/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.lintian-overrides

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
# This directory contains secret client key files.
2
 
mandos-client binary: non-standard-dir-perm 0700 != 0755 [etc/keys/mandos/]
 
2
#
 
3
mandos-client binary: non-standard-dir-perm etc/keys/mandos/ 0700 != 0755
3
4
 
4
5
# The directory /usr/lib/<arch>/mandos/plugins.d contains setuid
5
 
# binaries which are only meant to be run inside an initial RAM disk
 
6
# binaries which are not meant to be run outside an initial RAM disk
6
7
# environment (except for test purposes).  It would be insecure to
7
8
# allow anyone to run them.
8
 
mandos-client binary: non-standard-dir-perm 0700 != 0755 [usr/lib/*/mandos/plugins.d/]
9
 
# Likewise for helper executables for plugins
10
 
mandos-client binary: non-standard-dir-perm 0700 != 0755 [usr/lib/*/mandos/plugin-helpers/]
 
9
#
 
10
mandos-client binary: non-standard-dir-perm usr/lib/*/mandos/plugins.d/ 0700 != 0755
11
11
 
12
12
# These binaries must be setuid root, since they need root powers, but
13
13
# are started by plugin-runner(8mandos), which runs all plugins as
14
 
# user/group "_mandos".  These binaries are never run in a running
15
 
# system, but only in an initial RAM disk environment.  Here they are
 
14
# user/group "_mandos".  These binaries are not run in a running
 
15
# system, but in an initial RAM disk environment.  Here they are
16
16
# protected from non-root access by the directory permissions, above.
17
 
mandos-client binary: elevated-privileges 4755 root/root [usr/lib/*/mandos/plugins.d/mandos-client]
18
 
mandos-client binary: elevated-privileges 4755 root/root [usr/lib/*/mandos/plugins.d/askpass-fifo]
19
 
mandos-client binary: elevated-privileges 4755 root/root [usr/lib/*/mandos/plugins.d/splashy]
20
 
mandos-client binary: elevated-privileges 4755 root/root [usr/lib/*/mandos/plugins.d/usplash]
21
 
mandos-client binary: elevated-privileges 4755 root/root [usr/lib/*/mandos/plugins.d/plymouth]
 
17
#
 
18
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/mandos-client 4755 root/root
 
19
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/askpass-fifo 4755 root/root
 
20
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/splashy 4755 root/root
 
21
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/usplash 4755 root/root
 
22
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/plymouth 4755 root/root
22
23
 
23
24
# The directory /etc/mandos/plugins.d can be used by local system
24
25
# administrators to place plugins in, overriding and complementing
25
26
# /usr/lib/<arch>/mandos/plugins.d, and must be likewise protected.
26
 
mandos-client binary: non-standard-dir-perm 0700 != 0755 [etc/mandos/plugins.d/]
27
 
# Likewise for plugin-helpers directory
28
 
mandos-client binary: non-standard-dir-perm 0700 != 0755 [etc/mandos/plugin-helpers/]
29
 
 
30
 
# The debconf templates is only used for displaying information
31
 
# detected in the postinst, not for saving answers to questions, so we
32
 
# don't need a .config file.
33
 
mandos-client binary: no-debconf-config
34
 
 
35
 
# The notice displayed from the postinst script really is critical
36
 
mandos-client binary: postinst-uses-db-input
37
 
 
38
 
# These are very important to work around bugs or changes in the old
39
 
# versions, and there is no pressing need to remove them.
40
 
mandos-client binary: maintainer-script-supports-ancient-package-version *
 
27
#
 
28
mandos-client binary: non-standard-dir-perm etc/mandos/plugins.d/ 0700 != 0755