/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-08-31 20:01:03 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080831200103-wvjp5oagtxj7s25g
* plugin-runner.c: Break a couple of long lines.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
 
4
<!ENTITY VERSION "1.0">
4
5
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2009-01-04">
6
 
<!ENTITY % common SYSTEM "common.ent">
7
 
%common;
 
6
<!ENTITY TIMESTAMP "2008-08-31">
8
7
]>
9
8
 
10
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
 
   <refentryinfo>
 
10
  <refentryinfo>
12
11
    <title>Mandos Manual</title>
13
12
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
14
13
    <productname>Mandos</productname>
15
 
    <productnumber>&version;</productnumber>
 
14
    <productnumber>&VERSION;</productnumber>
16
15
    <date>&TIMESTAMP;</date>
17
16
    <authorgroup>
18
17
      <author>
32
31
    </authorgroup>
33
32
    <copyright>
34
33
      <year>2008</year>
35
 
      <year>2009</year>
36
34
      <holder>Teddy Hogeborn</holder>
37
35
      <holder>Björn Påhlsson</holder>
38
36
    </copyright>
39
37
    <xi:include href="legalnotice.xml"/>
40
38
  </refentryinfo>
41
 
  
 
39
 
42
40
  <refmeta>
43
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
44
42
    <manvolnum>8</manvolnum>
50
48
      Gives encrypted passwords to authenticated Mandos clients
51
49
    </refpurpose>
52
50
  </refnamediv>
53
 
  
 
51
 
54
52
  <refsynopsisdiv>
55
53
    <cmdsynopsis>
56
54
      <command>&COMMANDNAME;</command>
102
100
      <arg choice="plain"><option>--check</option></arg>
103
101
    </cmdsynopsis>
104
102
  </refsynopsisdiv>
105
 
  
 
103
 
106
104
  <refsect1 id="description">
107
105
    <title>DESCRIPTION</title>
108
106
    <para>
117
115
      Any authenticated client is then given the stored pre-encrypted
118
116
      password for that specific client.
119
117
    </para>
 
118
 
120
119
  </refsect1>
121
120
  
122
121
  <refsect1 id="purpose">
123
122
    <title>PURPOSE</title>
 
123
 
124
124
    <para>
125
125
      The purpose of this is to enable <emphasis>remote and unattended
126
126
      rebooting</emphasis> of client host computer with an
127
127
      <emphasis>encrypted root file system</emphasis>.  See <xref
128
128
      linkend="overview"/> for details.
129
129
    </para>
 
130
    
130
131
  </refsect1>
131
132
  
132
133
  <refsect1 id="options">
133
134
    <title>OPTIONS</title>
 
135
    
134
136
    <variablelist>
135
137
      <varlistentry>
136
138
        <term><option>--help</option></term>
188
190
          <xi:include href="mandos-options.xml" xpointer="debug"/>
189
191
        </listitem>
190
192
      </varlistentry>
191
 
      
 
193
 
192
194
      <varlistentry>
193
195
        <term><option>--priority <replaceable>
194
196
        PRIORITY</replaceable></option></term>
196
198
          <xi:include href="mandos-options.xml" xpointer="priority"/>
197
199
        </listitem>
198
200
      </varlistentry>
199
 
      
 
201
 
200
202
      <varlistentry>
201
203
        <term><option>--servicename
202
204
        <replaceable>NAME</replaceable></option></term>
205
207
                      xpointer="servicename"/>
206
208
        </listitem>
207
209
      </varlistentry>
208
 
      
 
210
 
209
211
      <varlistentry>
210
212
        <term><option>--configdir
211
213
        <replaceable>DIRECTORY</replaceable></option></term>
220
222
          </para>
221
223
        </listitem>
222
224
      </varlistentry>
223
 
      
 
225
 
224
226
      <varlistentry>
225
227
        <term><option>--version</option></term>
226
228
        <listitem>
231
233
      </varlistentry>
232
234
    </variablelist>
233
235
  </refsect1>
234
 
  
 
236
 
235
237
  <refsect1 id="overview">
236
238
    <title>OVERVIEW</title>
237
239
    <xi:include href="overview.xml"/>
238
240
    <para>
239
241
      This program is the server part.  It is a normal server program
240
242
      and will run in a normal system environment, not in an initial
241
 
      <acronym>RAM</acronym> disk environment.
 
