services/api/app/models/collection.rb

   1 # Copyright (C) The Arvados Authors. All rights reserved.
   2 #
   3 # SPDX-License-Identifier: AGPL-3.0
   4
   5 require 'arvados/keep'
   6 require 'sweep_trashed_objects'
   7 require 'trashable'
   8
   9 class Collection < ArvadosModel
  10   extend CurrentApiClient
  11   extend DbCurrentTime
  12   include HasUuid
  13   include KindAndEtag
  14   include CommonApiTemplate
  15   include Trashable
  16
  17   serialize :properties, Hash
  18   serialize :storage_classes_desired, Array
  19   serialize :storage_classes_confirmed, Array
  20
  21   before_validation :default_empty_manifest
  22   before_validation :default_storage_classes, on: :create
  23   before_validation :check_encoding
  24   before_validation :check_manifest_validity
  25   before_validation :check_signatures
  26   before_validation :strip_signatures_and_update_replication_confirmed
  27   validate :ensure_pdh_matches_manifest_text
  28   validate :ensure_storage_classes_desired_is_not_empty
  29   validate :ensure_storage_classes_contain_non_empty_strings
  30   before_save :set_file_names
  31
  32   api_accessible :user, extend: :common do |t|
  33     t.add :name
  34     t.add :description
  35     t.add :properties
  36     t.add :portable_data_hash
  37     t.add :signed_manifest_text, as: :manifest_text
  38     t.add :manifest_text, as: :unsigned_manifest_text
  39     t.add :replication_desired
  40     t.add :replication_confirmed
  41     t.add :replication_confirmed_at
  42     t.add :storage_classes_desired
  43     t.add :storage_classes_confirmed
  44     t.add :storage_classes_confirmed_at
  45     t.add :delete_at
  46     t.add :trash_at
  47     t.add :is_trashed
  48   end
  49
  50   after_initialize do
  51     @signatures_checked = false
  52     @computed_pdh_for_manifest_text = false
  53   end
  54
  55   def self.attributes_required_columns
  56     super.merge(
  57                 # If we don't list manifest_text explicitly, the
  58                 # params[:select] code gets confused by the way we
  59                 # expose signed_manifest_text as manifest_text in the
  60                 # API response, and never let clients select the
  61                 # manifest_text column.
  62                 #
  63                 # We need trash_at and is_trashed to determine the
  64                 # correct timestamp in signed_manifest_text.
  65                 'manifest_text' => ['manifest_text', 'trash_at', 'is_trashed'],
  66                 'unsigned_manifest_text' => ['manifest_text'],
  67                 )
  68   end
  69
  70   def self.ignored_select_attributes
  71     super + ["updated_at", "file_names"]
  72   end
  73
  74   def self.limit_index_columns_read
  75     ["manifest_text"]
  76   end
  77
  78   FILE_TOKEN = /^[[:digit:]]+:[[:digit:]]+:/
  79   def check_signatures
  80     return false if self.manifest_text.nil?
  81
  82     return true if current_user.andand.is_admin
  83
  84     # Provided the manifest_text hasn't changed materially since an
  85     # earlier validation, it's safe to pass this validation on
  86     # subsequent passes without checking any signatures. This is
  87     # important because the signatures have probably been stripped off
  88     # by the time we get to a second validation pass!
  89     if @signatures_checked && @signatures_checked == computed_pdh
  90       return true
  91     end
  92
  93     if self.manifest_text_changed?
  94       # Check permissions on the collection manifest.
  95       # If any signature cannot be verified, raise PermissionDeniedError
  96       # which will return 403 Permission denied to the client.
  97       api_token = current_api_client_authorization.andand.api_token
  98       signing_opts = {
  99         api_token: api_token,
 100         now: @validation_timestamp.to_i,
 101       }
 102       self.manifest_text.each_line do |entry|
 103         entry.split.each do |tok|
 104           if tok == '.' or tok.starts_with? './'
 105             # Stream name token.
