/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2013-06-21">
 
5
<!ENTITY TIMESTAMP "2015-07-08">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
36
      <year>2012</year>
 
37
      <year>2013</year>
 
38
      <year>2014</year>
 
39
      <year>2015</year>
37
40
      <holder>Teddy Hogeborn</holder>
38
41
      <holder>Björn Påhlsson</holder>
39
42
    </copyright>
96
99
      </arg>
97
100
      <sbr/>
98
101
      <arg>
 
102
        <option>--dh-params <replaceable>FILE</replaceable></option>
 
103
      </arg>
 
104
      <sbr/>
 
105
      <arg>
99
106
        <option>--delay <replaceable>SECONDS</replaceable></option>
100
107
      </arg>
101
108
      <sbr/>
218
225
            assumed to separate the address from the port number.
219
226
          </para>
220
227
          <para>
221
 
            This option is normally only useful for testing and
222
 
            debugging.
 
228
            Normally, Zeroconf would be used to locate Mandos servers,
 
229
            in which case this option would only be used when testing
 
230
            and debugging.
223
231
          </para>
224
232
        </listitem>
225
233
      </varlistentry>
258
266
          <para>
259
267
            <replaceable>NAME</replaceable> can be the string
260
268
            <quote><literal>none</literal></quote>; this will make
261
 
            <command>&COMMANDNAME;</command> not bring up
262
 
            <emphasis>any</emphasis> interfaces specified
263
 
            <emphasis>after</emphasis> this string.  This is not
264
 
            recommended, and only meant for advanced users.
 
269
            <command>&COMMANDNAME;</command> only bring up interfaces
 
270
            specified <emphasis>before</emphasis> this string.  This
 
271
            is not recommended, and only meant for advanced users.
265
272
          </para>
266
273
        </listitem>
267
274
      </varlistentry>
309
316
        <listitem>
310
317
          <para>
311
318
            Sets the number of bits to use for the prime number in the
312
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
319
            TLS Diffie-Hellman key exchange.  The default value is
 
320
            selected automatically based on the OpenPGP key.  Note
 
321
            that if the <option>--dh-params</option> option is used,
 
322
            the values from that file will be used instead.
 
323
          </para>
 
324
        </listitem>
 
325
      </varlistentry>
 
326
      
 
327
      <varlistentry>
 
328
        <term><option>--dh-params=<replaceable
 
329
        >FILE</replaceable></option></term>
 
330
        <listitem>
 
331
          <para>
 
332
            Specifies a PEM-encoded PKCS#3 file to read the parameters
 
333
            needed by the TLS Diffie-Hellman key exchange from.  If
 
334
            this option is not given, or if the file for some reason
 
335
            could not be used, the parameters will be generated on
 
336
            startup, which will take some time and processing power.
 
337
            Those using servers running under time, power or processor
 
338
            constraints may want to generate such a file in advance
 
339
            and use this option.
313
340
          </para>
314
341
        </listitem>
315
342
      </varlistentry>
442
469
  
443
470
  <refsect1 id="environment">
444
471
    <title>ENVIRONMENT</title>
 
472
    <variablelist>
 
473
      <varlistentry>
 
474
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
 
475
        <listitem>
 
476
          <para>
 
477
            This environment variable will be assumed to contain the
 
478
            directory containing any helper executables.  The use and
 
479
            nature of these helper executables, if any, is
 
480
            purposefully not documented.
 
481
        </para>
 
482
        </listitem>
 
483
      </varlistentry>
 
484
    </variablelist>
445
485
    <para>
446
 
      This program does not use any environment variables, not even
447
 
      the ones provided by <citerefentry><refentrytitle
 
486
      This program does not use any other environment variables, not
 
487
      even the ones provided by <citerefentry><refentrytitle
448
488
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
449
489
    </citerefentry>.
450
490
    </para>
746
786
    <para>
747
787
      It will also help if the checker program on the server is
748
788
      configured to request something from the client which can not be
749
 
      spoofed by someone else on the network, unlike unencrypted
750
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
789
      spoofed by someone else on the network, like SSH server key
 
790
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
791
      echo (<quote>ping</quote>) replies.
751
792
    </para>
752
793
    <para>
753
794
      <emphasis>Note</emphasis>: This makes it completely insecure to