/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-03 17:34:29 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080903173429-db2mjtddf7mgbx8z
* plugins.d/password-request.xml (OVERVIEW): Refer to
                                             password-prompt(8) by
                                             name.
  (SECURITY): Improved wording.  Add paragraph about insecurity of
              ping.
  (SEE ALSO): Add references to cryptsetup(8) and crypttab(5).
              Changed to be a <variablelist> and added text.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2017-02-23">
6
 
<!ENTITY % common SYSTEM "../common.ent">
7
 
%common;
 
4
<!ENTITY VERSION "1.0">
 
5
<!ENTITY COMMANDNAME "password-request">
 
6
<!ENTITY TIMESTAMP "2008-09-03">
8
7
]>
9
8
 
10
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
10
  <refentryinfo>
12
11
    <title>Mandos Manual</title>
13
 
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
12
    <!-- Nwalsh’s docbook scripts use this to generate the footer: -->
14
13
    <productname>Mandos</productname>
15
 
    <productnumber>&version;</productnumber>
 
14
    <productnumber>&VERSION;</productnumber>
16
15
    <date>&TIMESTAMP;</date>
17
16
    <authorgroup>
18
17
      <author>
19
18
        <firstname>Björn</firstname>
20
19
        <surname>Påhlsson</surname>
21
20
        <address>
22
 
          <email>belorn@recompile.se</email>
 
21
          <email>belorn@fukt.bsnet.se</email>
23
22
        </address>
24
23
      </author>
25
24
      <author>
26
25
        <firstname>Teddy</firstname>
27
26
        <surname>Hogeborn</surname>
28
27
        <address>
29
 
          <email>teddy@recompile.se</email>
 
28
          <email>teddy@fukt.bsnet.se</email>
30
29
        </address>
31
30
      </author>
32
31
    </authorgroup>
33
32
    <copyright>
34
33
      <year>2008</year>
35
 
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
 
      <year>2012</year>
39
 
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
34
      <holder>Teddy Hogeborn</holder>
45
35
      <holder>Björn Påhlsson</holder>
46
36
    </copyright>
47
37
    <xi:include href="../legalnotice.xml"/>
48
38
  </refentryinfo>
49
 
  
 
39
 
50
40
  <refmeta>
51
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
52
42
    <manvolnum>8mandos</manvolnum>
55
45
  <refnamediv>
56
46
    <refname><command>&COMMANDNAME;</command></refname>
57
47
    <refpurpose>
58
 
      Client for <application>Mandos</application>
 
48
      Client for mandos
59
49
    </refpurpose>
60
50
  </refnamediv>
61
 
  
 
51
 
62
52
  <refsynopsisdiv>
63
53
    <cmdsynopsis>
64
54
      <command>&COMMANDNAME;</command>
65
55
      <group>
66
56
        <arg choice="plain"><option>--connect
67
 
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
57
        <replaceable>IPADDR</replaceable><literal>:</literal
68
58
        ><replaceable>PORT</replaceable></option></arg>
69
59
        <arg choice="plain"><option>-c
70
 
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
60
        <replaceable>IPADDR</replaceable><literal>:</literal
71
61
        ><replaceable>PORT</replaceable></option></arg>
72
62
      </group>
73
63
      <sbr/>
74
 
      <group rep='repeat'>
 
64
      <group>
 
65
        <arg choice="plain"><option>--keydir
 
66
        <replaceable>DIRECTORY</replaceable></option></arg>
 
67
        <arg choice="plain"><option>-d
 
68
        <replaceable>DIRECTORY</replaceable></option></arg>
 
69
      </group>
 
70
      <sbr/>
 
71
      <group>
75
72
        <arg choice="plain"><option>--interface
76
 
        <replaceable>NAME</replaceable><arg rep='repeat'
77
 
        >,<replaceable>NAME</replaceable></arg></option></arg>
78
 
        <arg choice="plain"><option>-i <replaceable>NAME</replaceable
79
 
        ><arg rep='repeat'>,<replaceable>NAME</replaceable></arg
80
 
        ></option></arg>
 
73
        <replaceable>NAME</replaceable></option></arg>
 
74
        <arg choice="plain"><option>-i
 
75
        <replaceable>NAME</replaceable></option></arg>
81
76
      </group>
82
77
      <sbr/>
83
78
      <group>
103
98
      </arg>
104
99
      <sbr/>
105
100
      <arg>
106
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
107
 
