/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to clients.conf

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
4
4
 
5
5
# How long until a client is disabled and not be allowed to get the
6
6
# data this server holds.
7
 
;timeout = 5m
 
7
;timeout = PT5M
8
8
 
9
9
# How often to run the checker to confirm that a client is still up.
10
10
# Note: a new checker will not be started if an old one is still
11
11
# running.  The server will wait for a checker to complete until the
12
12
# above "timeout" occurs, at which time the client will be disabled,
13
13
# and any running checker killed.
14
 
;interval = 2m
 
14
;interval = PT2M
15
15
 
16
16
# Extended timeout is an added timeout that is given once after a
17
17
# password has been sent sucessfully to a client.  This allows for
18
18
# additional delays caused by file system checks and quota checks.
19
 
;extended_timeout = 15m
 
19
;extended_timeout = PT15M
20
20
 
21
21
# What command to run as "the checker".
22
22
;checker = fping -q -- %%(host)s
25
25
;approved_by_default = True
26
26
 
27
27
# How long to wait for approval.
28
 
;approval_delay = 0s
 
28
;approval_delay = PT0S
29
29
 
30
30
# How long one approval will last.
31
 
;approval_duration = 1s
 
31
;approval_duration = PT1S
32
32
 
33
33
# Whether this client is enabled by default
34
34
;enabled = True
78
78
;host = 192.0.2.3
79
79
;
80
80
;# Parameters from the [DEFAULT] section can be overridden per client.
81
 
;interval = 1m
 
81
;interval = PT1M
82
82
;
83
83
;# This client requires manual approval before it receives its secret.
84
84
;approved_by_default = False
85
85
;# Require approval within 30 seconds.
86
 
;approval_delay = 30s
 
86
;approval_delay = PT30S
87
87
;####