirs if its session is dead or we ask for it
28         find $_sev_gpg_forward_dir -mindepth 1 -maxdepth 1 -type d |
29           while {read -r x} {
30             # NOTE: the only way we can get here is if we have not been
31             #       forwarded before, if the user asks for it, or during
32             #       logout. if our own pid already has a dir, it is most likely
33             #       stale, the user wants it removed, or something is very
34             #       broken—in all 3 of these cases the best choice is remove it.
35             p=$(basename $x)
36             if {[[ -v _sev_gpg_forward_clean || $$ == $p ]] ||
37                     ! kill -0 $p 2>/dev/null} {
38                 find $x -mindepth 1 -maxdepth 1 | while {read -r y} {
39                     # XXX: real dirs will stop unlink, consider it a feature
40                     unlink $y
41                 }
42                 # don't force in case something important is still there
43                 rmdir $x
44             }
45         }
46         # reset GNUPGHOME if we removed our own dir
47         if [[ $GNUPGHOME =~ '/.ssh_forward/\d+/*$' && ! -e $GNUPGHOME ]]
48             GNUPGHOME=${GNUPGHOME%$MATCH}
49     }
50
51     ## tmp
52     # NOTE: _sev_tmp is not unset so session dirs will not be recreated
53     # NOTE: XDG dirs that use our tmp are not unset here, they are in zlogout
54     if [[ -d $_sev_tmp && ( -z $1 || $1 == 'tmp' ) ]] {
55         # clean up tmp dirs if its session is dead or we ask for it
56         find $_sev_tmp -mindepth 1 -maxdepth 1 -name '.session.*' -type d |
57           while {read -r x} {
58             # NOTE: same rationale as above
59             p=${$(basename $x)#.session.}
60             if {[[ -v _sev_tmp_clean || $$ == $p ]] ||
61                     ! kill -0 $p 2>/dev/null} {
62                 rm -rf $x
63             }
64         }
65     }
66
67     unset x p y
68 }
69
70 ### lang
71 export CHARSET=${CHARSET:-UTF-8}
72 export LANG=${LANG:-en_US.UTF-8}
73
74 ### path
75 # NOTE: we utilize the fact that unique arrays keep the first occurrence and
76 #       remove any further occurences to capture elements from the old PATH
77 #       that we did not anticipate and shift them to the front, since they are
78 #       probably important to the system
79 if [[ ! -v _sev_setup_path || -o login ]] {
80     typeset -U path fpath
81     # add as many generic paths as possible to keep the order we want
82     # NOTE: /usr/{local,pkg,games} are unix/bsdisms
83     # XXX: PREFIX not validated, non-posix but Termux uses it, maybe others
84     # XXX: XDG specifies ~/.local/bin as the only user-writable dir for
85     #      executables, but we specify more; technically this is against spec
86     syspath=("$path[@]")
87     path=(~/{.local/,}{s,}bin
88           {~/.local,{$PREFIX,}{,/opt,/usr{,/local,pkg}}}/sbin
89           {~/.local,{$PREFIX,}{,/opt,/usr{,/local,pkg}}}/bin
90           /usr/{X11R{7,6}/bin,games})
91     ((len=$#path))
92     path=("$path[@]" "$syspath[@]")
93     # remove nonexistent and duplicate paths
94     for (( i = 1; i <= $#path; i++ )) {
95         if [[ ! -e $path[$i] ]] {
96             path[$i]=()
97             ((i <= len)) && ((len--))
98             ((i--))
99             continue
100         }
101     }
102     # shift valid system paths to the front if there are any left
103     ((len > 0 && len < $#path)) && path=("${(@)path[len + 1, -1]}" "${(@)path[1, len]}")
104     unset syspath len i
105     # include our zsh dir in fpath. unlike above, we always prefer our paths
106     fpath=(${ZDOTDIR:-~/.zsh}/functions/{*,Completions/*}(N) "$fpath[@]")
107     # FPATH is not exported by default
108     export FPATH
109     typeset +U path fpath
110     export _sev_setup_path=
111 }
112
113 ### xdg local dir
114 # NOTE: need this for tmp, so confirm it exists.
115 # XXX: perms are not specified for XDG dirs except runtime, but I think 760
116 #      makes the most sense. shouldn't break anything since no one else should
117 #      be poking around in our dir.