      </arg>
108
 
      <sbr/>
109
 
      <arg>
110
 
        <option>--delay <replaceable>SECONDS</replaceable></option>
111
 
      </arg>
112
 
      <sbr/>
113
 
      <arg>
114
 
        <option>--retry <replaceable>SECONDS</replaceable></option>
115
 
      </arg>
116
 
      <sbr/>
117
 
      <arg>
118
 
        <option>--network-hook-dir
119
 
        <replaceable>DIR</replaceable></option>
120
 
      </arg>
121
 
      <sbr/>
122
 
      <arg>
123
101
        <option>--debug</option>
124
102
      </arg>
125
103
    </cmdsynopsis>
142
120
      </group>
143
121
    </cmdsynopsis>
144
122
  </refsynopsisdiv>
145
 
  
 
123
 
146
124
  <refsect1 id="description">
147
125
    <title>DESCRIPTION</title>
148
126
    <para>
149
127
      <command>&COMMANDNAME;</command> is a client program that
150
128
      communicates with <citerefentry><refentrytitle
151
129
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>
152
 
      to get a password.  In slightly more detail, this client program
153
 
      brings up network interfaces, uses the interfaces’ IPv6
154
 
      link-local addresses to get network connectivity, uses Zeroconf
155
 
      to find servers on the local network, and communicates with
156
 
      servers using TLS with an OpenPGP key to ensure authenticity and
157
 
      confidentiality.  This client program keeps running, trying all
158
 
      servers on the network, until it receives a satisfactory reply
159
 
      or a TERM signal.  After all servers have been tried, all
160
 
      servers are periodically retried.  If no servers are found it
161
 
      will wait indefinitely for new servers to appear.
162
 
    </para>
163
 
    <para>
164
 
      The network interfaces are selected like this: If any interfaces
165
 
      are specified using the <option>--interface</option> option,
166
 
      those interface are used.  Otherwise,
167
 
      <command>&COMMANDNAME;</command> will use all interfaces that
168
 
      are not loopback interfaces, are not point-to-point interfaces,
169
 
      are capable of broadcasting and do not have the NOARP flag (see
170
 
      <citerefentry><refentrytitle>netdevice</refentrytitle>
171
 
      <manvolnum>7</manvolnum></citerefentry>).  (If the
172
 
      <option>--connect</option> option is used, point-to-point
173
 
      interfaces and non-broadcast interfaces are accepted.)  If any
174
 
      used interfaces are not up and running, they are first taken up
175
 
      (and later taken down again on program exit).
176
 
    </para>
177
 
    <para>
178
 
      Before network interfaces are selected, all <quote>network
179
 
      hooks</quote> are run; see <xref linkend="network-hooks"/>.
 
130
      to get a password.  It uses IPv6 link-local addresses to get
 
131
      network connectivity, Zeroconf to find servers, and TLS with an
 
132
      OpenPGP key to ensure authenticity and confidentiality.  It
 
133
      keeps running, trying all servers on the network, until it
 
134
      receives a satisfactory reply or a TERM signal is recieved.
180
135
    </para>
181
136
    <para>
182
137
      This program is not meant to be run directly; it is really meant
229
184
            assumed to separate the address from the port number.
230
185
          </para>
231
186
          <para>
232
 
            Normally, Zeroconf would be used to locate Mandos servers,
233
 
            in which case this option would only be used when testing
234
 
            and debugging.
 