 106           elsif tok =~ FILE_TOKEN
 107             # This is a filename token, not a blob locator. Note that we
 108             # keep checking tokens after this, even though manifest
 109             # format dictates that all subsequent tokens will also be
 110             # filenames. Safety first!
 111           elsif Blob.verify_signature tok, signing_opts
 112             # OK.
 113           elsif Keep::Locator.parse(tok).andand.signature
 114             # Signature provided, but verify_signature did not like it.
 115             logger.warn "Invalid signature on locator #{tok}"
 116             raise ArvadosModel::PermissionDeniedError
 117           elsif Rails.configuration.permit_create_collection_with_unsigned_manifest
 118             # No signature provided, but we are running in insecure mode.
 119             logger.debug "Missing signature on locator #{tok} ignored"
 120           elsif Blob.new(tok).empty?
 121             # No signature provided -- but no data to protect, either.
 122           else
 123             logger.warn "Missing signature on locator #{tok}"
 124             raise ArvadosModel::PermissionDeniedError
 125           end
 126         end
 127       end
 128     end
 129     @signatures_checked = computed_pdh
 130   end
 131
 132   def strip_signatures_and_update_replication_confirmed
 133     if self.manifest_text_changed?
 134       in_old_manifest = {}
 135       if not self.replication_confirmed.nil?
 136         self.class.each_manifest_locator(manifest_text_was) do |match|
 137           in_old_manifest[match[1]] = true
 138         end
 139       end
 140
 141       stripped_manifest = self.class.munge_manifest_locators(manifest_text) do |match|
 142         if not self.replication_confirmed.nil? and not in_old_manifest[match[1]]
 143           # If the new manifest_text contains locators whose hashes
 144           # weren't in the old manifest_text, storage replication is no
 145           # longer confirmed.
 146           self.replication_confirmed_at = nil
 147           self.replication_confirmed = nil
 148         end
 149
 150         # Return the locator with all permission signatures removed,
 151         # but otherwise intact.
 152         match[0].gsub(/\+A[^+]*/, '')
 153       end
 154
 155       if @computed_pdh_for_manifest_text == manifest_text
 156         # If the cached PDH was valid before stripping, it is still
 157         # valid after stripping.
 158         @computed_pdh_for_manifest_text = stripped_manifest.dup
 159       end
 160
 161       self[:manifest_text] = stripped_manifest
 162     end
 163     true
 164   end
 165
 166   def ensure_pdh_matches_manifest_text
 167     if not manifest_text_changed? and not portable_data_hash_changed?
 168       true
 169     elsif portable_data_hash.nil? or not portable_data_hash_changed?
 170       self.portable_data_hash = computed_pdh
 171     elsif portable_data_hash !~ Keep::Locator::LOCATOR_REGEXP
 172       errors.add(:portable_data_hash, "is not a valid locator")
 173       false
 174     elsif portable_data_hash[0..31] != computed_pdh[0..31]
 175       errors.add(:portable_data_hash,
 176                  "'#{portable_data_hash}' does not match computed hash '#{computed_pdh}'")
 177       false
 178     else
 179       # Ignore the client-provided size part: always store
 180       # computed_pdh in the database.
 181       self.portable_data_hash = computed_pdh
 182     end
 183   end
 184
 185   def set_file_names
 186     if self.manifest_text_changed?
 187       self.file_names = manifest_files
 188     end
 189     true
 190   end
 191
 192   def manifest_files
 193     return '' if !self.manifest_text
 194
 195     done = {}
 196     names = ''
 197     self.manifest_text.scan(/ \d+:\d+:(\S+)/) do |name|
 198       next if done[name]
 199       done[name] = true
 200       names << name.first.gsub('\040',' ') + "\n"
 201     end
 202     self.manifest_text.scan(/^\.\/(\S+)/m) do |stream_name|
 203       next if done[stream_name]
 204       done[stream_name] = true
 205       names << stream_name.first.gsub('\040',' ') + "\n"
 206     end
 207     names
 208   end
 209
 210   def default_empty_manifest
 211     self.manifest_text ||= ''
 212   end
 213
 214   def check_encoding
 215     if manifest_text.encoding.name == 'UTF-8' and manifest_text.valid_encoding?