118 [[ -e ~/.local ]] || mkdir -m760 ~/.local
119
120 ### tmp
121 # NOTE: specs say that POSIX tmp and XDG runtime directories should exist
122 #       until the last session is logged out (POSIX can exist for longer).
123 #       since we can't reliably keep track of sessions in a cross-platform
124 #       manner, the current implementation should use a separate directory per
125 #       toplevel session (i.e. SHLVL=1). this should placate most applications,
126 #       though it is not expressly spec compliant.
127 if [[ ! -v _sev_tmp ]] {
128     _sev_tmp=~/.local/tmp
129     # NOTE: race condition/remove in use files
130     [[ -h $_sev_tmp ]] && unlink $_sev_tmp 2>/dev/null
131     t=${TMPDIR:-${TEMP:-${TMP:-/tmp}}}/.home-$LOGNAME
132     # create personal tmp dir under system tmp
133     [[ -e $t ]] || mkdir -m700 $t 2>/dev/null
134     if [[ ! -d $t ]] {
135         [[ -o interactive ]] &&
136           print -P "%F{orange}*** Can't create TMPDIR $t, using $_sev_tmp%f"
137         # fallback bare directory
138         [[ -e $_sev_tmp ]] || mkdir -m700 $_sev_tmp 2>/dev/null
139         if [[ ! -d $_sev_tmp ]] {
140             [[ -o interactive ]] &&
141               print -P "%F{red}!!! No usable TMPDIR%f"
142             unset _sev_tmp
143         } else {
144             t=$_sev_tmp
145         }
146     } elif [[ -e $_sev_tmp ]] {
147         [[ -o interactive ]] &&
148           print -P "%F{orange}*** $_sev_tmp occluded, can't link to TMPDIR $t%f"
149         _sev_tmp=$t
150     } else {
151         ln -s $t $_sev_tmp 2>/dev/null
152     }
153     if [[ -v _sev_tmp ]] {
154         # ensure dir is clean
155         _sev_zcleanup tmp
156         # finally create our subdir for this session
157         t=$_sev_tmp/.session.$$
158         if ! mkdir -m700 $t 2>/dev/null; then
159             [[ -o interactive ]] &&
160               print -P "%F{red}!!! Can't create session subdir $t, using $_sev_tmp%f"
161             t=$_sev_tmp
162         fi
163         export _sev_tmp TMPDIR=$t TEMP=$t TMP=$t
164         unset t
165     }
166 }
167
168 ### xdg
169 if [[ ! -v _sev_setup_xdg ]] {
170     ## merge with any existing dirs and remove duplicates using unique arrays
171     # NOTE: we are accepting whatever value might be set for CONFIG and DATA;
172     #       if it wasn't set, we just use default and leave it unset
173     # NOTE: include and then remove CONFIG_HOME and DATA_HOME to ensure they
174     #       are not present in the array if it was added before we got to it
175     typeset -UT XDG_DATA_DIRS xdg_data_dirs
176     if [[ -v XDG_DATA_HOME ]] {
177         export XDG_DATA_HOME
178     } elif [[ ! -e ~/.local/share ]] {
179         mkdir -m760 ~/.local/share
180     }
181     xdg_data_dirs=($XDG_DATA_HOME /{opt,usr/local,usr/pkg,usr}/share
182       "${XDG_DATA_DIRS:+${xdg_data_dirs[@]}}")
183     # XXX: if colons are not escaped, could remove unintended part of string
184     export XDG_DATA_DIRS=${XDG_DATA_DIRS#$XDG_DATA_HOME:}
185
186     typeset -UT XDG_CONFIG_DIRS xdg_config_dirs
187     if [[ -v XDG_CONFIG_HOME ]] {
188         export XDG_CONFIG_HOME
189     } elif [[ ! -e ~/.config ]] {
190         mkdir -m760 ~/.config
191     }
192     # I am of the belief .local should follow FHS /usr/local...