187
            This option is normally only useful for testing and
 
188
            debugging.
235
189
          </para>
236
190
        </listitem>
237
191
      </varlistentry>
238
192
      
239
193
      <varlistentry>
240
 
        <term><option>--interface=<replaceable
241
 
        >NAME</replaceable><arg rep='repeat'>,<replaceable
242
 
        >NAME</replaceable></arg></option></term>
 
194
        <term><option>--keydir=<replaceable
 
195
        >DIRECTORY</replaceable></option></term>
 
196
        <term><option>-d
 
197
        <replaceable>DIRECTORY</replaceable></option></term>
 
198
        <listitem>
 
199
          <para>
 
200
            Directory to read the OpenPGP key files
 
201
            <filename>pubkey.txt</filename> and
 
202
            <filename>seckey.txt</filename> from.  The default is
 
203
            <filename>/conf/conf.d/mandos</filename> (in the initial
 
204
            <acronym>RAM</acronym> disk environment).
 
205
          </para>
 
206
        </listitem>
 
207
      </varlistentry>
 
208
 
 
209
      <varlistentry>
 
210
        <term><option>--interface=
 
211
        <replaceable>NAME</replaceable></option></term>
243
212
        <term><option>-i
244
 
        <replaceable>NAME</replaceable><arg rep='repeat'>,<replaceable
245
 
        >NAME</replaceable></arg></option></term>
 
213
        <replaceable>NAME</replaceable></option></term>
246
214
        <listitem>
247
215
          <para>
248
 
            Comma separated list of network interfaces that will be
249
 
            brought up and scanned for Mandos servers to connect to.
250
 
            The default is the empty string, which will automatically
251
 
            use all appropriate interfaces.
252
 
          </para>
253
 
          <para>
254
 
            If the <option>--connect</option> option is used, and
255
 
            exactly one interface name is specified (except
256
 
            <quote><literal>none</literal></quote>), this specifies
257
 
            the interface to use to connect to the address given.
258
 
          </para>
259
 
          <para>
260
 
            Note that since this program will normally run in the
261
 
            initial RAM disk environment, the interface must be an
262
 
            interface which exists at that stage.  Thus, the interface
263
 
            can normally not be a pseudo-interface such as
264
 
            <quote>br0</quote> or <quote>tun0</quote>; such interfaces
265
 
            will not exist until much later in the boot process, and
266
 
            can not be used by this program, unless created by a
267
 
            <quote>network hook</quote> — see <xref
268
 
            linkend="network-hooks"/>.
269
 
          </para>
270
 
          <para>
271
 
            <replaceable>NAME</replaceable> can be the string
272
 
            <quote><literal>none</literal></quote>; this will make
273
 
            <command>&COMMANDNAME;</command> only bring up interfaces
274
 
            specified <emphasis>before</emphasis> this string.  This
275
 
            is not recommended, and only meant for advanced users.
 
216
            Network interface that will be brought up and scanned for
 
217
            Mandos servers to connect to.  The default it
 
218
            <quote><literal>eth0</literal></quote>.
 
219
          </para>
 
220
          <para>
 
221
            If the <option>--connect</option> option is used, this
 
222
            specifies the interface to use to connect to the address
 
223
            given.
276
224
          </para>
277
225
        </listitem>
278
226
      </varlistentry>
284
232
        <replaceable>FILE</replaceable></option></term>
285
233
        <listitem>
286
234
          <para>
287
 
            OpenPGP public key file name.  The default name is
288
 
            <quote><filename>/conf/conf.d/mandos/pubkey.txt</filename
289
 
            ></quote>.
 
235
            OpenPGP public key file base name.  This will be combined
 
236
            with the directory from the <option>--keydir</option>
 
237
            option to form an absolute file name.  The default name is
 
238
            <quote><literal>pubkey.txt</literal></quote>.
290
239
          </para>
291
240
        </listitem>
292
241
      </varlistentry>
293
 
      
 
242
 
294
243
      <varlistentry>
295
244
        <term><option>--seckey=<replaceable
296
245
        >FILE</replaceable></option></term>
298
247
        <replaceable>FILE</replaceable></option></term>
299
248
        <listitem>
300
249
          <para>
301
 
            OpenPGP secret key file name.  The default name is
302
 
            <quote><filename>/conf/conf.d/mandos/seckey.txt</filename
303
 
            ></quote>.
 
