/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-06 15:34:21 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080906153421-605ydhwyo404krh9
* initramfs-tools-hook: Use long options where available.  Use only
                        one "test" invocation instead of several.

* mandos-keygen: Use only one "test" invocation instead of several.
                 Use long options where available.  Strip newline from
                 entered password.

* plugin-runner.c (print_out_password): Do not strip trailing newline.
  (fallback): Strip trailing newline from getpass().

* plugin-runner.xml (PLUGINS): Plugins should not print trailing
                               newlines.

* plugins.d/password-prompt.c (main): Strip trailing newline.

* plugins.d/password-request.c (main): Bug fix: Read "pubkey.txt", not
                                       "pupkey.txt".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2009-01-24">
6
 
<!ENTITY % common SYSTEM "../common.ent">
7
 
%common;
 
4
<!ENTITY VERSION "1.0">
 
5
<!ENTITY COMMANDNAME "password-request">
 
6
<!ENTITY TIMESTAMP "2008-09-04">
8
7
]>
9
8
 
10
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
10
  <refentryinfo>
12
11
    <title>Mandos Manual</title>
13
 
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
12
    <!-- Nwalsh’s docbook scripts use this to generate the footer: -->
14
13
    <productname>Mandos</productname>
15
 
    <productnumber>&version;</productnumber>
 
14
    <productnumber>&VERSION;</productnumber>
16
15
    <date>&TIMESTAMP;</date>
17
16
    <authorgroup>
18
17
      <author>
32
31
    </authorgroup>
33
32
    <copyright>
34
33
      <year>2008</year>
35
 
      <year>2009</year>
36
34
      <holder>Teddy Hogeborn</holder>
37
35
      <holder>Björn Påhlsson</holder>
38
36
    </copyright>
39
37
    <xi:include href="../legalnotice.xml"/>
40
38
  </refentryinfo>
41
 
  
 
39
 
42
40
  <refmeta>
43
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
44
42
    <manvolnum>8mandos</manvolnum>
47
45
  <refnamediv>
48
46
    <refname><command>&COMMANDNAME;</command></refname>
49
47
    <refpurpose>
50
 
      Client for <application>Mandos</application>
 
48
      Client for mandos
51
49
    </refpurpose>
52
50
  </refnamediv>
53
 
  
 
51
 
54
52
  <refsynopsisdiv>
55
53
    <cmdsynopsis>
56
54
      <command>&COMMANDNAME;</command>
115
113
      </group>
116
114
    </cmdsynopsis>
117
115
  </refsynopsisdiv>
118
 
  
 
116
 
119
117
  <refsect1 id="description">
120
118
    <title>DESCRIPTION</title>
121
119
    <para>
122
120
      <command>&COMMANDNAME;</command> is a client program that
123
121
      communicates with <citerefentry><refentrytitle
124
122
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>
125
 
      to get a password.  It brings up a network interface, uses its
126
 
      IPv6 link-local address to get network connectivity, uses
127
 
      Zeroconf to find servers, and uses TLS with an OpenPGP key to
128
 
      ensure authenticity and confidentiality.  It keeps running,
129
 
      trying all servers on the network, until it receives a
130
 
      satisfactory reply or a TERM signal is received.
 
123
      to get a password.  It uses IPv6 link-local addresses to get
 
124
      network connectivity, Zeroconf to find servers, and TLS with an
 
125
      OpenPGP key to ensure authenticity and confidentiality.  It
 
126
      keeps running, trying all servers on the network, until it
 
127
      receives a satisfactory reply or a TERM signal is received.
131
128
    </para>
132
129
    <para>
133
130
      This program is not meant to be run directly; it is really meant
218
215
          </para>
219
216
        </listitem>
220
217
      </varlistentry>
221
 
      
 
218
 
222
219
      <varlistentry>
223
220
        <term><option>--seckey=<replaceable
224
221
        >FILE</replaceable></option></term>
241
238
                      xpointer="priority"/>
242
239
        </listitem>
243
240
      </varlistentry>
244
 
