[server] Preserve any existing config files in /etc/fwknop/
[fwknop.git] / ChangeLog.git
1 commit 8fafd4b80bf215da311dc2b53f33b0e4cd269944 (HEAD, refs/heads/master)
2 Author: Michael Rash <mbr@cipherdyne.org>
3 Date:   Sun Aug 12 19:57:11 2012 -0400
4
5     [server] 'make install' permissions fix
6     
7     Set restrictive permissions on /etc/fwknop/ directory and /etc/fwknop/* files.
8     Current default permissions on /etc/fwknop/ and /etc/fwknop/* are too lax.
9
10  ChangeLog   |    2 ++
11  Makefile.am |    3 +++
12  todo.org    |    5 +++--
13  3 files changed, 8 insertions(+), 2 deletions(-)
14
15 commit 543de16613b89723ef1350df3e59df126586800e
16 Author: Michael Rash <mbr@cipherdyne.org>
17 Date:   Sun Aug 12 15:44:13 2012 -0400
18
19     [server] iptables 'comment' match check
20     
21     Implemented a new check to ensure that the iptables 'comment' match exists to
22     ensure the proper environment for fwknopd operations.  This check is controlled
23     by the new ENABLE_IPT_COMMENT_CHECK variable, and was suggested by Hank
24     Leininger.
25
26  CREDITS                   |    5 +++
27  ChangeLog                 |    4 +++
28  server/cmd_opts.h         |    1 +
29  server/config_init.c      |    6 ++++
30  server/fw_util.h          |    1 +
31  server/fw_util_iptables.c |   75 ++++++++++++++++++++++++++++++++++++++++++++-
32  server/fw_util_iptables.h |    1 +
33  server/fwknopd.conf       |    9 ++++++
34  server/fwknopd_common.h   |   26 ++++++++--------
35  todo.org                  |    5 ++-
36  10 files changed, 119 insertions(+), 14 deletions(-)
37
38 commit a087b11887ff4fffb4057198e559d448b016ac0e
39 Author: Michael Rash <mbr@cipherdyne.org>
40 Date:   Sun Aug 12 15:23:38 2012 -0400
41
42     todo update
43
44  todo.org |    8 ++++++++
45  1 file changed, 8 insertions(+)
46
47 commit a686d96d444ab739742e31967153b2bf02b62f0d
48 Author: Michael Rash <mbr@cipherdyne.org>
49 Date:   Sun Aug 12 09:29:51 2012 -0400
50
51     Added todo.org org mode file
52     
53     The todo.org mode file was built with vim and the VimOrganizer project:
54     
55     https://github.com/hsitz/VimOrganizer
56
57  Makefile.am |    1 +
58  todo.org    |   10 ++++++++++
59  2 files changed, 11 insertions(+)
60
61 commit dc23c640bb2f757a2121ea0a83d18648dcaec32f (tag: refs/tags/fwknop-2.0.2-pre2)
62 Author: Michael Rash <mbr@cipherdyne.org>
63 Date:   Sat Aug 11 09:33:54 2012 -0400
64
65     added gpg_no_pw_access.conf file for no password gpg tests
66
67  Makefile.am |    1 +
68  1 file changed, 1 insertion(+)
69
70 commit 72229b5f46084e9cfca36bb2e1ba23c4b7f09b66
71 Author: Michael Rash <mbr@cipherdyne.org>
72 Date:   Sat Aug 11 09:21:49 2012 -0400
73
74     bumped version to fwknop-2.0.2-pre2
75
76  VERSION      |    2 +-
77  configure.ac |    2 +-
78  2 files changed, 2 insertions(+), 2 deletions(-)
79
80 commit 27ccfe35d36c7ba1d94734fb21a46c77aaf30719 (refs/remotes/origin/master)
81 Author: Michael Rash <mbr@cipherdyne.org>
82 Date:   Fri Aug 10 21:52:09 2012 -0400
83
84     [server] Added GPG_ALLOW_NO_PW variable and associated test suite support
85     
86     For GPG mode, added a new access.conf variable "GPG_ALLOW_NO_PW" to make it