250
            OpenPGP secret key file base name.  This will be combined
 
251
            with the directory from the <option>--keydir</option>
 
252
            option to form an absolute file name.  The default name is
 
253
            <quote><literal>seckey.txt</literal></quote>.
304
254
          </para>
305
255
        </listitem>
306
256
      </varlistentry>
313
263
                      xpointer="priority"/>
314
264
        </listitem>
315
265
      </varlistentry>
316
 
      
 
266
 
317
267
      <varlistentry>
318
268
        <term><option>--dh-bits=<replaceable
319
269
        >BITS</replaceable></option></term>
320
270
        <listitem>
321
271
          <para>
322
272
            Sets the number of bits to use for the prime number in the
323
 
            TLS Diffie-Hellman key exchange.  The default value is
324
 
            selected automatically based on the OpenPGP key.  Note
325
 
            that if the <option>--dh-params</option> option is used,
326
 
            the values from that file will be used instead.
327
 
          </para>
328
 
        </listitem>
329
 
      </varlistentry>
330
 
      
331
 
      <varlistentry>
332
 
        <term><option>--dh-params=<replaceable
333
 
        >FILE</replaceable></option></term>
334
 
        <listitem>
335
 
          <para>
336
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
337
 
            needed by the TLS Diffie-Hellman key exchange from.  If
338
 
            this option is not given, or if the file for some reason
339
 
            could not be used, the parameters will be generated on
340
 
            startup, which will take some time and processing power.
341
 
            Those using servers running under time, power or processor
342
 
            constraints may want to generate such a file in advance
343
 
            and use this option.
344
 
          </para>
345
 
        </listitem>
346
 
      </varlistentry>
347
 
 
348
 
      <varlistentry>
349
 
        <term><option>--delay=<replaceable
350
 
        >SECONDS</replaceable></option></term>
351
 
        <listitem>
352
 
          <para>
353
 
            After bringing a network interface up, the program waits
354
 
            for the interface to arrive in a <quote>running</quote>
355
 
            state before proceeding.  During this time, the kernel log
356
 
            level will be lowered to reduce clutter on the system
357
 
            console, alleviating any other plugins which might be
358
 
            using the system console.  This option sets the upper
359
 
            limit of seconds to wait.  The default is 2.5 seconds.
360
 
          </para>
361
 
        </listitem>
362
 
      </varlistentry>
363
 
 
364
 
      <varlistentry>
365
 
        <term><option>--retry=<replaceable
366
 
        >SECONDS</replaceable></option></term>
367
 
        <listitem>
368
 
          <para>
369
 
            All Mandos servers are tried repeatedly until a password
370
 
            is received.  This value specifies, in seconds, how long
371
 
            between each successive try <emphasis>for the same
372
 
            server</emphasis>.  The default is 10 seconds.
373
 
          </para>
374
 
        </listitem>
375
 
      </varlistentry>
376
 
 
377
 
      <varlistentry>
378
 
        <term><option>--network-hook-dir=<replaceable
379
 
        >DIR</replaceable></option></term>
380
 
        <listitem>
381
 
          <para>
382
 
            Network hook directory.  The default directory is
383
 
            <quote><filename class="directory"
384
 
            >/lib/mandos/network-hooks.d</filename></quote>.
 
273
            TLS Diffie-Hellman key exchange.  Default is 1024.
385
274
          </para>
386
275
        </listitem>
387
276
      </varlistentry>
420
309
          </para>
421
310
        </listitem>
422
311
      </varlistentry>
423
 
      
 
312
 
424
313
      <varlistentry>
425
314
        <term><option>--version</option></term>
426
315
        <term><option>-V</option></term>
432
321
      </varlistentry>
433
322
    </variablelist>
434
323
  </refsect1>
435
 
  
 
324
 
436
325
  <refsect1 id="overview">
437
326
    <title>OVERVIEW</title>
438
327
    <xi:include href="../overview.xml"/>
447
336
      <filename>/etc/crypttab</filename>, but it would then be
448
337
      impossible to enter a password for the encrypted root disk at
449
338
      the console, since this program does not read from the console
450
 
      at all.  This is why a separate plugin runner (<citerefentry>
451
 
      <refentrytitle>plugin-runner</refentrytitle>
452
 
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
453
 
      both this program and others in in parallel,
454
 
      <emphasis>one</emphasis> of which (<citerefentry>
 
339
      at all.  This is why a separate plugin (<citerefentry>
455
340
      <refentrytitle>password-prompt</refentrytitle>
456
 
      <manvolnum>8mandos</manvolnum></citerefentry>) will prompt for
457
 
      passwords on the system console.
 
