INSTALL: List the changed SSL CipherList default value.
[ngircd-alex.git] / INSTALL
1
2                      ngIRCd - Next Generation IRC Server
3                            http://ngircd.barton.de/
4
5                (c)2001-2014 Alexander Barton and Contributors.
6                ngIRCd is free software and published under the
7                    terms of the GNU General Public License.
8
9                                 -- INSTALL --
10
11
12 I. Upgrade Information
13 ~~~~~~~~~~~~~~~~~~~~~~
14
15 Differences to version 22.x
16
17 - The default value of the SSL "CipherList" variable has been changed to
18   "HIGH:!aNULL:@STRENGTH:!SSLv3" (OpenSSL) and "SECURE128:-VERS-SSL3.0"
19   (GnuTLS) to disable the old SSLv3 protocol by default.
20   To enable connections of clients still requiring the weak SSLv3 protocol,
21   the "CipherList" must be set to its old value (not recommended!), which
22   was "HIGH:!aNULL:@STRENGTH" (OpenSSL) and "SECURE128" (GnuTLS), see below.
23
24 Differences to version 20.x
25
26 - Starting with ngIRCd 21, the ciphers used by SSL are configurable and
27   default to "HIGH:!aNULL:@STRENGTH" (OpenSSL) or "SECURE128" (GnuTLS).
28   Previous version were using the OpenSSL or GnuTLS defaults, "DEFAULT"
29   and "NORMAL" respectively.
30
31 - When adding GLINE's or KLINE's to ngIRCd 21 (or newer), all clients matching
32   the new mask will be KILL'ed. This was not the case with earlier versions
33   that only added the mask but didn't kill already connected users.
34
35 Differences to version 19.x
36
37 - Starting with ngIRCd 20, users can "cloak" their hostname only when the
38   configuration variable "CloakHostModeX" (introduced in 19.2) is set.
39   Otherwise, only IRC operators, other servers, and services are allowed to
40   set mode +x. This prevents regular users from changing their hostmask to
41   the name of the IRC server itself, which confused quite a few people ;-)
42
43 Differences to version 17
44
45 - Support for ZeroConf/Bonjour/Rendezvous service registration has been
46   removed. The configuration option "NoZeroconf" is no longer available.
47
48 - The structure of ngircd.conf has been cleaned up and three new configuration
49   sections have been introduced: [Limits], [Options], and [SSL].
50   Lots of configuration variables stored in the [Global] section are now
51   deprecated there and should be stored in one of these new sections (but
52   still work in [Global]):
53     "AllowRemoteOper"    -> [Options]
54     "ChrootDir"          -> [Options]
55     "ConnectIPv4"        -> [Options]
56     "ConnectIPv6"        -> [Options]
57     "ConnectRetry"       -> [Limits]
58     "MaxConnections"     -> [Limits]
59     "MaxConnectionsIP"   -> [Limits]
60     "MaxJoins"           -> [Limits]
61     "MaxNickLength"      -> [Limits]
62     "NoDNS"              -> [Options], and renamed to "DNS"
63     "NoIdent"            -> [Options], and renamed to "Ident"
64     "NoPAM"              -> [Options], and renamed to "PAM"
65     "OperCanUseMode"     -> [Options]
66     "OperServerMode"     -> [Options]
67     "PingTimeout"        -> [Limits]
68     "PongTimeout"        -> [Limits]
69     "PredefChannelsOnly" -> [Options]
70     "SSLCertFile"        -> [SSL], and renamed to "CertFile"
71     "SSLDHFile"          -> [SSL], and renamed to "DHFile"
72     "SSLKeyFile"         -> [SSL], and renamed to "KeyFile"
73     "SSLKeyFilePassword" -> [SSL], and renamed to "KeyFilePassword"
74     "SSLPorts"           -> [SSL], and renamed to "Ports"
75     "SyslogFacility"     -> [Options]
76     "WebircPassword"     -> [Options]
77   You should adjust your ngircd.conf and run "ngircd --configtest" to make
78   sure that your settings are correct and up to date!
79
80 Differences to version 16
81
82 - Changes to the "MotdFile" specified in ngircd.conf now require a ngircd
83   configuration reload to take effect (HUP signal, REHASH command).
84
85 Differences to version 0.9.x
86
87 - The option of the configure script to enable support for Zeroconf/Bonjour/
88   Rendezvous/WhateverItIsNamedToday has been renamed:
89     --with-rendezvous  ->  --with-zeroconf
90
91 Differences to version 0.8.x
92
93 - The maximum length of passwords has been raised to 20 characters (instead
94   of 8 characters). If your passwords are longer than 8 characters then they
95   are cut at an other position now.