 216       true
 217     else
 218       begin
 219         # If Ruby thinks the encoding is something else, like 7-bit
 220         # ASCII, but its stored bytes are equal to the (valid) UTF-8
 221         # encoding of the same string, we declare it to be a UTF-8
 222         # string.
 223         utf8 = manifest_text
 224         utf8.force_encoding Encoding::UTF_8
 225         if utf8.valid_encoding? and utf8 == manifest_text.encode(Encoding::UTF_8)
 226           self.manifest_text = utf8
 227           return true
 228         end
 229       rescue
 230       end
 231       errors.add :manifest_text, "must use UTF-8 encoding"
 232       false
 233     end
 234   end
 235
 236   def check_manifest_validity
 237     begin
 238       Keep::Manifest.validate! manifest_text
 239       true
 240     rescue ArgumentError => e
 241       errors.add :manifest_text, e.message
 242       false
 243     end
 244   end
 245
 246   def signed_manifest_text
 247     if !has_attribute? :manifest_text
 248       return nil
 249     elsif is_trashed
 250       return manifest_text
 251     else
 252       token = current_api_client_authorization.andand.api_token
 253       exp = [db_current_time.to_i + Rails.configuration.blob_signature_ttl,
 254              trash_at].compact.map(&:to_i).min
 255       self.class.sign_manifest manifest_text, token, exp
 256     end
 257   end
 258
 259   def self.sign_manifest manifest, token, exp=nil
 260     if exp.nil?
 261       exp = db_current_time.to_i + Rails.configuration.blob_signature_ttl
 262     end
 263     signing_opts = {
 264       api_token: token,
 265       expire: exp,
 266     }
 267     m = munge_manifest_locators(manifest) do |match|
 268       Blob.sign_locator(match[0], signing_opts)
 269     end
 270     return m
 271   end
 272
 273   def self.munge_manifest_locators manifest
 274     # Given a manifest text and a block, yield the regexp MatchData
 275     # for each locator. Return a new manifest in which each locator
 276     # has been replaced by the block's return value.
 277     return nil if !manifest
 278     return '' if manifest == ''
 279
 280     new_lines = []
 281     manifest.each_line do |line|
 282       line.rstrip!
 283       new_words = []
 284       line.split(' ').each do |word|
 285         if new_words.empty?
 286           new_words << word
 287         elsif match = Keep::Locator::LOCATOR_REGEXP.match(word)
 288           new_words << yield(match)
 289         else
 290           new_words << word
 291         end
 292       end
 293       new_lines << new_words.join(' ')
 294     end
 295     new_lines.join("\n") + "\n"
 296   end
 297
 298   def self.each_manifest_locator manifest
 299     # Given a manifest text and a block, yield the regexp match object
 300     # for each locator.
 301     manifest.each_line do |line|
 302       # line will have a trailing newline, but the last token is never
 303       # a locator, so it's harmless here.
 304       line.split(' ').each do |word|
 305         if match = Keep::Locator::LOCATOR_REGEXP.match(word)
 306           yield(match)
 307         end
 308       end
 309     end
 310   end
 311
 312   def self.normalize_uuid uuid
 313     hash_part = nil
 314     size_part = nil
 315     uuid.split('+').each do |token|
 316       if token.match(/^[0-9a-f]{32,}$/)
 317         raise "uuid #{uuid} has multiple hash parts" if hash_part
 318         hash_part = token
 319       elsif token.match(/^\d+$/)
 320         raise "uuid #{uuid} has multiple size parts" if size_part
 321         size_part = token
 322       end
 323     end
 324     raise "uuid #{uuid} has no hash part" if !hash_part
 325     [hash_part, size_part].compact.join '+'
 326   end
 327
 328   def self.get_compatible_images(readers, pattern, collections)
 329     if collections.empty?