87     possible to leverage a server-side GPG key pair that has no associated
88     password.  This comes in handy when a system requires the user to leverage
89     gpg-agent / pinentry which can present a problem in automated environments as
90     required by the fwknopd server.  Now, it might seem like a problem to remove
91     the passphrase from a GPG key pair, but it's important to note that simply
92     doing this is little worse than storing the passphrase in the clear on disk
93     anyway in the access.conf file.  Further, this link help provides additional
94     detail:
95     
96     http://www.gnupg.org/faq/GnuPG-FAQ.html#how-can-i-use-gnupg-in-an-automated-environment
97
98  ChangeLog                              |   23 +++++
99  Makefile.am                            |   12 ++-
100  server/access.c                        |   13 +++
101  server/incoming_spa.c                  |    2 +-
102  test/conf/client-gpg-no-pw/pubring.gpg |  Bin 0 -> 2480 bytes
103  test/conf/client-gpg-no-pw/secring.gpg |  Bin 0 -> 1274 bytes
104  test/conf/client-gpg-no-pw/trustdb.gpg |  Bin 0 -> 1360 bytes
105  test/conf/gpg_no_pw_access.conf        |    7 ++
106  test/conf/server-gpg-no-pw/pubring.gpg |  Bin 0 -> 2480 bytes
107  test/conf/server-gpg-no-pw/secring.gpg |  Bin 0 -> 1276 bytes
108  test/conf/server-gpg-no-pw/trustdb.gpg |  Bin 0 -> 1360 bytes
109  test/test-fwknop.pl                    |  176 ++++++++++++++++++++++++++++++++
110  12 files changed, 229 insertions(+), 4 deletions(-)
111
112 commit 0af3bd0ee10768f6838aafe9fdc66187e5be9ee4
113 Author: Michael Rash <mbr@cipherdyne.org>
114 Date:   Fri Aug 10 21:48:02 2012 -0400
115
116     [server] Added FLUSH_IPFW_AT_INIT and FLUSH_IPFW_AT_EXIT
117     
118     Added FLUSH_IPFW_AT_INIT and FLUSH_IPFW_AT_EXIT for ipfw firewalls to emulate
119     the corresponding functionality that is implemented for iptables firewalls.
120     
121     Bug fix for ipfw firewalls to ensure that if the ipfw expire set is zero, then
122     do not disable this set whenever the FLUSH_IPFW* variables are enabled.
123     
124     These changes were suggested by Jonathan Schulz.
125
126  server/cmd_opts.h       |    2 +
127  server/config_init.c    |   26 +++++++++++-
128  server/fw_util_ipfw.c   |   46 ++++++++++++--------
129  server/fwknopd.conf     |  108 ++++++++++++++++++++++++++---------------------
130  server/fwknopd_common.h |    4 ++
131  5 files changed, 121 insertions(+), 65 deletions(-)
132
133 commit c6f3fde5371c1be48d8e1bc7e17dde89e19d02fc
134 Author: Michael Rash <mbr@cipherdyne.org>
135 Date:   Fri Aug 10 21:43:49 2012 -0400
136
137     bug fix to implement FLUSH_IPT_AT_INIT and FLUSH_IPT_AT_EXIT functionality
138
139  server/fw_util_iptables.c |    8 ++++++--
140  1 file changed, 6 insertions(+), 2 deletions(-)
141
142 commit fbdae500641b4ab46bc54dbf2e509eae2625dc44
143 Author: Michael Rash <mbr@cipherdyne.org>
144 Date:   Wed Aug 8 21:27:33 2012 -0400
145
146     added Geoff Carstairs for the FORCE_NAT idea
147
148  CREDITS |    7 +++++++
149  1 file changed, 7 insertions(+)
150
151 commit fd3044012843dfcaa9ab4f9030c70732f29a3b90
152 Author: Michael Rash <mbr@cipherdyne.org>
153 Date:   Sun Aug 5 14:07:42 2012 -0400