341
      <manvolnum>8mandos</manvolnum></citerefentry>) does that, which
 
342
      will be run in parallell to this one by the plugin runner.
458
343
    </para>
459
344
  </refsect1>
460
345
  
465
350
      server could be found and the password received from it could be
466
351
      successfully decrypted and output on standard output.  The
467
352
      program will exit with a non-zero exit status only if a critical
468
 
      error occurs.  Otherwise, it will forever connect to any
469
 
      discovered <application>Mandos</application> servers, trying to
470
 
      get a decryptable password and print it.
 
353
      error occurs.  Otherwise, it will forever connect to new
 
354
      <application>Mandos</application> servers as they appear, trying
 
355
      to get a decryptable password.
471
356
    </para>
472
357
  </refsect1>
473
358
  
474
359
  <refsect1 id="environment">
475
360
    <title>ENVIRONMENT</title>
476
 
    <variablelist>
477
 
      <varlistentry>
478
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
479
 
        <listitem>
480
 
          <para>
481
 
            This environment variable will be assumed to contain the
482
 
            directory containing any helper executables.  The use and
483
 
            nature of these helper executables, if any, is
484
 
            purposefully not documented.
485
 
        </para>
486
 
        </listitem>
487
 
      </varlistentry>
488
 
    </variablelist>
489
361
    <para>
490
 
      This program does not use any other environment variables, not
491
 
      even the ones provided by <citerefentry><refentrytitle
 
362
      This program does not use any environment variables, not even
 
363
      the ones provided by <citerefentry><refentrytitle
492
364
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
493
365
    </citerefentry>.
494
366
    </para>
495
367
  </refsect1>
496
368
  
