doc/example_silcd.conf.in

   1 #
   2 # silcd.conf
   3 #
   4 # Example configuration file.  Note that this attempts to present various
   5 # configuration possibilities and may not actually give any sensible
   6 # configuration.  For real life example see the examples/ directory.
   7 #
   8 # Most of the settings in this file are optional.  If some setting is
   9 # mandatory it is mentioned separately.  If some setting is omitted it means
  10 # that its builtin default value will be used.  Boolean values, that is
  11 # setting something on or off, is done by setting either "true" or "false"
  12 # value, respectively.
  13 #
  14 # The ServerInfo section is mandatory section.  Other sections are optional.
  15 # However, if General section is defined it must be defined before the
  16 # ConnectionParams sections.  On the other hand, the ConnectionParams section
  17 # must be defined before Client, ServerConnection or RouterConnection
  18 # sections.  Other sections can be in free order.
  19 #
  20
  21 #
  22 # Include global algorithms from the "silcalgs.conf" file. This file
  23 # defines ciphers, hash functions, HMACs and PKCS algorithms that can
  24 # be used.
  25 #
  26 Include "@ETCDIR@/silcalgs.conf";
  27
  28 #
  29 # General configuration options
  30 #
  31 # These defines the default behaviour of the server.  Most of these values
  32 # can be overridden with ConnectionParams, which can be defined independently
  33 # for different connections.
  34 #
  35 General {
  36         # This is the default path where to search modules.  If omitted
  37         # built-in modules will be used.  Built-in modules will also be
  38         # used if a module file cannot be located.
  39         module_path = "@MODULESDIR@";
  40
  41         # If both passphrase and public key authentication is set for a
  42         # connection the public key authentication is the preferred one
  43         # to use.  Set this to `true' to prefer passphrase authentication
  44         # over public key authentication in these cases.
  45         #prefer_passphrase_auth = true;
  46
  47         # Set this to true if the server should require fully qualified
  48         # domain names (FQDN) for incoming connections. If true, a host
  49         # without FQDN cannot connect to the server.
  50         #require_reverse_lookup = true;
  51
  52         # Maximum number of incoming connections allowed to this server.
  53         # If more attempt to connect they will be refused.
  54         connections_max = 1000;
  55
  56         # Maximum number of incoming connections allowed per single host.
  57         # For example, if this is one (1) it means a host can link only
  58         # once to the server. Attempting to connect more than once would be
  59         # refused. This can be overridden with ConnectionParams.
  60         #connections_max_per_host = 10;
  61
  62         # Required version of the remote.  If these are specified then the
  63         # remote must be of at least this version, or newer.  If older then
  64         # the connection will not be allowed.
  65         #
  66         # version_protocol         - SILC protocol version ("major.minor")
  67         # version_software         - software version ("major.minor")
  68         # version_software_vendor  - vendor specific version extension
  69         #
  70         # The version_software_vendor may be for example a string or a build
  71         # number of the software.  The string can be a regex string to match
  72         # more widely.  Usually the vendor version checking is not necessary
  73         # and can be omitted.  These can be overridden with ConnectionParams.
  74         #version_protocol = "1.1";
  75         #version_software = "1.3";
  76         #version_software_vendor = "SomeVendor";
  77
  78         # Default keepalive frequency (seconds). This can be overridden
  79         # with ConnectionParams.
  80         keepalive_secs = 300;
  81
  82         # Default reconnection parameters defines how the server reconnect
  83         # to the remote if the connection was lost.  The reconnection phase
  84         # use so called exponential backoff algorithm;  The reconnect
  85         # interval grows when reconnect count grows.  Next example will
  86         # attempt to reconnect after 10 seconds of disconnect, and the
  87         # interval grows up to 600 seconds or until 7 times was attempted
  88         # to reconnect.  These settings has effect only when connecting
  89         # as initiator.
  90         #
  91         # reconnect_count        - how many times reconnect is attempted
  92         # reconnect_interval     - how often reconnect it performed (seconds)
  93         # reconnect_interval_max - maximum interval for reconnect, the
  94         #                          server never waits longer than this to
  95         #                          reconnect (seconds).
  96         # reconnect_keep_trying  - whether to keep trying even after
  97         #                          reconnect_count is reached (the interval
  98         #                          will be reconnect_interval_max).