154
155     added Aldan Beaubien for reporting the Morpheus NULL IP problem
156
157  CREDITS |    5 +++++
158  1 file changed, 5 insertions(+)
159
160 commit e70739d2117a229e842d3a1bc43f1cf2a6fab46e
161 Author: Michael Rash <mbr@cipherdyne.org>
162 Date:   Sun Aug 5 13:05:55 2012 -0400
163
164     minor whitespace update
165
166  server/fw_util_ipfw.c |    6 +++---
167  1 file changed, 3 insertions(+), 3 deletions(-)
168
169 commit f6ac4484c95f443dfce9c6b7dafbff8126ade9ad
170 Author: Michael Rash <mbr@cipherdyne.org>
171 Date:   Sun Aug 5 13:05:30 2012 -0400
172
173     minor memset value update 0 -> 0x0 to conform to other memset() calls
174
175  client/http_resolve_host.c |    2 +-
176  1 file changed, 1 insertion(+), 1 deletion(-)
177
178 commit 4cde31584fb9afed499b5951b7ae88b7765808c3 (tag: refs/tags/fwknop-2.0.2-pre1)
179 Author: Michael Rash <mbr@cipherdyne.org>
180 Date:   Fri Aug 3 22:16:22 2012 -0400
181
182     bumped version to 2.0.2-pre1
183
184  VERSION                      |    2 +-
185  android/project/jni/config.h |    6 +++---
186  configure.ac                 |    2 +-
187  fwknop.spec                  |    2 +-
188  iphone/Classes/config.h      |    6 +++---
189  lib/fko.h                    |    2 +-
190  6 files changed, 10 insertions(+), 10 deletions(-)
191
192 commit 79a947603a7c2bc4636d33834ca0b9fdd033a894
193 Author: Michael Rash <mbr@cipherdyne.org>
194 Date:   Fri Aug 3 22:08:14 2012 -0400
195
196     added changes for the 2.0.2 release (so far)
197
198  ChangeLog |   38 ++++++++++++++++++++++++++++++++++++++
199  1 file changed, 38 insertions(+)
200
201 commit 29512bd8ec16f47db568694ec172075412ca115d
202 Author: Michael Rash <mbr@cipherdyne.org>
203 Date:   Fri Aug 3 21:49:03 2012 -0400
204
205     [client] -R http recv() read until close (Jonathan Schulz)
206     
207     Applied patch from Jonathan Schulz to ensure that the fwknop client reads all
208     data from a remote webserver when resolving the client IP address in -R mode.
209     Jonathan indicated that some webservers would transfer HTTP headers and data
210     separately, and a single recv() would therefore fail to get the necessary IP
211     information.
212
213  client/http_resolve_host.c |   13 ++++++++++++-
214  1 file changed, 12 insertions(+), 1 deletion(-)
215
216 commit 7c1db891061dba5cdc29fb8cfe0c88e0a4a408dd
217 Author: Michael Rash <mbr@cipherdyne.org>
218 Date:   Fri Aug 3 21:30:24 2012 -0400
219
220     minor white space fix tabs->spaces
221
222  client/http_resolve_host.c |   82 ++++++++++++++++++++++----------------------
223  1 file changed, 41 insertions(+), 41 deletions(-)
224
225 commit 7061b7bd3ecb1de6ae151b6b85af9251d46e32c6
226 Author: Michael Rash <mbr@cipherdyne.org>
227 Date:   Wed Aug 1 23:40:34 2012 -0400
228
229     added Jonathan Schulz
230
231  CREDITS |    4 ++++
232  1 file changed, 4 insertions(+)
233
234 commit 84e036f95b6b239c95c696b884c3989fc30af338
235 Author: Michael Rash <mbr@cipherdyne.org>
236 Date:   Wed Aug 1 23:27:34 2012 -0400
237
238     Change HTTP connection type to 'close' in -R mode
239     
240     Applied patch from Jonathan Schulz to change the HTTP connection type to
241     'close' for the client in -R mode.