193     [[ -e ~/.local/etc ]] || ln -s ~/.config ~/.local/etc
194     xdg_config_dirs=($XDG_CONFIG_HOME ${XDG_CONFIG_DIRS:+"$xdg_config_dirs[@]"}
195       {/opt,/usr/local,/usr/pkg,}/etc/xdg)
196     # XXX: if colons are not escaped, could remove unintended part of string
197     export XDG_CONFIG_DIRS=${XDG_CONFIG_DIRS#$XDG_CONFIG_HOME:}
198
199     if [[ -v XDG_STATE_HOME ]] {
200         export XDG_STATE_HOME
201     } elif [[ ! -e ~/.local/state ]] {
202         mkdir -m760 ~/.local/state
203     }
204
205     if [[ ! -v XDG_CACHE_HOME ]] {
206         if [[ -v _sev_tmp ]] {
207             export XDG_CACHE_HOME=$_sev_tmp/.xdg.cache
208             [[ -e $XDG_CACHE_HOME ]] || mkdir -m700 $XDG_CACHE_HOME
209         } elif [[ ! -e ~/.cache ]] {
210             mkdir -m700 ~/.cache
211         }
212     }
213
214     # make runtime dir in our session-specific tmpdir
215     export XDG_RUNTIME_DIR=$TMPDIR/.xdg.runtime
216     # same as in tmpdir creation, ensure dir doesn't exist
217     if [[ -h $XDG_RUNTIME_DIR ]] {
218         unlink $XDG_RUNTIME_DIR 2>/dev/null
219     } elif [[ -e $XDG_RUNTIME_DIR ]] {
220         rm -rf $XDG_RUNTIME_DIR 2>/dev/null
221     }
222     mkdir -m700 $XDG_RUNTIME_DIR 2>/dev/null
223
224     # source user dirs after other vars
225     [[ -e $XDG_CONFIG_HOME/user-dirs.dirs ]] &&
226       emulate sh -c "source $XDG_CONFIG_HOME/user-dirs.dirs"
227     export _sev_setup_xdg=
228 }
229
230 ### dbus
231 if [[ ! -v DBUS_SESSION_BUS_ADDRESS && -v commands[dbus-launch] ]] {
232     eval $(dbus-launch)
233     export DBUS_SESSION_BUS_ADDRESS DBUS_SESSION_BUS_PID
234 }
235
236 ### gpg home
237 if [[ ! -v GNUPGHOME ]] {
238     export GNUPGHOME=${XDG_CONFIG_HOME:-~/.config}/gnupg
239     if [[ -d ~/.gnupg ]] {
240         mv ~/.gnupg ${XDG_CONFIG_HOME:-~/.config}/gnupg
241     }
242 }
243
244 ### gpg agent + forwarding
245 # NOTE: while ssh manages its auth sock in its protocol when ForwardSsh is
246 #       enabled, GPG must be forwarded manually over Unix socket. to support
247 #       this, we forward the restricted gpg-agent extra socket to the remote
248 #       host with a RemoteForward rule in ~/.ssh/config that uses the
249 #       _GNUPG_SOCK_* env vars. to avoid conflicts with other ssh sessions
250 #       where the same user is connecting to the same host from different
251 #       machines, gpg in each environment should utilize its own forwarded
252 #       socket, rather than replace the sockets in GNUPGHOME which will be
253 #       overridden on the next connection. previously, you could provide a path
254 #       to the agent socket in GPG_AGENT_INFO, but that was deprecated in GPG
255 #       v2.1. instead, we must clone GNUPGHOME with links and replace the agent
256 #       sockets there with the forwarded one.
257 # NOTE: since Unix sockets are not supported under Windows, this will not work
258 #       under msys, cygwin, mingw, etc., but may work under wsl2.
259 # HACK: without SendEnv, which is disabled by default in most sshd configs,
260 #       there is no foolproof way to prevent race conditions via filename
261 #       collisions or to pass the desired forward path to the remote host
262 #       environment. we just have to guess the path we choose is good on the
263 #       desination, and assume the newest matching socket is the correct one
264 #       after connecting. in theory, we could occlude the ssh binary on PATH
265 #       with an alias or script that would allow us to communicate with the
266 #       remote host before opening a shell, so that we can have the host
267 #       communicate back to the client where it wants a socket created or ask
268 #       the host if the path the client wants to use is writable. however, this
269 #       would open up too many edge cases where it wouldn't work or be too
270 #       clunky (e.g. asking for password twice) to make it worth it.