  99         #
 100         # These can be overridden with ConnectionParams.
 101         reconnect_count = 7;
 102         reconnect_interval = 10;
 103         reconnect_interval_max = 600;
 104         reconnect_keep_trying = true;
 105
 106         # Key exchange protocol rekey interval (seconds). How often to
 107         # regenerate the session key with the remote. Initiator will perform
 108         # the rekey and this setting affects only when connecting as initiator.
 109         # This can be overridden with ConnectionParams.
 110         #key_exchange_rekey = 3600;
 111
 112         # Key exchange with Perfect Forward Secrecy (PFS). This will perform
 113         # the rekey process with PFS, making the new key more secure since it
 114         # is not dependent in any way of the old key. This will make the rekey
 115         # process somewhat slower, than without PFS.  This can be overridden
 116         # with ConnectionParams.
 117         #key_exchange_pfs = true;
 118
 119         # Key exchange timeout (seconds). If the key exchange protocol is not
 120         # finished in this time period the remote connection will be closed.
 121         #key_exchange_timeout = 60;
 122
 123         # Connection authentication timeout (seconds). If the connection
 124         # authentication protocol is not finished in this time period the
 125         # remote connection will be closed.
 126         #conn_auth_timeout = 60;
 127
 128         # Channel key rekey interval (seconds). How often channel key is
 129         # regenerated. Note that channel key is regenerated also always when
 130         # someone joins or leaves the channel.
 131         #channel_rekey_secs = 3600;
 132
 133 };
 134
 135 #
 136 # Server information
 137 #
 138 ServerInfo {
 139         #
 140         # Server FQDN and IP address
 141         #
 142         hostname = "lassi.kuo.fi.ssh.com";
 143         ip = "10.2.1.6";
 144         port = 706;
 145
 146         #
 147         # ServerType field specifies the purpose of this server
 148         # This is only a descriptive field.
 149         #
 150         ServerType = "Test Server";
 151
 152         #
 153         # Geographic location
 154         #
 155         Location = "Kuopio, Finland";
 156
 157         #
 158         # Full admin name
 159         #
 160         Admin = "Foo T. Bar";
 161
 162         #
 163         # Admin's email address
 164         #
 165         AdminEmail = "foo-admin@bar.com";
 166
 167         #
 168         # Run SILC server as specific user and group. The server must be
 169         # initially run as root.
 170         #
 171         User = "nobody";
 172         Group = "nobody";
 173
 174         #
 175         # Public and private keys
 176         #
 177         PublicKey = "@ETCDIR@/silcd.pub";
 178         PrivateKey = "@ETCDIR@/silcd.prv";
 179
 180         #
 181         # Motd file
 182         #
 183         # Specifies the text file displayed on client connection
 184         #
 185         #MotdFile = "@ETCDIR@/motd.txt";
 186
 187         #
 188         # Pid file
 189         #
 190         PidFile = "@PIDFILE@";
 191 };
 192
 193 #
 194 # Log files.
 195 #
 196 # This section is used to set various logging files, their paths, maximum
 197 # sizes and logging options.
 198 #
 199 # There are only four defined channels allowed for defining (see below).
 200 # The log channels have an importance value, and most important channels
 201 # are redirected on the less important ones, thus setting a valid logging
 202 # file for "Info" will ensure logging for all channels, while setting
 203 # logging file for "Errors" will ensure logging for channels "Errors"
 204 # and "Fatals"
 205 #
 206 Logging {
 207         # If QuickLogs is true, then the logging files will be updated
 208         # real-time. This causes a bit more CPU and HDD activity, but
 209         # reduces memory usage.  By default it is false and log files are
 210         # written with FlushDelay timeout.
 211         #
 212         #QuickLogs = true;
 213
 214         # FlushDelay tells log files update delay (seconds) in case you
 215         # have chosen buffering output.  This setting has effect only if
 216         # the QuickLogs is false.