96
97 Differences to version 0.6.x
98
99 - Some options of the configure script have been renamed:
100     --disable-syslog  ->  --without-syslog
101     --disable-zlib    ->  --without-zlib
102   Please call "./configure --help" to review the full list of options!
103
104 Differences to version 0.5.x
105
106 - Starting with version 0.6.0, other servers are identified using asynchronous
107   passwords: therefore the variable "Password" in [Server]-sections has been
108   replaced by "MyPassword" and "PeerPassword".
109
110 - New configuration variables, section [Global]: MaxConnections, MaxJoins
111   (see example configuration file "doc/sample-ngircd.conf"!).
112
113
114 II. Standard Installation
115 ~~~~~~~~~~~~~~~~~~~~~~~~~
116
117 ngIRCd is developed for UNIX-based systems, which means that the installation
118 on modern UNIX-like systems that are supported by GNU autoconf and GNU
119 automake ("configure") should be no problem.
120
121 The normal installation procedure after getting (and expanding) the source
122 files (using a distribution archive or GIT) is as following:
123
124   0) Satisfy prerequisites
125   1) ./autogen.sh  [only necessary when using GIT]
126   2) ./configure
127   3) make
128   4) make install
129
130 (Please see details below!)
131
132 Now the newly compiled executable "ngircd" is installed in its standard
133 location, /usr/local/sbin/.
134
135 The next step is to configure and afterwards starting the daemon. Please
136 have a look at the ngircd(8) and ngircd.conf(5) manual pages for details
137 and all possible options -- and don't forget to run "ngircd --configtest"
138 to validate your configuration file!
139
140 If no previous version of the configuration file exists (the standard name
141 is /usr/local/etc/ngircd.conf), a sample configuration file containing all
142 possible options will be installed there. You'll find its template in the
143 doc/ directory: sample-ngircd.conf.
144
145
146 0): Satisfy prerequisites
147
148 When building from source, you'll need some other software to build ngIRCd:
149 for example a working C compiler, make tool, GNU automake and autoconf (only
150 when not using a distribution archive), and a few libraries depending on the
151 features you want to compile in (like IDENT support, SSL, and PAM).
152
153 If you are using one of the "big" operating systems or Linux distributions,
154 you can use the following commands to install all the required packages to
155 build the sources including all optional features and to run the test suite:
156
157 * RedHat / Fedora based distributions:
158
159   yum install \
160     autoconf automake expect gcc glibc-devel gnutls-devel \
161     libident-devel make pam-devel tcp_wrappers-devel telnet zlib-devel
162
163 * Debian / Ubuntu based distributions:
164
165   apt-get install \
166     autoconf automake build-essential expect libgnutls-dev \
167     libident-dev libpam-dev libwrap0-dev libz-dev telnet
168
169
170 1): "autogen.sh"
171
172 The first step, autogen.sh, is only necessary if the configure-script isn't
173 already generated. This never happens in official ("stable") releases in
174 tar.gz-archives, but when using GIT.
175
176 This step is therefore only interesting for developers.
177
178 autogen.sh produces the Makefile.in's, which are necessary for the configure
179 script itself, and some more files for make. To run autogen.sh you'll need
180 GNU autoconf and GNU automake: at least autoconf 2.61 and automake 1.10 are
181 requird, newer is better. But don't use automake 1.12 or newer for creating
182 distribution archives: it will work but lack "de-ANSI-fication" support in the
183 generated Makefile's! Stick with automake 1.11.x for this purpose ...
184 So automake 1.11.x and autoconf 2.67+ is recommended.
185
186 Again: "end users" do not need this step and neither need GNU autoconf nor GNU
187 automake at all!
188
189
190 2): "./configure"
191
192 The configure-script is used to detect local system dependencies.
193
194 In the perfect case, configure should recognize all needed libraries, header
195 files and so on. If this shouldn't work, "./configure --help" shows all
196 possible options.
197
198 In addition, you can pass some command line options to "configure" to enable
199 and/or disable some features of ngIRCd. All these options are shown using
200 "./configure --help", too.
201
202 Compiling a static binary will avoid you the hassle of feeding a chroot dir
203 (if you want use the chroot feature). Just do something like:
204   CFLAGS=-static ./configure [--your-options ...]
205 Then you can use a void directory as ChrootDir (like OpenSSH's /var/empty).
206
207
208 3): "make"
209
210 The make command uses the Makefiles produced by configure and compiles the
211 ngIRCd daemon.
212
213
214 4): "make install"
215
216 Use "make install" to install the server and a sample configuration file on
217 the local system. Normally, root privileges are necessary to complete this
218 step. If there is already an older configuration file present, it won't be
219 overwritten.
