/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • mto: (237.7.304 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
initramfs-tools-hook
3
3
# This script will be run by 'mkinitramfs' when it creates the image.
4
4
# Its job is to decide which files to install, then install them into
5
5
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
 
6
# happens when a new 'linux-image' package is installed, or when an
7
7
# administrator runs 'update-initramfs' by hand to update an initramfs
8
8
# image.
9
9
 
29
29
 
30
30
. /usr/share/initramfs-tools/hook-functions
31
31
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
 
32
for d in /usr/lib \
 
33
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
 
34
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
 
35
    if [ -d "$d"/mandos ]; then
 
36
        libdir="$d"
35
37
        break
36
38
    fi
37
39
done
38
 
if [ -z "$prefix" ]; then
 
40
if [ -z "$libdir" ]; then
39
41
    # Mandos not found
40
42
    exit 1
41
43
fi
77
79
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
78
80
 
79
81
# Copy the Mandos plugin runner
80
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
 
82
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
81
83
 
82
84
# Copy the plugins
83
85
 
84
86
# Copy the packaged plugins
85
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
 
87
for file in "$libdir"/mandos/plugins.d/*; do
86
88
    base="`basename \"$file\"`"
87
89
    # Is this plugin overridden?
88
90
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
107
109
    esac
108
110
done
109
111
 
 
112
# Get DEVICE from initramfs.conf and other files
 
113
. /etc/initramfs-tools/initramfs.conf
 
114
for conf in /etc/initramfs-tools/conf.d/*; do
 
115
    if [ -n `basename \"$conf\" | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
 
116
        | grep -v '\.dpkg-.*$'` ]; then
 
117
        [ -f ${conf} ] && . ${conf}
 
118
    fi
 
119
done
 
120
export DEVICE
 
121
 
110
122
# Copy network hooks
111
123
for hook in /etc/mandos/network-hooks.d/*; do
112
124
    case "`basename \"$hook\"`" in
118
130
        # Copy any files needed by the network hook
119
131
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
120
132
            VERBOSITY=0 "$hook" files | while read file target; do
 
133
            if [ ! -e "${file}" ]; then
 
134
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
 
135
            fi
121
136
            if [ -z "${target}" ]; then
122
137
                copy_exec "$file"
123
138
            else
134
149
    fi
135
150
done
136
151
 
137
 
# GPGME needs /usr/bin/gpg
138
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
139
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
140
 
                2>/dev/null`" ]; then
141
 
    copy_exec /usr/bin/gpg
142
 
fi
 
152
# GPGME needs GnuPG
 
153
gpg=/usr/bin/gpg
 
154
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
 
155
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
 
156
    if [ -e /usr/bin/gpgconf ]; then
 
157
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
 
158
            copy_exec /usr/bin/gpgconf
 
159
        fi
 
160
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
 
161
    fi
 
162
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
 
163
    gpg=/usr/bin/gpg2
 
164
fi
 
165
if [ ! -e "${DESTDIR}$gpg" ]; then
 
166
    copy_exec "$gpg"
 
167
fi
 
168
unset gpg
 
169
unset libgpgme11_version
143
170
 
144
171
# Config files
145
172
for file in /etc/mandos/plugin-runner.conf; do