/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.lintian-overrides

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/mandos-client.lintian-overrides
1
 
# This example command line is long without spaces, but it must be
2
 
# that way; it's part of the point of showing it.
3
 
#
4
 
mandos-client binary: manpage-has-errors-from-man usr/share/man/man8/plugin-runner.8mandos.gz 297: warning [p 4, 5.8i]: can't break line
5
 
 
6
1
# This directory contains secret client key files.
7
2
#
8
3
mandos-client binary: non-standard-dir-perm etc/keys/mandos/ 0700 != 0755
9
4
 
10
 
# The directory /usr/lib/mandos/plugins.d contains setuid binaries
11
 
# which are not meant to be run outside an initial RAM disk
 
5
# The directory /usr/lib/<arch>/mandos/plugins.d contains setuid
 
6
# binaries which are not meant to be run outside an initial RAM disk
12
7
# environment (except for test purposes).  It would be insecure to
13
8
# allow anyone to run them.
14
9
#
15
 
mandos-client binary: non-standard-dir-perm usr/lib/mandos/plugins.d/ 0700 != 0755
 
10
mandos-client binary: non-standard-dir-perm usr/lib/*/mandos/plugins.d/ 0700 != 0755
16
11
 
17
12
# These binaries must be setuid root, since they need root powers, but
18
13
# are started by plugin-runner(8mandos), which runs all plugins as
19
 
# user/group "mandos".  These binaries are not run in a running
 
14
# user/group "_mandos".  These binaries are not run in a running
20
15
# system, but in an initial RAM disk environment.  Here they are
21
16
# protected from non-root access by the directory permissions, above.
22
17
#
23
 
mandos-client binary: setuid-binary usr/lib/mandos/plugins.d/mandos-client 4755 root/root
24
 
mandos-client binary: setuid-binary usr/lib/mandos/plugins.d/askpass-fifo 4755 root/root
25
 
mandos-client binary: setuid-binary usr/lib/mandos/plugins.d/splashy 4755 root/root
26
 
mandos-client binary: setuid-binary usr/lib/mandos/plugins.d/usplash 4755 root/root
 
18
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/mandos-client 4755 root/root
 
19
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/askpass-fifo 4755 root/root
 
20
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/splashy 4755 root/root
 
21
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/usplash 4755 root/root
 
22
mandos-client binary: setuid-binary usr/lib/*/mandos/plugins.d/plymouth 4755 root/root
27
23
 
28
24
# The directory /etc/mandos/plugins.d can be used by local system
29
25
# administrators to place plugins in, overriding and complementing
30
 
# /usr/lib/mandos/plugins.d, and must be likewise protected.
 
26
# /usr/lib/<arch>/mandos/plugins.d, and must be likewise protected.
31
27
#
32
28
mandos-client binary: non-standard-dir-perm etc/mandos/plugins.d/ 0700 != 0755