271 function _gpg_socketpath {
272     # dirs are percent-encoded: https://stackoverflow.com/a/64312099
273     echo ${1//(#b)%([[:xdigit:]](#c2))/${(#):-0x$match[1]}}
274 }
275 if [[ ! -v _sev_setup_gpg_forward && -v commands[gpg] ]] {
276     # XXX: assuming /tmo exists and is writable on destination
277     export _GNUPG_SOCK_DEST_BASE=/tmp/.gpg-agent-forward
278     export _GNUPG_SOCK_DEST_EXT=$(date +%s).$RANDOM
279     export _GNUPG_SOCK_DEST=$_GNUPG_SOCK_DEST_BASE.$_GNUPG_SOCK_DEST_EXT
280     export _sev_gpg_forward_dir=${GNUPGHOME:-~/.gnupg}/.ssh_forward
281     _sev_zcleanup gpg-forward
282
283     # find our forwarded socket
284     s=($_GNUPG_SOCK_DEST_BASE*(N=oc[1]))
285     if [[ -n $s && -v SSH_CLIENT ]] {
286         # create new forward dir
287         export _sev_setup_gpg_forward=
288         h=$_sev_gpg_forward_dir/$$
289         mkdir -pm700 $h
290         # XXX: is it safe to link scdaemon socket? can its name be changed?
291         for x (S.scdaemon gpg.conf gpg-agent.conf sshcontrol random_seed
292                pubring.kbx{,~} trustdb.gpg private-keys-v1.d crls.d) {
293             ln -s ${GNUPGHOME:-~/.gnupg}/$x $h
294         }
295         export GNUPGHOME=$h
296         unset h
297         for x in $(gpgconf --list-dirs | grep 'agent-.*-\?socket:'); do
298             x=$(_gpg_socketpath ${x/#agent-*socket:})
299             if [[ ! -v orig ]] {
300                 # move forwarded socket to first valid agent socket path
301                 # XXX: if tmp is on different filesystem this may not work
302                 mv $s $x
303                 orig=$x
304             } else {
305                 # make links to forwarded socket for any others
306                 ln -s $orig $x
307             }
308         done
309         unset x orig
310     }
311     unset s
312
313     # what we will forward if we start a new ssh connection
314     # NOTE: do this after setting up GNUPGHOME to pick up new socket path;
315     #       if already connected over SSH, extra should be the remote one
316     export _GNUPG_SOCK_SRC=$(_gpg_socketpath \
317       $(gpgconf --list-dirs agent-extra-socket))
318 } elif [[ ! -v _sev_setup_gpg_forward ]] {
319     # required for RemoteForward to not error out if the vars are unset
320     [[ ! -v _GNUPG_SOCK_SRC ]] && export _GNUPG_SOCK_SRC=/nonexistent
321     [[ ! -v _GNUPG_SOCK_DEST ]] && export _GNUPG_SOCK_DEST=/nonexistent
322 }
323
324 ### gpg agent
325 if [[ -v commands[gpg-connect-agent] &&
326         ( ! -v _sev_setup_gpgagent || -v _sev_refresh_gpgagent ) ]] {
327     # avoid printing if we have already set up tty before
328     [[ ! -v _sev_setup_gpgagent && -o interactive ]] && p=true || p=false
329     if {$p} {
330         print -nP '%F{blue}>>>%f GPG: '
331         if [[ -v _sev_setup_gpg_forward ]] {
332             print -nP '%F{yellow}Forwarded agent '
333         } else {
334             print -nP '%F{green}Agent '
335         }
336     }
337     gpg-connect-agent /bye >/dev/null 2>&1
338     if [[ $? -ne 0 ]] {
339         $p && print -P '%F{red}communication error'
340     } else {
341         if [[ ! -v _sev_setup_gpg_forward ]] {
342             if [[ ${+GPG_TTY} -eq 0 && -o interactive ]]
343                 export GPG_TTY=$(tty)
344             if [[ ( -v DISPLAY || -v WAYLAND_DISPLAY ) &&
345                   ${PINENTRY_USER_DATA/USE_TTY=0} == $PINENTRY_USER_DATA ]]
346                 export PINENTRY_USER_DATA=USE_TTY=$((
347                   ${+DISPLAY} + ${+WAYLAND_DISPLAY} == 0))
348             # XXX: don't know if gpg-agent supports comments after directives
349             # XXX: path could have #