497
 
  <refsect1 id="network-hooks">
498
 
    <title>NETWORK HOOKS</title>
499
 
    <para>
500
 
      If a network interface like a bridge or tunnel is required to
501
 
      find a Mandos server, this requires the interface to be up and
502
 
      running before <command>&COMMANDNAME;</command> starts looking
503
 
      for Mandos servers.  This can be accomplished by creating a
504
 
      <quote>network hook</quote> program, and placing it in a special
505
 
      directory.
506
 
    </para>
507
 
    <para>
508
 
      Before the network is used (and again before program exit), any
509
 
      runnable programs found in the network hook directory are run
510
 
      with the argument <quote><literal>start</literal></quote> or
511
 
      <quote><literal>stop</literal></quote>.  This should bring up or
512
 
      down, respectively, any network interface which
513
 
      <command>&COMMANDNAME;</command> should use.
514
 
    </para>
515
 
    <refsect2 id="hook-requirements">
516
 
      <title>REQUIREMENTS</title>
517
 
      <para>
518
 
        A network hook must be an executable file, and its name must
519
 
        consist entirely of upper and lower case letters, digits,
520
 
        underscores, periods, and hyphens.
521
 
      </para>
522
 
      <para>
523
 
        A network hook will receive one argument, which can be one of
524
 
        the following:
525
 
      </para>
526
 
      <variablelist>
527
 
        <varlistentry>
528
 
          <term><literal>start</literal></term>
529
 
          <listitem>
530
 
            <para>
531
 
              This should make the network hook create (if necessary)
532
 
              and bring up a network interface.
533
 
            </para>
534
 
          </listitem>
535
 
        </varlistentry>
536
 
        <varlistentry>
537
 
          <term><literal>stop</literal></term>
538
 
          <listitem>
539
 
            <para>
540
 
              This should make the network hook take down a network
541
 
              interface, and delete it if it did not exist previously.
542
 
            </para>
543
 
          </listitem>
544
 
        </varlistentry>
545
 
        <varlistentry>
546
 
          <term><literal>files</literal></term>
547
 
          <listitem>
548
 
            <para>
549
 
              This should make the network hook print, <emphasis>one
550
 
              file per line</emphasis>, all the files needed for it to
551
 
              run.  (These files will be copied into the initial RAM
552
 
              filesystem.)  Typical use is for a network hook which is
553
 
              a shell script to print its needed binaries.
554
 
            </para>
555
 
            <para>
556
 
              It is not necessary to print any non-executable files
557
 
              already in the network hook directory, these will be
558
 
              copied implicitly if they otherwise satisfy the name
559
 
              requirements.
560
 
            </para>
561
 
          </listitem>
562
 
        </varlistentry>
563
 
        <varlistentry>
564
 
          <term><literal>modules</literal></term>
565
 
          <listitem>
566
 
            <para>
567
 
              This should make the network hook print, <emphasis>on
568
 
              separate lines</emphasis>, all the kernel modules needed
569
 
              for it to run.  (These modules will be copied into the
570
 
              initial RAM filesystem.)  For instance, a tunnel
571
 
              interface needs the
572
 
              <quote><literal>tun</literal></quote> module.
573
 
            </para>
574
 
          </listitem>
575
 
        </varlistentry>
576
 
      </variablelist>
577
 
      <para>
578
 
        The network hook will be provided with a number of environment
579
 
        variables:
580
 
      </para>
581
 
      <variablelist>
582
 
        <varlistentry>
583
 
          <term><envar>MANDOSNETHOOKDIR</envar></term>
584
 
          <listitem>
585
 
            <para>
586
 
              The network hook directory, specified to
587
 
              <command>&COMMANDNAME;</command> by the
588
 
              <option>--network-hook-dir</option> option.  Note: this
589
 
              should <emphasis>always</emphasis> be used by the
590
 
              network hook to refer to itself or any files in the hook
591
 
              directory it may require.
592
 
            </para>
593
 
          </listitem>
594
 
        </varlistentry>
595
 
        <varlistentry>
596
 
          <term><envar>DEVICE</envar></term>
597
 
          <listitem>
598
 
            <para>
599
 
              The network interfaces, as specified to
600
 
              <command>&COMMANDNAME;</command> by the
601
 
              <option>--interface</option> option, combined to one
602
 
              string and separated by commas.  If this is set, and
603
 
              does not contain the interface a hook will bring up,
604
 
              there is no reason for a hook to continue.
605
 
            </para>
606
 
          </listitem>
607
 
        </varlistentry>
608
 
        <varlistentry>
609
 
          <term><envar>MODE</envar></term>
610
 
          <listitem>
611
 
            <para>
612
 
              This will be the same as the first argument;
613
 
              i.e. <quote><literal>start</literal></quote>,
614
 