 330       return []
 331     end
 332
 333     migrations = Hash[
 334       Link.where('tail_uuid in (?) AND link_class=? AND links.owner_uuid=?',
 335                  collections.map(&:portable_data_hash),
 336                  'docker_image_migration',
 337                  system_user_uuid).
 338       order('links.created_at asc').
 339       map { |l|
 340         [l.tail_uuid, l.head_uuid]
 341       }]
 342
 343     migrated_collections = Hash[
 344       Collection.readable_by(*readers).
 345       where('portable_data_hash in (?)', migrations.values).
 346       map { |c|
 347         [c.portable_data_hash, c]
 348       }]
 349
 350     collections.map { |c|
 351       # Check if the listed image is compatible first, if not, then try the
 352       # migration link.
 353       manifest = Keep::Manifest.new(c.manifest_text)
 354       if manifest.exact_file_count?(1) and manifest.files[0][1] =~ pattern
 355         c
 356       elsif m = migrated_collections[migrations[c.portable_data_hash]]
 357         manifest = Keep::Manifest.new(m.manifest_text)
 358         if manifest.exact_file_count?(1) and manifest.files[0][1] =~ pattern
 359           m
 360         end
 361       end
 362     }.compact
 363   end
 364
 365   # Resolve a Docker repo+tag, hash, or collection PDH to an array of
 366   # Collection objects, sorted by timestamp starting with the most recent
 367   # match.
 368   #
 369   # If filter_compatible_format is true (the default), only return image
 370   # collections which are support by the installation as indicated by
 371   # Rails.configuration.docker_image_formats.  Will follow
 372   # 'docker_image_migration' links if search_term resolves to an incompatible
 373   # image, but an equivalent compatible image is available.
 374   def self.find_all_for_docker_image(search_term, search_tag=nil, readers=nil, filter_compatible_format: true)
 375     readers ||= [Thread.current[:user]]
 376     base_search = Link.
 377       readable_by(*readers).
 378       readable_by(*readers, table_name: "collections").
 379       joins("JOIN collections ON links.head_uuid = collections.uuid").
 380       order("links.created_at DESC")
 381
 382     if (Rails.configuration.docker_image_formats.include? 'v1' and
 383         Rails.configuration.docker_image_formats.include? 'v2') or filter_compatible_format == false
 384       pattern = /^(sha256:)?[0-9A-Fa-f]{64}\.tar$/
 385     elsif Rails.configuration.docker_image_formats.include? 'v2'
 386       pattern = /^(sha256:)[0-9A-Fa-f]{64}\.tar$/
 387     elsif Rails.configuration.docker_image_formats.include? 'v1'
 388       pattern = /^[0-9A-Fa-f]{64}\.tar$/
 389     else
 390       raise "Unrecognized configuration for docker_image_formats #{Rails.configuration.docker_image_formats}"
 391     end
 392
 393     # If the search term is a Collection locator that contains one file
 394     # that looks like a Docker image, return it.
 395     if loc = Keep::Locator.parse(search_term)
 396       loc.strip_hints!
 397       coll_match = readable_by(*readers).where(portable_data_hash: loc.to_s).limit(1)
 398       return get_compatible_images(readers, pattern, coll_match)
 399     end
 400
 401     if search_tag.nil? and (n = search_term.index(":"))
 402       search_tag = search_term[n+1..-1]
 403       search_term = search_term[0..n-1]
 404     end
 405
 406     # Find Collections with matching Docker image repository+tag pairs.
 407     matches = base_search.
 408       where(link_class: "docker_image_repo+tag",
 409             name: "#{search_term}:#{search_tag || 'latest'}")
 410
 411     # If that didn't work, find Collections with matching Docker image hashes.
 412     if matches.empty?
 413       matches = base_search.
 414         where("link_class = ? and links.name LIKE ?",
 415               "docker_image_hash", "#{search_term}%")
 416     end
 417
 418     # Generate an order key for each result.  We want to order the results
 419     # so that anything with an image timestamp is considered more recent than
 420     # anything without; then we use the link's created_at as a tiebreaker.
