/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.postinst

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/bash -e
 
1
#!/bin/sh
2
2
# This script can be called in the following ways:
3
3
#
4
4
# After the package was installed:
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
18
 
. /usr/share/debconf/confmodule
 
18
set -e
19
19
 
20
 
# Update the initial RAM filesystem image
 
20
# Update the initial RAM file system image
21
21
update_initramfs()
22
22
{
23
 
        if type update-initramfs >/dev/null 2>&1; then
24
 
                update-initramfs -u
25
 
        fi
 
23
    update-initramfs -u -k all
 
24
    
 
25
    if dpkg --compare-versions "$2" lt-nl "1.0.10-1"; then
 
26
        # Make old initrd.img files unreadable too, in case they were
 
27
        # created with mandos-client 1.0.8 or older.
 
28
        find /boot -maxdepth 1 -type f -name "initrd.img-*.bak" \
 
29
            -print0 | xargs --null --no-run-if-empty chmod o-r
 
30
    fi
26
31
}
27
32
 
28
33
# Add user and group
29
34
add_mandos_user(){
30
 
    if ! getent passwd mandos >/dev/null; then
31
 
        adduser --disabled-password  --quiet --system \
32
 
            --home /var/run/mandos --no-create-home \
33
 
            --gecos "Mandos password daemon" --group mandos
 
35
    # Rename old "mandos" user and group
 
36
    if dpkg --compare-versions "$2" lt "1.0.3-1"; then
 
37
        case "`getent passwd mandos`" in
 
38
            *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
 
39
                usermod --login _mandos mandos
 
40
                groupmod --new-name _mandos mandos
 
41
                return
 
42
                ;;
 
43
        esac
 
44
    fi
 
45
    # Create new user and group
 
46
    if ! getent passwd _mandos >/dev/null; then
 
47
        adduser --system --force-badname --quiet --home /nonexistent \
 
48
            --no-create-home --group --disabled-password \
 
49
            --gecos "Mandos password system" _mandos
34
50
    fi
35
51
}
36
52
 
37
53
# Create client key pair
38
54
create_key(){
39
 
        if type mandos-keygen >/dev/null 2>&1; then
40
 
            mandos-keygen
 
55
    if [ -r /etc/keys/mandos/pubkey.txt \
 
56
        -a -r /etc/keys/mandos/seckey.txt ]; then
 
57
        return 0
 
58
    fi
 
59
    mandos-keygen
 
60
}
 
61
 
 
62
create_dh_params(){
 
63
    if [ -r /etc/keys/mandos/dhparams.pem ]; then
 
64
        return 0
 
65
    fi
 
66
    # Create a Diffe-Hellman parameters file
 
67
    DHFILE="`mktemp -t mandos-client-dh-parameters.XXXXXXXXXX.pem`"
 
68
    # First try certtool from GnuTLS
 
69
    if ! certtool --generate-dh-params --sec-param high \
 
70
         --outfile "$DHFILE"; then
 
71
        # Otherwise try OpenSSL
 
72
        if ! openssl genpkey -genparam -algorithm DH -out "$DHFILE" \
 
73
             -pkeyopt dh_paramgen_prime_len:3072; then
 
74
            # None of the commands succeded; give up
 
75
            rm -- "$DHFILE"
 
76
            return 1
41
77
        fi
 
78
    fi
 
79
    sed --in-place --expression='0,/^-----BEGIN DH PARAMETERS-----$/d' \
 
80
        "$DHFILE"
 
81
    sed --in-place --expression='1i-----BEGIN DH PARAMETERS-----' \
 
82
            "$DHFILE"
 
83
    cp --archive "$DHFILE" /etc/keys/mandos/dhparams.pem
 
84
    rm -- "$DHFILE"
42
85
}
43
86
 
44
87
case "$1" in
45
88
    configure)
46
 
        add_mandos_user
47
 
        create_key
48
 
        update_initramfs
 
89
        add_mandos_user "$@"
 
90
        create_key "$@"
 
91
        create_dh_params "$@" || :
 
92
        update_initramfs "$@"
49
93
        ;;
50
94
    abort-upgrade|abort-deconfigure|abort-remove)
51
95
        ;;
52
96
 
53
97
    *)
54
 
        echo "$0 called with unknown argument \`$1'" 1>&2
 
98
        echo "$0 called with unknown argument '$1'" 1>&2
55
99
        exit 1
56
100
        ;;
57
101
esac