              <quote><literal>stop</literal></quote>,
615
 
              <quote><literal>files</literal></quote>, or
616
 
              <quote><literal>modules</literal></quote>.
617
 
            </para>
618
 
          </listitem>
619
 
        </varlistentry>
620
 
        <varlistentry>
621
 
          <term><envar>VERBOSITY</envar></term>
622
 
          <listitem>
623
 
            <para>
624
 
              This will be the <quote><literal>1</literal></quote> if
625
 
              the <option>--debug</option> option is passed to
626
 
              <command>&COMMANDNAME;</command>, otherwise
627
 
              <quote><literal>0</literal></quote>.
628
 
            </para>
629
 
          </listitem>
630
 
        </varlistentry>
631
 
        <varlistentry>
632
 
          <term><envar>DELAY</envar></term>
633
 
          <listitem>
634
 
            <para>
635
 
              This will be the same as the <option>--delay</option>
636
 
              option passed to <command>&COMMANDNAME;</command>.  Is
637
 
              only set if <envar>MODE</envar> is
638
 
              <quote><literal>start</literal></quote> or
639
 
              <quote><literal>stop</literal></quote>.
640
 
            </para>
641
 
          </listitem>
642
 
        </varlistentry>
643
 
        <varlistentry>
644
 
          <term><envar>CONNECT</envar></term>
645
 
          <listitem>
646
 
            <para>
647
 
              This will be the same as the <option>--connect</option>
648
 
              option passed to <command>&COMMANDNAME;</command>.  Is
649
 
              only set if <option>--connect</option> is passed and
650
 
              <envar>MODE</envar> is
651
 
              <quote><literal>start</literal></quote> or
652
 
              <quote><literal>stop</literal></quote>.
653
 
            </para>
654
 
          </listitem>
655
 
        </varlistentry>
656
 
      </variablelist>
657
 
      <para>
658
 
        A hook may not read from standard input, and should be
659
 
        restrictive in printing to standard output or standard error
660
 
        unless <varname>VERBOSITY</varname> is
661
 
        <quote><literal>1</literal></quote>.
662
 
      </para>
663
 
    </refsect2>
664
 
  </refsect1>
665
 
  
666
 
  <refsect1 id="files">
 
369
  <refsect1 id="file">
667
370
    <title>FILES</title>
668
371
    <variablelist>
669
372
      <varlistentry>
680
383
          </para>
681
384
        </listitem>
682
385
      </varlistentry>
683
 
      <varlistentry>
684
 
        <term><filename
685
 
        class="directory">/lib/mandos/network-hooks.d</filename></term>
686
 
        <listitem>
687
 
          <para>
688
 
            Directory where network hooks are located.  Change this
689
 
            with the <option>--network-hook-dir</option> option.  See
690
 
            <xref linkend="network-hooks"/>.
691
 
          </para>
692
 
        </listitem>
693
 
      </varlistentry>
694
386
    </variablelist>
695
387
  </refsect1>
696
388
  
697
 
  <refsect1 id="bugs">
698
 
    <title>BUGS</title>
699
 
    <xi:include href="../bugs.xml"/>
700
 
  </refsect1>
701
 
  
 
389
<!--   <refsect1 id="bugs"> -->
 
390
<!--     <title>BUGS</title> -->
 
391
<!--     <para> -->
 
392
<!--     </para> -->
 
393
<!--   </refsect1> -->
 
394
 
702
395
  <refsect1 id="example">
703
396
    <title>EXAMPLE</title>
704
397
    <para>
709
402
    </para>
710
403
    <informalexample>
711
404
      <para>
712
 
        Normal invocation needs no options, if the network interfaces
713
 
        can be automatically determined:
 
405
        Normal invocation needs no options, if the network interface
 
406
        is <quote>eth0</quote>:
714
407
      </para>
715
408
      <para>
716
409
        <userinput>&COMMANDNAME;</userinput>
718
411
    </informalexample>
719
412
    <informalexample>
720
413
      <para>
721
 
        Search for Mandos servers (and connect to them) using one
722
 
        specific interface:
 
414
        Search for Mandos servers on another interface:
723
415
      </para>
724
416
      <para>
725
417
        <!-- do not wrap this line -->
728
420
    </informalexample>
729
421
    <informalexample>
730
422
      <para>
731
 
        Run in debug mode, and use a custom key:
 
423
        Run in debug mode, and use a custom key directory:
732
424
      </para>
733
425
      <para>
734
 
 
735
 
<!-- do not wrap this line -->
736
 
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt</userinput>
737
 
 
 
426
        <!-- do not wrap this line -->
 
427
        <userinput>&COMMANDNAME; --debug --keydir keydir</userinput>
738
428
      </para>
739
429
    </informalexample>
740
430
    <informalexample>
741
431
      <para>
742
 
        Run in debug mode, with a custom key, and do not use Zeroconf
743
 
        to locate a server; connect directly to the IPv6 link-local
 
432
        Run in debug mode, with a custom key directory, and do not use
 
433
        Zeroconf to locate a server; connect directly to the IPv6
744
434
        address <quote><systemitem class="ipaddress"
745
 
        >fe80::aede:48ff:fe71:f6f2</systemitem></quote>, port 4711,
746
 
        using interface eth2:
 
435
        >2001:db8:f983:bd0b:30de:ae4a:71f2:f672</systemitem></quote>,
 
436
        port 4711, using interface eth2:
747
437
      </para>
748
438
      <para>
749
439
 
