/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-options.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
mandos-options.xml
49
49
  <para id="priority">
50
50
    GnuTLS priority string for the <acronym>TLS</acronym> handshake.
51
51
    The default is <quote><literal
52
 
    >SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP</literal></quote>.  See
53
 
    <citerefentry><refentrytitle>gnutls_priority_init</refentrytitle>
 
52
    >SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA</literal>
 
53
    <literal>:+SIGN-DSA-SHA256</literal></quote>.
 
54
    See <citerefentry><refentrytitle
 
55
    >gnutls_priority_init</refentrytitle>
54
56
    <manvolnum>3</manvolnum></citerefentry> for the syntax.
55
57
    <emphasis>Warning</emphasis>: changing this may make the
56
58
    <acronym>TLS</acronym> handshake fail, making server-client
57
 
    communication impossible.
 
59
    communication impossible.  Changing this option may also make the
 
60
    network traffic decryptable by an attacker.
58
61
  </para>
59
62
  
60
63
  <para id="servicename">
86
89
    advanced users should consider changing this option</emphasis>.
87
90
  </para>
88
91
  
 
92
  <para id="restore">
 
93
    This option controls whether the server will restore its state
 
94
    from the last time it ran.  Default is to restore last state.
 
95
  </para>
 
96
  
 
97
  <para id="statedir">
 
98
    Directory to save (and restore) state in.  Default is
 
99
    <quote><filename
 
100
    class="directory">/var/lib/mandos</filename></quote>.
 
101
  </para>
 
102
  
 
103
  <para id="socket">
 
104
    If this option is used, the server will not create a new network
 
105
    socket, but will instead use the supplied file descriptor.  By
 
106
    default, the server will create a new network socket.
 
107
  </para>
 
108
  
 
109
  <para id="foreground">
 
110
    This option will make the server run in the foreground and not
 
111
    write a PID file.  The default is to <emphasis>not</emphasis> run
 
112
    in the foreground, except in <option>debug</option> mode, which
 
113
    implies this option.
 
114
  </para>
 
115
  
 
116
  <para id="zeroconf">
 
117
    This option controls whether the server will announce its
 
118
    existence using Zeroconf.  Default is to use Zeroconf.  If
 
119
    Zeroconf is not used, a <option>port</option> number or a
 
120
    <option>socket</option> is required.
 
121
  </para>
 
122
  
89
123
</section>