/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to dracut-module/ask-password-mandos.path

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • mto: (237.7.304 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
# -*- systemd -*-
2
 
3
 
# Copyright © 2019 Teddy Hogeborn
4
 
# Copyright © 2019 Björn Påhlsson
5
 
6
 
# This file is part of Mandos.
7
 
8
 
# Mandos is free software: you can redistribute it and/or modify it
9
 
# under the terms of the GNU General Public License as published by
10
 
# the Free Software Foundation, either version 3 of the License, or
11
 
# (at your option) any later version.
12
 
13
 
#     Mandos is distributed in the hope that it will be useful, but
14
 
#     WITHOUT ANY WARRANTY; without even the implied warranty of
15
 
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16
 
#     GNU General Public License for more details.
17
 
18
 
# You should have received a copy of the GNU General Public License
19
 
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
20
 
21
 
# Contact the authors at <mandos@recompile.se>.
22
 
23
 
# This systemd.path(5) unit will wait until there are any password
24
 
# questions present, represented by files named "ask.*" in the
25
 
# /run/systemd/ask-password directory, and then start the
26
 
# "ask-password-mandos.service" systemd.service(5) unit.
27
 
 
28
 
# This file should be installed in the root file system as
29
 
# "/usr/lib/dracut/modules.d/90mandos/ask-password-mandos.path" and
30
 
# will be installed in the initramfs image file as
31
 
# "/lib/systemd/system/ask-password-mandos.path", and symlinked to
32
 
# "/lib/systemd/system//sysinit.target.wants/ask-password-mandos.path"
33
 
# by dracut when dracut creates the initramfs image file.
34
 
 
35
 
[Unit]
36
 
Description=Forward Password Requests to remote Mandos server
37
 
Documentation=man:intro(8mandos) man:password-agent(8mandos) man:mandos-client(8mandos)
38
 
DefaultDependencies=no
39
 
Conflicts=shutdown.target
40
 
Before=basic.target shutdown.target
41
 
ConditionKernelCommandLine=!mandos=off
42
 
ConditionFileIsExecutable=/lib/mandos/password-agent
43
 
ConditionPathIsMountPoint=!/sysroot
44
 
 
45
 
[Path]
46
 
PathExistsGlob=/run/systemd/ask-password/ask.*
47
 
MakeDirectory=yes