/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/mandos-client.postinst
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
18
 
. /usr/share/debconf/confmodule
19
 
 
20
18
set -e
21
19
 
22
20
# Update the initial RAM file system image
23
21
update_initramfs()
24
22
{
25
 
    if command -v update-initramfs >/dev/null; then
26
 
        update-initramfs -k all -u
27
 
    elif command -v dracut >/dev/null; then
28
 
        dracut_version="`dpkg-query --showformat='${Version}' --show dracut`"
29
 
        if dpkg --compare-versions "$dracut_version" lt 043-1 \
30
 
                && bash -c '. /etc/dracut.conf; . /etc/dracut.conf.d/*; [ "$hostonly" != yes ]'; then
31
 
            echo 'Dracut is not configured to use hostonly mode!' >&2
32
 
            return 1
33
 
        fi
34
 
        # Logic taken from dracut.postinst
35
 
        for kernel in /boot/vmlinu[xz]-*; do
36
 
            kversion="${kernel#/boot/vmlinu[xz]-}"
37
 
            # Dracut preserves old permissions of initramfs image
38
 
            # files, so we adjust permissions before creating new
39
 
            # initramfs image containing secret keys.
40
 
            if [ -e /boot/initrd.img-"$kversion" ]; then
41
 
                chmod go-r /boot/initrd.img-"$kversion"
42
 
            else
43
 
                # An initrd image has not yet been created for this
44
 
                # kernel, possibly because this new kernel is about to
45
 
                # be, but has not yet been, installed.  In this case,
46
 
                # we create an empty file with the right permissions
47
 
                # so that Dracut will preserve those permissions when
48
 
                # it creates the real, new initrd image for this
49
 
                # kernel.
50
 
                install --mode=u=rw /dev/null \
51
 
                        /boot/initrd.img-"$kversion"
52
 
            fi
53
 
            if [ "$kversion" != "*" ]; then
54
 
                /etc/kernel/postinst.d/dracut "$kversion"
55
 
            fi
56
 
        done
57
 
    fi
 
23
    update-initramfs -u -k all
58
24
    
59
25
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
60
26
        # Make old initrd.img files unreadable too, in case they were
84
50
    fi
85
51
}
86
52
 
87
 
# Create client key pairs
88
 
create_keys(){
89
 
    # If the OpenPGP key files do not exist, generate all keys using
90
 
    # mandos-keygen
91
 
    if ! [ -r /etc/keys/mandos/pubkey.txt \
92
 
              -a -r /etc/keys/mandos/seckey.txt ]; then
93
 
        mandos-keygen
94
 
        gpg-connect-agent KILLAGENT /bye || :
95
 
        return 0
96
 
    fi
97
 
 
98
 
    # Remove any bad TLS keys by 1.8.0-1
99
 
    if dpkg --compare-versions "$2" eq "1.8.0-1" \
100
 
       || dpkg --compare-versions "$2" eq "1.8.0-1~bpo9+1"; then
101
 
        # Is the key bad?
102
 
        if ! certtool --password='' \
103
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
104
 
             --outfile=/dev/null --pubkey-info --no-text \
105
 
             2>/dev/null; then
106
 
            shred --remove -- /etc/keys/mandos/tls-privkey.pem \
107
 
                  2>/dev/null || :
108
 
            rm --force -- /etc/keys/mandos/tls-pubkey.pem
109
 
        fi
110
 
    fi
111
 
 
112
 
    # If the TLS keys already exists, do nothing
113
 
    if [ -r /etc/keys/mandos/tls-privkey.pem \
114
 
            -a -r /etc/keys/mandos/tls-pubkey.pem ]; then
115
 
        return 0
116
 
    fi
117
 
 
118
 
    # Try to create the TLS keys
119
 
 
120
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-client-privkey.XXXXXXXXXX`"
121
 
 
122
 
    if certtool --generate-privkey --password='' \
123
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
124
 
                --key-type=ed25519 --pkcs8 --no-text 2>/dev/null; then
125
 
 
126
 
        local umask=$(umask)
127
 
        umask 077
128
 
        cp --archive "$TLS_PRIVKEYTMP" /etc/keys/mandos/tls-privkey.pem
129
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
130
 
 
131
 
        # First try certtool from GnuTLS
132
 
        if ! certtool --password='' \
133
 
             --load-privkey=/etc/keys/mandos/tls-privkey.pem \
134
 
             --outfile=/etc/keys/mandos/tls-pubkey.pem --pubkey-info \
135
 
             --no-text 2>/dev/null; then
136
 
            # Otherwise try OpenSSL
137
 
            if ! openssl pkey -in /etc/keys/mandos/tls-privkey.pem \
138
 
                 -out /etc/keys/mandos/tls-pubkey.pem -pubout; then
139
 
                rm --force /etc/keys/mandos/tls-pubkey.pem
140
 
                # None of the commands succeded; give up
141
 
                umask $umask
142
 
                return 1
143
 
            fi
144
 
        fi
145
 
        umask $umask
146
 
 
147
 
        key_id=$(mandos-keygen --passfile=/dev/null \
148
 
                     | grep --regexp="^key_id[ =]")
149
 
 
150
 
        db_version 2.0
151
 
        db_fset mandos-client/key_id seen false
152
 
        db_reset mandos-client/key_id
153
 
        db_subst mandos-client/key_id key_id $key_id
154
 
        db_input critical mandos-client/key_id || true
155
 
        db_go
156
 
        db_stop
157
 
    else
158
 
        shred --remove -- "$TLS_PRIVKEYTMP" 2>/dev/null || :
159
 
    fi
 
53
# Create client key pair
 
54
create_key(){
 
55
    if [ -r /etc/keys/mandos/pubkey.txt \
 
56
        -a -r /etc/keys/mandos/seckey.txt ]; then
 
57
        return 0
 
58
    fi
 
59
    mandos-keygen
160
60
}
161
61
 
162
62
create_dh_params(){
187
87
case "$1" in
188
88
    configure)
189
89
        add_mandos_user "$@"
190
 
        create_keys "$@"
 
90
        create_key "$@"
191
91
        create_dh_params "$@" || :
192
92
        update_initramfs "$@"
193
 
        if dpkg --compare-versions "$2" lt-nl "1.7.10-1"; then
194
 
            PLUGINHELPERDIR=/usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null)/mandos/plugin-helpers
195
 
            if ! dpkg-statoverride --list "$PLUGINHELPERDIR" \
196
 
                 >/dev/null 2>&1; then
197
 
                chmod u=rwx,go= -- "$PLUGINHELPERDIR"
198
 
            fi
199
 
            if ! dpkg-statoverride --list /etc/mandos/plugin-helpers \
200
 
                 >/dev/null 2>&1; then
201
 
                chmod u=rwx,go= -- /etc/mandos/plugin-helpers
202
 
            fi
203
 
        fi
204
93
        ;;
205
94
    abort-upgrade|abort-deconfigure|abort-remove)
206
95
        ;;