750
440
<!-- do not wrap this line -->
751
 
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --connect fe80::aede:48ff:fe71:f6f2:4711 --interface eth2</userinput>
 
441
<userinput>&COMMANDNAME; --debug --keydir keydir --connect 2001:db8:f983:bd0b:30de:ae4a:71f2:f672:4711 --interface eth2</userinput>
752
442
 
753
443
      </para>
754
444
    </informalexample>
755
445
  </refsect1>
756
 
  
 
446
 
757
447
  <refsect1 id="security">
758
448
    <title>SECURITY</title>
759
449
    <para>
779
469
      The only remaining weak point is that someone with physical
780
470
      access to the client hard drive might turn off the client
781
471
      computer, read the OpenPGP keys directly from the hard drive,
782
 
      and communicate with the server.  To safeguard against this, the
783
 
      server is supposed to notice the client disappearing and stop
784
 
      giving out the encrypted data.  Therefore, it is important to
785
 
      set the timeout and checker interval values tightly on the
786
 
      server.  See <citerefentry><refentrytitle
 
472
      and communicate with the server.  The defense against this is
 
473
      that the server is supposed to notice the client disappearing
 
474
      and will stop giving out the encrypted data.  Therefore, it is
 
475
      important to set the timeout and checker interval values tightly
 
476
      on the server.  See <citerefentry><refentrytitle
787
477
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
788
478
    </para>
789
479
    <para>
790
480
      It will also help if the checker program on the server is
791
481
      configured to request something from the client which can not be
792
 
      spoofed by someone else on the network, like SSH server key
793
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
794
 
      echo (<quote>ping</quote>) replies.
 
482
      spoofed by someone else on the network, unlike unencrypted
 
483
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
795
484
    </para>
796
485
    <para>
797
486
      <emphasis>Note</emphasis>: This makes it completely insecure to
801
490
      confidential.
802
491
    </para>
803
492
  </refsect1>
804
 
  
 
493
 
805
494
  <refsect1 id="see_also">
806
495
    <title>SEE ALSO</title>
807
496
    <para>
808
 
      <citerefentry><refentrytitle>intro</refentrytitle>
809
 
      <manvolnum>8mandos</manvolnum></citerefentry>,
810
497
      <citerefentry><refentrytitle>cryptsetup</refentrytitle>
811
498
      <manvolnum>8</manvolnum></citerefentry>,
812
499
      <citerefentry><refentrytitle>crypttab</refentrytitle>
843
530
      </varlistentry>
844
531
      <varlistentry>
845
532
        <term>
846
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
533
          <ulink url="http://www.gnu.org/software/gnutls/"
 
534
          >GnuTLS</ulink>
847
535
        </term>
848
536
      <listitem>
849
537
        <para>
855
543
      </varlistentry>
856
544
      <varlistentry>
857
545
        <term>
858
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
546
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
859
547
                 >GPGME</ulink>
860
548
        </term>
861
549
        <listitem>
889
577
              <para>
890
578
                This client uses IPv6 link-local addresses, which are
891
579
                immediately usable since a link-local addresses is
892
 
                automatically assigned to a network interface when it
 
580
                automatically assigned to a network interfaces when it
893
581
                is brought up.
894
582
              </para>
895
583
            </listitem>
899
587
      </varlistentry>
900
588
      <varlistentry>
901
589
        <term>
902
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
903
 
          Protocol Version 1.2</citetitle>
 
590
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
591
          Protocol Version 1.1</citetitle>
904
592
        </term>
905
593
      <listitem>
906
594
        <para>
907
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
595
          TLS 1.1 is the protocol implemented by GnuTLS.
908
596
        </para>
909
597
      </listitem>
910
598
      </varlistentry>
921
609
      </varlistentry>
922
610
      <varlistentry>
923
611
        <term>
924
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
612
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
925
613
          Security</citetitle>
926
614
        </term>
927
615
      <listitem>
933
621
      </varlistentry>
934
622
    </variablelist>
935
623
  </refsect1>
 
624
 
936
625
</refentry>
937
 
 
938
626
<!-- Local Variables: -->
939
627
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
940
628
<!-- time-stamp-end: "[\"']>" -->