/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.conf

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
 
1
# This file must have exactly one section named "DEFAULT".
 
2
[DEFAULT]
 
3
 
 
4
# These are the default values for the server, uncomment and change
 
5
# them if needed.
 
6
 
 
7
# If "interface" is set, the server will only listen to a specific
 
8
# network interface.
 
9
;interface = 
 
10
 
 
11
# If "address" is set, the server will only listen to a specific
 
12
# address.  This must currently be an IPv6 address; an IPv4 address
 
13
# can be specified using the "::FFFF:192.0.2.3" syntax.  Also, if this
 
14
# is a link-local address, an interface should be set above.
 
15
;address =
 
16
 
 
17
# If "port" is set, the server to bind to that port. By default, the
 
18
# server will listen to an arbitrary port.
 
19
;port = 
 
20
 
 
21
# If "debug" is true, the server will run in the foreground and print
 
22
# a lot of debugging information.
 
23
;debug = False
 
24
 
 
25
# GnuTLS priority for the TLS handshake.  See gnutls_priority_init(3).
 
26
;priority = SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:+SIGN-RSA-SHA224:+SIGN-RSA-RMD160
 
27
 
 
28
# Zeroconf service name.  You need to change this if you for some
 
29
# reason want to run more than one server on the same *host*.
 
30
# If there are name collisions on the same *network*, the server will
 
31
# rename itself to "Mandos #2", etc.
 
32
;servicename = Mandos
 
33
 
 
34
# Whether to provide a D-Bus system bus interface or not
 
35
;use_dbus = True
 
36
 
 
37
# Whether to use IPv6.  (Changing this is NOT recommended.)
 
38
;use_ipv6 = True
 
39
 
 
40
# Whether to restore saved state on startup
 
41
;restore = True
 
42
 
 
43
# The directory where state is saved
 
44
;statedir = /var/lib/mandos
 
45
 
 
46
# Whether to run in the foreground
 
47
;foreground = False
 
48
 
 
49
# File descriptor number to use for network socket
 
50
;socket = 
 
51
 
 
52
# Whether to use ZeroConf; if false, requires port or socket
 
53
;zeroconf = True