 421     uuid_timestamps = {}
 422     matches.each do |link|
 423       uuid_timestamps[link.head_uuid] = [(-link.properties["image_timestamp"].to_datetime.to_i rescue 0),
 424        -link.created_at.to_i]
 425      end
 426
 427     sorted = Collection.where('uuid in (?)', uuid_timestamps.keys).sort_by { |c|
 428       uuid_timestamps[c.uuid]
 429     }
 430     compatible = get_compatible_images(readers, pattern, sorted)
 431     if sorted.length > 0 and compatible.empty?
 432       raise ArvadosModel::UnresolvableContainerError.new "Matching Docker image is incompatible with 'docker_image_formats' configuration."
 433     end
 434     compatible
 435   end
 436
 437   def self.for_latest_docker_image(search_term, search_tag=nil, readers=nil)
 438     find_all_for_docker_image(search_term, search_tag, readers).first
 439   end
 440
 441   def self.searchable_columns operator
 442     super - ["manifest_text"]
 443   end
 444
 445   def self.full_text_searchable_columns
 446     super - ["manifest_text", "storage_classes_desired", "storage_classes_confirmed"]
 447   end
 448
 449   def self.where *args
 450     SweepTrashedObjects.sweep_if_stale
 451     super
 452   end
 453
 454   protected
 455
 456   # Although the defaults for these columns is already set up on the schema,
 457   # collection creation from an API client seems to ignore them, making the
 458   # validation on empty desired storage classes return an error.
 459   def default_storage_classes
 460     if self.storage_classes_desired.nil? || self.storage_classes_desired.empty?
 461       self.storage_classes_desired = ["default"]
 462     end
 463     self.storage_classes_confirmed ||= []
 464   end
 465
 466   def portable_manifest_text
 467     self.class.munge_manifest_locators(manifest_text) do |match|
 468       if match[2] # size
 469         match[1] + match[2]
 470       else
 471         match[1]
 472       end
 473     end
 474   end
 475
 476   def compute_pdh
 477     portable_manifest = portable_manifest_text
 478     (Digest::MD5.hexdigest(portable_manifest) +
 479      '+' +
 480      portable_manifest.bytesize.to_s)
 481   end
 482
 483   def computed_pdh
 484     if @computed_pdh_for_manifest_text == manifest_text
 485       return @computed_pdh
 486     end
 487     @computed_pdh = compute_pdh
 488     @computed_pdh_for_manifest_text = manifest_text.dup
 489     @computed_pdh
 490   end
 491
 492   def ensure_permission_to_save
 493     if (not current_user.andand.is_admin)
 494       if (replication_confirmed_at_changed? or replication_confirmed_changed?) and
 495         not (replication_confirmed_at.nil? and replication_confirmed.nil?)
 496         raise ArvadosModel::PermissionDeniedError.new("replication_confirmed and replication_confirmed_at attributes cannot be changed, except by setting both to nil")
 497       end
 498       if (storage_classes_confirmed_changed? or storage_classes_confirmed_at_changed?) and
 499         not (storage_classes_confirmed == [] and storage_classes_confirmed_at.nil?)
 500         raise ArvadosModel::PermissionDeniedError.new("storage_classes_confirmed and storage_classes_confirmed_at attributes cannot be changed, except by setting them to [] and nil respectively")
 501       end
 502     end
 503     super
 504   end
 505
 506   def ensure_storage_classes_desired_is_not_empty
 507     if self.storage_classes_desired.empty?
 508       raise ArvadosModel::InvalidStateTransitionError.new("storage_classes_desired shouldn't be empty")
 509     end
 510   end
 511
 512   def ensure_storage_classes_contain_non_empty_strings
 513     (self.storage_classes_desired + self.storage_classes_confirmed).each do |c|
 514       if !c.is_a?(String) || c == ''
 515         raise ArvadosModel::InvalidStateTransitionError.new("storage classes should only be non-empty strings")
 516       end
 517     end
 518   end
 519 end