/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to dracut-module/ask-password-mandos.service

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
dracut-module/ask-password-mandos.service
1
 
# -*- systemd -*-
2
 
3
 
# Copyright © 2019-2020 Teddy Hogeborn
4
 
# Copyright © 2019-2020 Björn Påhlsson
5
 
6
 
# This file is part of Mandos.
7
 
8
 
# Mandos is free software: you can redistribute it and/or modify it
9
 
# under the terms of the GNU General Public License as published by
10
 
# the Free Software Foundation, either version 3 of the License, or
11
 
# (at your option) any later version.
12
 
13
 
#     Mandos is distributed in the hope that it will be useful, but
14
 
#     WITHOUT ANY WARRANTY; without even the implied warranty of
15
 
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16
 
#     GNU General Public License for more details.
17
 
18
 
# You should have received a copy of the GNU General Public License
19
 
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
20
 
21
 
# Contact the authors at <mandos@recompile.se>.
22
 
23
 
# This systemd.service(5) unit file will start the Mandos
24
 
# password-agent(8mandos) program, which will in turn run
25
 
# mandos-client(8mandos) to get a password and send the password to
26
 
# any and all active password questions using the systemd “Password
27
 
# Agent” mechanism.
28
 
 
29
 
# This file should be installed in the root file system as
30
 
# "/usr/lib/dracut/modules.d/90mandos/ask-password-mandos.service" and
31
 
# will be installed in the initramfs image file as
32
 
# "/lib/systemd/system/ask-password-mandos.service" by dracut when
33
 
# dracut creates the initramfs image file.
34
 
 
35
 
[Unit]
36
 
Description=Forward Password Requests to remote Mandos server
37
 
Documentation=man:intro(8mandos) man:password-agent(8mandos) man:mandos-client(8mandos)
38
 
DefaultDependencies=no
39
 
Conflicts=shutdown.target
40
 
Before=shutdown.target
41
 
ConditionKernelCommandLine=!mandos=off
42
 
ConditionFileIsExecutable=/lib/mandos/password-agent
43
 
ConditionFileIsExecutable=/lib/mandos/mandos-client
44
 
ConditionFileNotEmpty=/etc/mandos/keys/pubkey.txt
45
 
ConditionFileNotEmpty=/etc/mandos/keys/seckey.txt
46
 
ConditionFileNotEmpty=/etc/mandos/keys/tls-pubkey.pem
47
 
ConditionFileNotEmpty=/etc/mandos/keys/tls-privkey.pem
48
 
ConditionPathIsMountPoint=!/sysroot
49
 
 
50
 
[Service]
51
 
ExecStart=/lib/mandos/password-agent $PASSWORD_AGENT_OPTIONS -- /lib/mandos/mandos-client --pubkey=/etc/mandos/keys/pubkey.txt --seckey=/etc/mandos/keys/seckey.txt --tls-pubkey=/etc/mandos/keys/tls-pubkey.pem --tls-privkey=/etc/mandos/keys/tls-privkey.pem $MANDOS_CLIENT_OPTIONS