350             sed -Ei 's#^([[:space:]]*pinentry-program[[:space:]]).*$#\1'${commands[pinentry]:-/dev/null}'#' \
351               ${GNUPGHOME:-~/.gnupg}/gpg-agent.conf
352             # XXX: could check for changes before doing this to save perf
353             gpg-connect-agent RELOADAGENT UPDATESTARTUPTTY /bye >/dev/null 2>&1
354             if {$p} {
355                 gpg-connect-agent /subst /serverpid \
356                   "/echo pid \${get serverpid} on $GPG_TTY" /bye 2>/dev/null
357                 print -nP '%f'
358             }
359         } elif {$p} {
360             print -P '%f'
361         }
362         export _sev_setup_gpgagent=
363     }
364     unset p _sev_refresh_gpgagent
365 }
366
367 ### ssh agent
368 if [[ ! -v _sev_setup_ssh ]] {
369     # NOTE: preferred order of agents to check: okcagent, gnupg, openssh
370     #       first block takes care of okcagent and openssh, second gnupg
371     # XXX: doesn't actually check if ssh is enabled in gpg
372     [[ -o interactive ]] && print -nP '%F{blue}>>>%f SSH: %F{green}'
373     if [[ ! -v SSH_AUTH_SOCK && ( -v commands[okc-ssh-agent] ||
374           ( -v commands[ssh-agent] && ! -v commands[gpg] ) ) ]] {
375         okc=${commands[okc-ssh-agent]:+okc-}
376         e=$_sev_tmp/${okc}ssh-agent-exports
377         typeset sock=
378         typeset -i pid=
379         if [[ -f $e ]] {
380             IFS=$'\0' read -r sock pid <$e
381         }
382         if [[ -S $sock && $pid > 0 ]] && kill -0 $pid; then
383             [[ -o interactive ]] && print -P "Reusing agent PID $pid%f"
384             export SSH_AUTH_SOCK=$sock
385             export SSH_AGENT_PID=$pid
386         else
387             # TODO: ensure ssh-agent path looks legit to avoid unsafe eval?
388             # XXX: doesn't appear to be any other way to handle redirection.
389             #      because eval needs to write to current scope environment
390             #      subshells can't be used to capture output and print.
391             c='TMPDIR=$_sev_tmp ${okc}ssh-agent'
392             if [[ -o interactive ]] {
393                 eval $(eval $=c)
394                 print -nP '%f'
395             } else {
396                 eval $(eval $=c) >/dev/null 2>&1
397             }
398             echo -n $SSH_AUTH_SOCK$'\0'$SSH_AGENT_PID >!$e
399             unset c
400         fi
401         unset okc e sock pid
402     } elif [[ ! -v SSH_AUTH_SOCK && -v commands[gpg] ]] {
403         # since gpg should have been started above, just export and notify
404         if [[ -o interactive ]] {
405             if [[ -v _sev_setup_gpg_forward ]] {
406                 echo 'Forwarded GPG agent'
407             } else {
408                 gpg-connect-agent /subst /serverpid \
409                   '/echo GPG agent pid ${get serverpid}' /bye
410             }
411             print -nP '%f'
412         }
413         export SSH_AUTH_SOCK=$(_gpg_socketpath \
414           $(gpgconf --list-dirs agent-ssh-socket))
415     } elif [[ -v SSH_AUTH_SOCK ]] {
416         [[ -o interactive ]] && print -P 'Preconfigured agent%f'
417     } else {
418         [[ -o interactive ]] && print -P '%F{red}No agent available%f'
419     }
420
421     export _sev_setup_ssh=
422 }
423 unfunction _gpg_socketpath
424
425 ### perl local lib
426 [[ -v commands[perl] && -d $XDG_DATA_HOME/perl5/lib/perl5 &&
427    ! -v PERL_LOCAL_LIB_ROOT ]] &&
428   eval $(perl -I$XDG_DATA_HOME/perl5/lib/perl5 \
429               -Mlocal::lib=$XDG_DATA_HOME/perl5 2>/dev/null)
430
431
432 ### load site-specific
433 if [[ -f ${ZDOTDIR:-~}/.zprofile.local ]] { source ${ZDOTDIR:-~}/.zprofile.local }
434
435 # vim: et sts=4 sw=4 ts=8 tw=79
This page took 0.062507 seconds and 2 git commands to generate.