220
221 These files and folders will be installed by default:
222
223 - /usr/local/sbin/ngircd: executable server
224 - /usr/local/etc/ngircd.conf: sample configuration (if not already present)
225 - /usr/local/share/doc/ngircd/: documentation
226 - /usr/local/share/man/: manual pages
227
228
229 III. Additional features
230 ~~~~~~~~~~~~~~~~~~~~~~~~
231
232 The following optional features can be compiled into the daemon by passing
233 options to the "configure" script. Most options can handle a <path> argument
234 which will be used to search for the required libraries and header files in
235 the given paths ("<path>/lib/...", "<path>/include/...") in addition to the
236 standard locations.
237
238 * Syslog Logging (autodetected by default):
239   --with-syslog[=<path>] / --without-syslog
240
241   Enable (disable) support for logging to "syslog", which should be
242   available on most modern UNIX-like operating systems by default.
243
244 * ZLib Compression (autodetected by default):
245   --with-zlib[=<path>] / --without-zlib
246
247   Enable (disable) support for compressed server-server links.
248   The Z compression library ("libz") is required for this option.
249
250 * IO Backend (autodetected by default):
251   --with-select[=<path>] / --without-select
252   --with-poll[=<path>] / --without-poll
253   --with-devpoll[=<path>] / --without-devpoll
254   --with-epoll[=<path>] / --without-epoll
255   --with-kqueue[=<path>] / --without-kqueue
256
257   ngIRCd can use different IO "backends": the "old school" select() and poll()
258   API which should be supported by most UNIX-like operating systems, or the
259   more efficient and flexible epoll() (Linux >=2.6), kqueue() (BSD) and
260   /dev/poll APIs.
261   By default the IO backend is autodetected, but you can use "--without-xxx"
262   to disable a more enhanced API.
263   When using the epoll() API, support for select() is compiled in as well by
264   default to enable the binary to run on older Linux kernels (<2.6), too.
265
266 * IDENT-Support:
267   --with-ident[=<path>]
268
269   Include support for IDENT ("AUTH") lookups. The "ident" library is
270   required for this option.
271
272 * TCP-Wrappers:
273   --with-tcp-wrappers[=<path>]
274
275   Include support for Wietse Venemas "TCP Wrappers" to limit client access
276   to the daemon, for example by using "/etc/hosts.{allow|deny}".
277   The "libwrap" is required for this option.
278
279 * PAM:
280   --with-pam[=<path>]
281
282   Enable support for PAM, the Pluggable Authentication Modules library.
283   See doc/PAM.txt for details.
284
285 * SSL:
286   --with-openssl[=<path>]
287   --with-gnutls[=<path>]
288
289   Enable support for SSL/TLS using OpenSSL or gnutls libraries.
290   See doc/SSL.txt for details.
291
292 * IPv6:
293   --enable-ipv6
294
295   Adds support for version 6 of the Internet Protocol.
296
297
298 IV. Useful make-targets
299 ~~~~~~~~~~~~~~~~~~~~~~~
300
301 The Makefile produced by the configure-script contains always these useful
302 targets:
303
304  - clean: delete every product from the compiler/linker
305    next step: -> make
306
307  - distclean: the above plus erase all generated Makefiles
308    next step: -> ./configure
309
310  - maintainer-clean: erase all automatic generated files
311    next step: -> ./autogen.sh
312
313
314 V. Sample configuration file ngircd.conf
315 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
316
317 In the sample configuration file, there are comments beginning with "#" OR
318 ";" -- this is only for the better understanding of the file.
319
320 The file is separated in five blocks: [Global], [Features], [Operator],
321 [Server], and [Channel].
322
323 In the [Global] section, there is the main configuration like the server
324 name and the ports, on which the server should be listening. Options in
325 the [Features] section enable or disable functionality in the daemon.
326 IRC operators of this server are defined in [Operator] blocks, remote
327 servers are configured in [Server] sections, and [Channel] blocks are
328 used to configure pre-defined ("persistent") IRC channels.
329
330 The meaning of the variables in the configuration file is explained in the
331 "doc/sample-ngircd.conf", which is used as sample configuration file in
332 /usr/local/etc after running "make install" (if you don't already have one)
333 and in the ngircd.conf(5) manual page.
334
335
336 VI. Command line options
337 ~~~~~~~~~~~~~~~~~~~~~~~~
338
339 These parameters could be passed to the ngIRCd:
340
341 -f, --config <file>
342         The daemon uses the file <file> as configuration file rather than
343         the standard configuration /usr/local/etc/ngircd.conf.
344
345 -n, --nodaemon
346         ngIRCd should be running as a foreground process.
347
348 -p, --passive
349         Server-links won't be automatically established.
350
351 -t, --configtest
352         Reads, validates and dumps the configuration file as interpreted
353         by the server. Then exits.
354
355 Use "--help" to see a short help text describing all available parameters
356 the server understands, with "--version" the ngIRCd shows its version
357 number. In both cases the server exits after the output.
358
359 Please see the ngircd(8) manual page for complete details!