 217         #
 218         FlushDelay = 180;
 219
 220         # Informational messages
 221         Info {
 222                 File = "@LOGSDIR@/silcd.log";
 223                 Size = "50k";
 224         };
 225
 226         # Warning messages
 227         Warnings {
 228                 File = "@LOGSDIR@/silcd_warnings.log";
 229                 Size = "50k";
 230         };
 231
 232         # Error messages
 233         Errors {
 234                 File = "@LOGSDIR@/silcd_errors.log";
 235                 Size = "50k";
 236         };
 237
 238         # Fatal messages
 239         Fatals {
 240                 File = "@LOGSDIR@/silcd_fatals.log";
 241                 Size = "50k";
 242         };
 243 };
 244
 245 #
 246 # Connection Parameters
 247 #
 248 # This section defined connection parameters.  It is possible to use
 249 # specific parameters in different connections, and to define different
 250 # parameters to different connections.  The parameters can define how the
 251 # connection is handled and how the session is managed.  If connection
 252 # parameters are not used in connections the default values will apply
 253 # (or values defined in General section).  You can have multiple
 254 # ConnectionParams blocks defined.
 255 #
 256 ConnectionParams {
 257         # unique name. The name is used to reference to this parameter
 258         # block from the connections. This field is mandatory.
 259         name = "normal";
 260
 261         # Maximum number of connections allowed. More connections will be
 262         # refused. This can be used for example to limit number of clients.
 263         # Note that this never can be larger than the connections_max
 264         # specified in General section.
 265         connections_max = 200;
 266
 267         # Maximum number of connections allowed per host. For example, if
 268         # this is one (1) it means a host can link only once to the server.
 269         # Attempting to link more than once would be refused.
 270         #
 271         # If this connection parameters block is used with incoming server
 272         # connections it is recommended that this value is set to one (1).
 273         connections_max_per_host = 10;
 274
 275         # Required version of the remote.  If these are specified then the
 276         # remote must be of at least this version, or newer.  If older then
 277         # the connection will not be allowed.
 278         #
 279         # version_protocol         - SILC protocol version
 280         # version_software         - software version
 281         # version_software_vendor  - vendor specific version extension
 282         #
 283         # The version_software_vendor may be for example a string or a build
 284         # number of the software.  The string can be a regex string to match
 285         # more widely.  Usually the vendor version checking is not necessary
 286         # and can be omitted.
 287         #version_protocol = "1.1";
 288         #version_software = "1.3";
 289         #version_software_vendor = "SomeVendor";
 290
 291         # Keepalive frequency (seconds).
 292         keepalive_secs = 300;
 293
 294         # Reconnection parameters defines how the server reconnects to
 295         # the remote if the connection was lost.  The reconnection phase
 296         # use so called exponential backoff algorithm;  The reconnect
 297         # interval grows when reconnect count grows.  Next example will
 298         # attempt to reconnect after 10 seconds of disconnect, and the
 299         # interval grows up to 600 seconds or until 7 times was attempted
 300         # to reconnect.  These settings has effect only when connecting
 301         # as initiator.
 302         #
 303         # reconnect_count        - how many times reconnect is attempted
 304         # reconnect_interval     - how often reconnect it performed (seconds)
 305         # reconnect_interval_max - maximum interval for reconnect, the
 306         #                          server never waits longer than this to
 307         #                          reconnect (seconds).
 308         # reconnect_keep_trying  - whether to keep trying even after
 309         #                          reconnect_count is reached (the interval
 310         #                          will be reconnect_interval_max).
 311         reconnect_count = 7;
 312         reconnect_interval = 10;
 313         reconnect_interval_max = 600;
 314         reconnect_keep_trying = true;
 315
 316         # Key exchange protocol rekey interval (seconds). How often to
 317         # regenerate the session key with the remote. Initiator will perform
 318         # the rekey and this setting affects only when connecting as initiator.
 319         #key_exchange_rekey = 3600;
 320
 321         # Key exchange with Perfect Forward Secrecy (PFS). This will perform
 322         # the rekey process with PFS, making the new key more secure since it
 323         # is not dependent in any way of the old key. This will make the rekey
 324         # process somewhat slower, than without PFS.
 325         #key_exchange_pfs = true;
 326
 327         #TODO:
 328         #connections_interval - incoming connection interval limit ?
 329 };
 330
 331 #
 332 # Configured client connections.
 333 #
 334 # The "Host" defines the incoming IP address or hostname of the client.
 335 # If it is omitted all hosts will match this client connection.  The
 336 # "Params" is optional and can be used to set specific connection parameters
 337 # for this connection.
 338 #
 339 # The authentication data is specified by Passphrase and/or PublicKey.
