/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-10-03 09:32:30 UTC
  • Revision ID: teddy@fukt.bsnet.se-20081003093230-rshn19e0c19zz12i
* .bzrignore (plugins.d/askpass-fifo): Added.

* Makefile (FORTIFY): Added "-fstack-protector-all".
  (mandos, mandos-keygen): Use more strict regexps when updating the
                           version number.

* mandos (Client.__init__): Use os.path.expandvars() and
                            os.path.expanduser() on the "secfile"
                            config value.

* plugins.d/splashy.c: Update comments and order of #include's.
  (main): Check user and group when looking for running splashy
          process.  Do not ignore ENOENT from execl().  Use _exit()
          instead of "return" when an error happens in child
          processes.  Bug fix: Only wait for splashy_update
          completion if it was started.  Bug fix: detect failing
          waitpid().  Only kill splashy_update if it is running.  Do
          the killing of the old splashy process before the fork().
          Do setsid() and setuid(geteuid()) before starting the new
          splashy.  Report failing execl().

* plugins.d/usplash.c: Update comments and order of #include's.
  (main): Check user and group when looking for running usplash
          process.  Do not report execv() error if interrupted by a
          signal.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
<?xml version='1.0' encoding='UTF-8'?>
 
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
4
<!ENTITY CONFNAME "mandos-clients.conf">
6
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
7
 
<!ENTITY TIMESTAMP "2008-08-30">
 
6
<!ENTITY TIMESTAMP "2008-09-30">
 
7
<!ENTITY % common SYSTEM "common.ent">
 
8
%common;
8
9
]>
9
10
 
10
 
<refentry>
 
11
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
12
  <refentryinfo>
12
13
    <title>Mandos Manual</title>
13
14
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
14
15
    <productname>Mandos</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
16
    <productnumber>&version;</productnumber>
16
17
    <date>&TIMESTAMP;</date>
17
18
    <authorgroup>
18
19
      <author>
35
36
      <holder>Teddy Hogeborn</holder>
36
37
      <holder>Björn Påhlsson</holder>
37
38
    </copyright>
38
 
    <legalnotice>
39
 
      <para>
40
 
        This manual page is free software: you can redistribute it
41
 
        and/or modify it under the terms of the GNU General Public
42
 
        License as published by the Free Software Foundation,
43
 
        either version 3 of the License, or (at your option) any
44
 
        later version.
45
 
      </para>
46
 
 
47
 
      <para>
48
 
        This manual page is distributed in the hope that it will
49
 
        be useful, but WITHOUT ANY WARRANTY; without even the
50
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
51
 
        PARTICULAR PURPOSE.  See the GNU General Public License
52
 
        for more details.
53
 
      </para>
54
 
 
55
 
      <para>
56
 
        You should have received a copy of the GNU General Public
57
 
        License along with this program; If not, see
58
 
        <ulink url="http://www.gnu.org/licenses/"/>.
59
 
      </para>
60
 
    </legalnotice>
 
39
    <xi:include href="legalnotice.xml"/>
61
40
  </refentryinfo>
62
 
 
 
41
  
63
42
  <refmeta>
64
43
    <refentrytitle>&CONFNAME;</refentrytitle>
65
44
    <manvolnum>5</manvolnum>
71
50
      Configuration file for the Mandos server
72
51
    </refpurpose>
73
52
  </refnamediv>
74
 
 
 
53
  
75
54
  <refsynopsisdiv>
76
55
    <synopsis>&CONFPATH;</synopsis>
77
56
  </refsynopsisdiv>
78
 
 
 
57
  
79
58
  <refsect1 id="description">
80
59
    <title>DESCRIPTION</title>
81
60
    <para>
115
94
      start time expansion, see <xref linkend="expansion"/>.
116
95
    </para>
117
96
    <para>
118
 
      Uknown options are ignored.  The used options are as follows:
 
97
      Unknown options are ignored.  The used options are as follows:
119
98
    </para>
120
 
 
 
99
    
121
100
    <variablelist>
122
 
 
 
101
      
123
102
      <varlistentry>
124
103
        <term><option>timeout<literal> = </literal><replaceable
125
104
        >TIME</replaceable></option></term>
126
105
        <listitem>
127
106
          <para>
 
107
            This option is <emphasis>optional</emphasis>.
 
108
          </para>
 
109
          <para>
128
110
            The timeout is how long the server will wait for a
129
111
            successful checker run until a client is considered
130
112
            invalid - that is, ineligible to get the data this server
145
127
          </para>
146
128
        </listitem>
147
129
      </varlistentry>
148
 