242
243  client/http_resolve_host.c |    2 +-
244  client/spa_comm.c          |    4 ++--
245  2 files changed, 3 insertions(+), 3 deletions(-)
246
247 commit 5fd3343ca9ae8cce9e39d8a4ccb0efb41ae78128
248 Author: Michael Rash <mbr@cipherdyne.org>
249 Date:   Wed Aug 1 22:30:02 2012 -0400
250
251     added client IP resolution test with complete SPA->SSH cycle
252
253  test/test-fwknop.pl |   39 ++++++++++++++++++++++++++++++++++++---
254  1 file changed, 36 insertions(+), 3 deletions(-)
255
256 commit 016098a2543126f2fa01b3f4057646f0ad2842c5
257 Author: Michael Rash <mbr@cipherdyne.org>
258 Date:   Sun Jul 29 23:31:15 2012 -0400
259
260     Replay attack bug fix (encryption prefixes)
261     
262     Ensure that an attacker cannot force a replay attack by intercepting an
263     SPA packet and the replaying it with the base64 version of "Salted__"
264     (for Rindael) or the "hQ" prefix (for GnuPG).  This is an important fix.
265     The following comment was added into the fwknopd code:
266     
267     /* Ignore any SPA packets that contain the Rijndael or GnuPG prefixes
268      * since an attacker might have tacked them on to a previously seen
269      * SPA packet in an attempt to get past the replay check.  And, we're
270      * no worse off since a legitimate SPA packet that happens to include
271      * a prefix after the outer one is stripped off won't decrypt properly
272      * anyway because libfko would not add a new one.
273     */
274     
275     Conflicts:
276     
277         lib/cipher_funcs.h
278
279  lib/cipher_funcs.h    |    6 ------
280  lib/fko.h             |    8 ++++++++
281  server/incoming_spa.c |   14 ++++++++++++++
282  test/test-fwknop.pl   |   48 +++++++++++++++++++++++++++++++++++++++++++++---
283  4 files changed, 67 insertions(+), 9 deletions(-)
284
285 commit c0e53482fa766f1c89d18931e35ebca6297f8018
286 Author: Michael Rash <mbr@cipherdyne.org>
287 Date:   Sun Jul 29 21:31:44 2012 -0400
288
289     [libfko] minor memory leak fix for user detection (corner case)
290
291  lib/fko_user.c |    4 ++++
292  1 file changed, 4 insertions(+)
293
294 commit 060fbb607f25ea2cd511d4cd548dc419d8eb3884
295 Author: Michael Rash <mbr@cipherdyne.org>
296 Date:   Sat Jul 28 00:08:30 2012 -0400
297
298     [server] replay attack detection memory leak bug fix
299     
300     This commit fixes the following memory leak found with valgrind:
301     
302     44 bytes in 1 blocks are definitely lost in loss record 2 of 2
303        at 0x482BE68: malloc (in /usr/lib/valgrind/vgpreload_memcheck-x86-linux.so)
304        by 0x490EA50: strdup (strdup.c:43)
305        by 0x10CD69: incoming_spa (incoming_spa.c:162)
306        by 0x10E000: process_packet (process_packet.c:200)
307        by 0x4862E63: ??? (in /usr/lib/i386-linux-gnu/libpcap.so.1.1.1)
308        by 0x4865667: pcap_dispatch (in /usr/lib/i386-linux-gnu/libpcap.so.1.1.1)
309        by 0x10DABF: pcap_capture (pcap_capture.c:226)
310        by 0x10A798: main (fwknopd.c:299)
311
312  server/incoming_spa.c |    4 ++++
313  1 file changed, 4 insertions(+)