 340 # If both are provided then both password and public key based authentication
 341 # is allowed.  If the Publickey is used it includes the file path to the
 342 # public key file.  If none of them is provided then authentication is not
 343 # required.  The PublicKey can be set multiple times to set multiple
 344 # public keys for one connection.
 345 #
 346 # Next example connection will match to all incoming client connections,
 347 # and no authentication is required.
 348 #
 349 Client {
 350         #Host = "10.1.*";
 351         #Passphrase = "secret";
 352         #PublicKey = "/path/to/the/user_my.key";
 353         #PublicKey = "/path/to/the/user_221.key";
 354         #PublicKey = "/path/to/the/user_313.key";
 355         Params = "normal";
 356 };
 357
 358 #
 359 # Configured server administrator connections
 360 #
 361 # The fields "Host", "User", and "Nick", are optional but you are encouraged
 362 # in using them to better identify your admins.
 363 #
 364 # The authentication data is specified by Passphrase and/or PublicKey.
 365 # If both are provided then both password and public key based authentication
 366 # is allowed.  If the PublicKey is used it includes the file path to the
 367 # public key file.  If none of them is provided then authentication is not
 368 # required.
 369 #
 370 Admin {
 371         Host = "10.2.1.199";
 372         User = "priikone";
 373         Nick = "pekka";
 374         Passphrase = "verysecret";
 375         # PublicKey = "/path/to/the/public.key";
 376 };
 377
 378 #
 379 # Configured server connections.
 380 #
 381 # If server connections are configured it means that this server is
 382 # router server.  Normal servers must not configure server connections.
 383 # Thus, if this server is not router do not configure this section.  If
 384 # your server is router, this must be configured.
 385 #
 386 # The authentication data is specified by Passphrase and/or PublicKey.
 387 # If both are provided then both password and public key based authentication
 388 # is allowed.  If the PublicKey is used it includes the file path to the
 389 # public key file.  If none of them is provided then authentication is not
 390 # required.
 391 #
 392 # If the connection is backup connection then set the "Backup" option
 393 # to true. For normal connections set it false. If it is set to true then
 394 # this server will be backup router.
 395 #
 396 ServerConnection {
 397         Host = "10.2.1.7";
 398         Passphrase = "verysecret";
 399         #PublicKey = "/path/to/the/public.key";
 400         Params = "normal";
 401         Backup = false;
 402 };
 403
 404 #
 405 # Configured router connections
 406 #
 407 # For normal servers only one entry maybe configured to this section.  It
 408 # must be the router this server will be connected to.  For router servers,
 409 # this section includes all configured router connections.  The first
 410 # configured connection is the primary route.
 411 #
 412 # The authentication data is specified by Passphrase and/or PublicKey.
 413 # If both are provided then both password and public key based authentication
 414 # is allowed.  If the PublicKey is used it includes the file path to the
 415 # public key file.  If none of them is provided then authentication is not
 416 # required.
 417 #
 418 # If you are the initiator of the connection then set the "Initiator"
 419 # option to true.  If you are the responder of the connection (waiting for
 420 # incoming connection) then set it to false.
 421 #
 422 # If the connection is backup router connection then set the "BackupHost"
 423 # option to the IP address of the router that the backup router will
 424 # replace if it becomes unavailable.  Set also the router's port to the
 425 # "BackupPort" option.  For normal connection leave both commented. If this
 426 # backup router is in our cell then set the "BackupLocal" option to true.
 427 # If the backup router is in other cell then set it to false.
 428 #
 429 RouterConnection {
 430         Host = "10.2.1.100";
 431         Port = 706;
 432         Passphrase = "verysecret";
 433         #PublicKey = "/path/to/the/public.key";
 434         Params = "normal";
 435         Initiator = true;
 436         #BackupHost = "10.2.1.6";
 437         #BackupPort = 706;
 438         #BackupLocal = true;
 439 };
 440
 441 #
 442 # Denied connections
 443 #
 444 # These connections are denied to connect to our server.
 445 #
 446 # The "Reason" field is mandatory, while the "Host" field can be omitted to
 447 # match everything.
 448 #
 449 #Deny {
 450 #       Host = "10.2.1.99";
 451 #       Reason = "Go away spammer";
 452 #};
 453 #Deny {
 454 #       Host = "10.3.*";
 455 #       Reason = "You are not welcome.";
 456 #};