 
 
130
      
149
131
      <varlistentry>
150
132
        <term><option>interval<literal> = </literal><replaceable
151
133
        >TIME</replaceable></option></term>
152
134
        <listitem>
153
135
          <para>
 
136
            This option is <emphasis>optional</emphasis>.
 
137
          </para>
 
138
          <para>
154
139
            How often to run the checker to confirm that a client is
155
140
            still up.  <emphasis>Note:</emphasis> a new checker will
156
141
            not be started if an old one is still running.  The server
165
150
          </para>
166
151
        </listitem>
167
152
      </varlistentry>
168
 
 
 
153
      
169
154
      <varlistentry>
170
155
        <term><option>checker<literal> = </literal><replaceable
171
156
        >COMMAND</replaceable></option></term>
172
157
        <listitem>
173
158
          <para>
 
159
            This option is <emphasis>optional</emphasis>.
 
160
          </para>
 
161
          <para>
174
162
            This option allows you to override the default shell
175
163
            command that the server will use to check if the client is
176
164
            still up.  Any output of the command will be ignored, only
196
184
        ><replaceable>HEXSTRING</replaceable></option></term>
197
185
        <listitem>
198
186
          <para>
 
187
            This option is <emphasis>required</emphasis>.
 
188
          </para>
 
189
          <para>
199
190
            This option sets the OpenPGP fingerprint that identifies
200
191
            the public key that clients authenticate themselves with
201
192
            through TLS.  The string needs to be in hexidecimal form,
209
200
        >BASE64_ENCODED_DATA</replaceable></option></term>
210
201
        <listitem>
211
202
          <para>
 
203
            If this option is not specified, the <option
 
204
            >secfile</option> option is <emphasis>required</emphasis>
 
205
            to be present.
 
206
          </para>
 
207
          <para>
212
208
            If present, this option must be set to a string of
213
209
            base64-encoded binary data.  It will be decoded and sent
214
210
            to the client matching the above
226
222
            lines is that a line beginning with white space adds to
227
223
            the value of the previous line, RFC 822-style.
228
224
          </para>
229
 
          <para>
230
 
            If this option is not specified, the <option
231
 
            >secfile</option> option is used instead, but one of them
232
 
            <emphasis>must</emphasis> be present.
233
 
          </para>
234
225
        </listitem>
235
226
      </varlistentry>
236
 
 
 
227
      
237
228
      <varlistentry>
238
229
        <term><option>secfile<literal> = </literal><replaceable
239
230
        >FILENAME</replaceable></option></term>
240
231
        <listitem>
241
232
          <para>
 
233
            This option is only used if <option>secret</option> is not
 
234
            specified, in which case this option is
 
235
            <emphasis>required</emphasis>.
 
236
          </para>
 
237
          <para>
242
238
            Similar to the <option>secret</option>, except the secret
243
239
            data is in an external file.  The contents of the file
244
240
            should <emphasis>not</emphasis> be base64-encoded, but
245
241
            will be sent to clients verbatim.
246
242
          </para>
247
 
          <para>
248
 
            This option is only used, and <emphasis>must</emphasis> be
249
 
            present, if <option>secret</option> is not specified.
250
 
          </para>
251
243
        </listitem>
252
244
      </varlistentry>
253
 
 
 
245
      
254
246
      <varlistentry>
255
247
        <term><option><literal>host = </literal><replaceable
256
248
        >STRING</replaceable></option></term>
257
249
        <listitem>
258
250
          <para>
 
251
            This option is <emphasis>optional</emphasis>, but highly
 
252
            <emphasis>recommended</emphasis> unless the
 
253
            <option>checker</option> option is modified to a
 
254
            non-standard value without <quote>%(host)s</quote> in it.
 
255
          </para>
 
256
          <para>
259
257
            Host name for this client.  This is not used by the server
260
258
            directly, but can be, and is by default, used by the
261
259
            checker.  See the <option>checker</option> option.
316
314
        mode is needed to expose an error of this kind.
317
315
      </para>
318
316
    </refsect2>
319
 
 
 
317
    
320
318
  </refsect1>
321
319
  
322
320
  <refsect1 id="files">
376
374
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
377
375
secfile = /etc/mandos/bar-secret
378
376
timeout = 15m
379
 
 
380
377
      </programlisting>
381
378
    </informalexample>
382
379
  </refsect1>