243
      RAM disk environment.
242
244
    </para>
243
245
  </refsect1>
244
 
  
 
246
 
245
247
  <refsect1 id="protocol">
246
248
    <title>NETWORK PROTOCOL</title>
247
249
    <para>
299
301
      </row>
300
302
    </tbody></tgroup></table>
301
303
  </refsect1>
302
 
  
 
304
 
303
305
  <refsect1 id="checking">
304
306
    <title>CHECKING</title>
305
307
    <para>
313
315
      <manvolnum>5</manvolnum></citerefentry>.
314
316
    </para>
315
317
  </refsect1>
316
 
  
 
318
 
317
319
  <refsect1 id="logging">
318
320
    <title>LOGGING</title>
319
321
    <para>
323
325
      and also show them on the console.
324
326
    </para>
325
327
  </refsect1>
326
 
  
 
328
 
327
329
  <refsect1 id="exit_status">
328
330
    <title>EXIT STATUS</title>
329
331
    <para>
331
333
      critical error is encountered.
332
334
    </para>
333
335
  </refsect1>
334
 
  
 
336
 
335
337
  <refsect1 id="environment">
336
338
    <title>ENVIRONMENT</title>
337
339
    <variablelist>
351
353
      </varlistentry>
352
354
    </variablelist>
353
355
  </refsect1>
354
 
  
355
 
  <refsect1 id="files">
 
356
 
 
357
  <refsect1 id="file">
356
358
    <title>FILES</title>
357
359
    <para>
358
360
      Use the <option>--configdir</option> option to change where
381
383
        </listitem>
382
384
      </varlistentry>
383
385
      <varlistentry>
384
 
        <term><filename>/var/run/mandos.pid</filename></term>
 
386
        <term><filename>/var/run/mandos/mandos.pid</filename></term>
385
387
        <listitem>
386
388
          <para>
387
389
            The file containing the process id of
422
424
      Currently, if a client is declared <quote>invalid</quote> due to
423
425
      having timed out, the server does not record this fact onto
424
426
      permanent storage.  This has some security implications, see
425
 
      <xref linkend="clients"/>.
 
427
      <xref linkend="CLIENTS"/>.
426
428
    </para>
427
429
    <para>
428
430
      There is currently no way of querying the server of the current
436
438
      Debug mode is conflated with running in the foreground.
437
439
    </para>
438
440
    <para>
439
 
      The console log messages does not show a time stamp.
440
 
    </para>
441
 
    <para>
442
 
      This server does not check the expire time of clients’ OpenPGP
443
 
      keys.
 
441
      The console log messages does not show a timestamp.
444
442
    </para>
445
443
  </refsect1>
446
444
  
481
479
      </para>
482
480
    </informalexample>
483
481
  </refsect1>
484
 
  
 
482
 
485
483
  <refsect1 id="security">
486
484
    <title>SECURITY</title>
487
 
    <refsect2 id="server">
 
485
    <refsect2 id="SERVER">
488
486
      <title>SERVER</title>
489
487
      <para>
490
488
        Running this <command>&COMMANDNAME;</command> server program
491
489
        should not in itself present any security risk to the host
492
 
        computer running it.  The program switches to a non-root user
493
 
        soon after startup.
 
490
        computer running it.  The program does not need any special
 
491
        privileges to run, and is designed to run as a non-root user.
494
492
      </para>
495
493
    </refsect2>
496
 
    <refsect2 id="clients">
 
494
    <refsect2 id="CLIENTS">
497
495
      <title>CLIENTS</title>
498
496
      <para>
499
497
        The server only gives out its stored data to clients which
506
504
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
507
505
        <manvolnum>5</manvolnum></citerefentry>)
508
506
        <emphasis>must</emphasis> be made non-readable by anyone
509
 
        except the user starting the server (usually root).
 
507
        except the user running the server.
510
508
      </para>
511
509
      <para>
512
510
        As detailed in <xref linkend="checking"/>, the status of all
523
521
        restarting servers if it is suspected that a client has, in
524
522
        fact, been compromised by parties who may now be running a
525
523
        fake Mandos client with the keys from the non-encrypted
526
 
        initial <acronym>RAM</acronym> image of the client host.  What
527
 
        should be done in that case (if restarting the server program
528
 
        really is necessary) is to stop the server program, edit the
 
524
        initial RAM image of the client host.  What should be done in
 
525
        that case (if restarting the server program really is
 
526
        necessary) is to stop the server program, edit the
529
527
        configuration file to omit any suspect clients, and restart
530
528
        the server program.
531
529
      </para>
532
530
      <para>
533
531
        For more details on client-side security, see
534
 
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
532
        <citerefentry><refentrytitle>password-request</refentrytitle>
535
533
        <manvolnum>8mandos</manvolnum></citerefentry>.
536
534
      </para>
537
535
    </refsect2>
538
536
  </refsect1>
539
 
  
 
537
 
540
538
  <refsect1 id="see_also">
541
539
    <title>SEE ALSO</title>
542
540
    <para>
545
543
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
546
544
        <refentrytitle>mandos.conf</refentrytitle>
547
545
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
548
 
        <refentrytitle>mandos-client</refentrytitle>
 
546
        <refentrytitle>password-request</refentrytitle>
549
547
        <manvolnum>8mandos</manvolnum></citerefentry>, <citerefentry>
550
548
        <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
551
549
      </citerefentry>