      
 
241
 
245
242
      <varlistentry>
246
243
        <term><option>--dh-bits=<replaceable
247
244
        >BITS</replaceable></option></term>
287
284
          </para>
288
285
        </listitem>
289
286
      </varlistentry>
290
 
      
 
287
 
291
288
      <varlistentry>
292
289
        <term><option>--version</option></term>
293
290
        <term><option>-V</option></term>
299
296
      </varlistentry>
300
297
    </variablelist>
301
298
  </refsect1>
302
 
  
 
299
 
303
300
  <refsect1 id="overview">
304
301
    <title>OVERVIEW</title>
305
302
    <xi:include href="../overview.xml"/>
314
311
      <filename>/etc/crypttab</filename>, but it would then be
315
312
      impossible to enter a password for the encrypted root disk at
316
313
      the console, since this program does not read from the console
317
 
      at all.  This is why a separate plugin runner (<citerefentry>
318
 
      <refentrytitle>plugin-runner</refentrytitle>
319
 
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
320
 
      both this program and others in in parallel,
321
 
      <emphasis>one</emphasis> of which will prompt for passwords on
322
 
      the system console.
 
314
      at all.  This is why a separate plugin (<citerefentry>
 
315
      <refentrytitle>password-prompt</refentrytitle>
 
316
      <manvolnum>8mandos</manvolnum></citerefentry>) does that, which
 
317
      will be run in parallel to this one by the plugin runner.
323
318
    </para>
324
319
  </refsect1>
325
320
  
332
327
      program will exit with a non-zero exit status only if a critical
333
328
      error occurs.  Otherwise, it will forever connect to new
334
329
      <application>Mandos</application> servers as they appear, trying
335
 
      to get a decryptable password and print it.
 
330
      to get a decryptable password.
336
331
    </para>
337
332
  </refsect1>
338
333
  
346
341
    </para>
347
342
  </refsect1>
348
343
  
349
 
  <refsect1 id="files">
 
344
  <refsect1 id="file">
350
345
    <title>FILES</title>
351
346
    <variablelist>
352
347
      <varlistentry>
371
366
<!--     <para> -->
372
367
<!--     </para> -->
373
368
<!--   </refsect1> -->
374
 
  
 
369
 
375
370
  <refsect1 id="example">
376
371
    <title>EXAMPLE</title>
377
372
    <para>
426
421
      </para>
427
422
    </informalexample>
428
423
  </refsect1>
429
 
  
 
424
 
430
425
  <refsect1 id="security">
431
426
    <title>SECURITY</title>
432
427
    <para>
452
447
      The only remaining weak point is that someone with physical
453
448
      access to the client hard drive might turn off the client
454
449
      computer, read the OpenPGP keys directly from the hard drive,
455
 
      and communicate with the server.  To safeguard against this, the
456
 
      server is supposed to notice the client disappearing and stop
457
 
      giving out the encrypted data.  Therefore, it is important to
458
 
      set the timeout and checker interval values tightly on the
459
 
      server.  See <citerefentry><refentrytitle
 
450
      and communicate with the server.  The defense against this is
 
451
      that the server is supposed to notice the client disappearing
 
452
      and will stop giving out the encrypted data.  Therefore, it is
 
453
      important to set the timeout and checker interval values tightly
 
454
      on the server.  See <citerefentry><refentrytitle
460
455
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
461
456
    </para>
462
457
    <para>
473
468
      confidential.
474
469
    </para>
475
470
  </refsect1>
476
 
  
 
471
 
477
472
  <refsect1 id="see_also">
478
473
    <title>SEE ALSO</title>
479
474
    <para>
604
599
      </varlistentry>
605
600
    </variablelist>
606
601
  </refsect1>
 
602
 
607
603
</refentry>
608
 
 
609
604
<!-- Local Variables: -->
610
605
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
611
606
<!-- time-stamp-end: "[\"']>" -->