/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-10-18 11:17:22 UTC
  • Revision ID: teddy@fukt.bsnet.se-20081018111722-jtbz35c031lxuuc9
* debian/mandos-client.docs (NEWS): Added.
* debian/mandos.docs (NEWS): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
 
<!ENTITY COMMANDNAME "password-request">
6
 
<!ENTITY TIMESTAMP "2008-09-03">
 
4
<!ENTITY COMMANDNAME "mandos-client">
 
5
<!ENTITY TIMESTAMP "2008-10-03">
 
6
<!ENTITY % common SYSTEM "../common.ent">
 
7
%common;
7
8
]>
8
9
 
9
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
10
11
  <refentryinfo>
11
12
    <title>Mandos Manual</title>
12
 
    <!-- Nwalsh’s docbook scripts use this to generate the footer: -->
 
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
13
14
    <productname>Mandos</productname>
14
 
    <productnumber>&VERSION;</productnumber>
 
15
    <productnumber>&version;</productnumber>
15
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
36
37
    </copyright>
37
38
    <xi:include href="../legalnotice.xml"/>
38
39
  </refentryinfo>
39
 
 
 
40
  
40
41
  <refmeta>
41
42
    <refentrytitle>&COMMANDNAME;</refentrytitle>
42
43
    <manvolnum>8mandos</manvolnum>
45
46
  <refnamediv>
46
47
    <refname><command>&COMMANDNAME;</command></refname>
47
48
    <refpurpose>
48
 
      Client for mandos
 
49
      Client for <application>Mandos</application>
49
50
    </refpurpose>
50
51
  </refnamediv>
51
 
 
 
52
  
52
53
  <refsynopsisdiv>
53
54
    <cmdsynopsis>
54
55
      <command>&COMMANDNAME;</command>
55
56
      <group>
56
57
        <arg choice="plain"><option>--connect
57
 
        <replaceable>IPADDR</replaceable><literal>:</literal
 
58
        <replaceable>ADDRESS</replaceable><literal>:</literal
58
59
        ><replaceable>PORT</replaceable></option></arg>
59
60
        <arg choice="plain"><option>-c
60
 
        <replaceable>IPADDR</replaceable><literal>:</literal
 
61
        <replaceable>ADDRESS</replaceable><literal>:</literal
61
62
        ><replaceable>PORT</replaceable></option></arg>
62
63
      </group>
63
64
      <sbr/>
64
65
      <group>
65
 
        <arg choice="plain"><option>--keydir
66
 
        <replaceable>DIRECTORY</replaceable></option></arg>
67
 
        <arg choice="plain"><option>-d
68
 
        <replaceable>DIRECTORY</replaceable></option></arg>
69
 
      </group>
70
 
      <sbr/>
71
 
      <group>
72
66
        <arg choice="plain"><option>--interface
73
67
        <replaceable>NAME</replaceable></option></arg>
74
68
        <arg choice="plain"><option>-i
120
114
      </group>
121
115
    </cmdsynopsis>
122
116
  </refsynopsisdiv>
123
 
 
 
117
  
124
118
  <refsect1 id="description">
125
119
    <title>DESCRIPTION</title>
126
120
    <para>
128
122
      communicates with <citerefentry><refentrytitle
129
123
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>
130
124
      to get a password.  It uses IPv6 link-local addresses to get
131
 
      network connectivity, Zeroconf to find the server, and TLS with
132
 
      an OpenPGP key to ensure authenticity and confidentiality.  It
 
125
      network connectivity, Zeroconf to find servers, and TLS with an
 
126
      OpenPGP key to ensure authenticity and confidentiality.  It
133
127
      keeps running, trying all servers on the network, until it
134
 
      receives a satisfactory reply.
 
128
      receives a satisfactory reply or a TERM signal is received.
135
129
    </para>
136
130
    <para>
137
131
      This program is not meant to be run directly; it is really meant
191
185
      </varlistentry>
192
186
      
193
187
      <varlistentry>
194
 
        <term><option>--keydir=<replaceable
195
 
        >DIRECTORY</replaceable></option></term>
196
 
        <term><option>-d
197
 
        <replaceable>DIRECTORY</replaceable></option></term>
198
 
        <listitem>
199
 
          <para>
200
 
            Directory to read the OpenPGP key files
201
 
            <filename>pubkey.txt</filename> and
202
 
            <filename>seckey.txt</filename> from.  The default is
203
 
            <filename>/conf/conf.d/mandos</filename> (in the initial
204
 
            <acronym>RAM</acronym> disk environment).
205
 
          </para>
206
 
        </listitem>
207
 
      </varlistentry>
208
 
 
209
 
      <varlistentry>
210
188
        <term><option>--interface=
211
189
        <replaceable>NAME</replaceable></option></term>
212
190
        <term><option>-i
217
195
            Mandos servers to connect to.  The default it
218
196
            <quote><literal>eth0</literal></quote>.
219
197
          </para>
 
198
          <para>
 
199
            If the <option>--connect</option> option is used, this
 
200
            specifies the interface to use to connect to the address
 
201
            given.
 
202
          </para>
220
203
        </listitem>
221
204
      </varlistentry>
222
205
      
227
210
        <replaceable>FILE</replaceable></option></term>
228
211
        <listitem>
229
212
          <para>
230
 
            OpenPGP public key file base name.  This will be combined
231
 
            with the directory from the <option>--keydir</option>
232
 
            option to form an absolute file name.  The default name is
233
 
            <quote><literal>pubkey.txt</literal></quote>.
 
213
            OpenPGP public key file name.  The default name is
 
214
            <quote><filename>/conf/conf.d/mandos/pubkey.txt</filename
 
215
            ></quote>.
234
216
          </para>
235
217
        </listitem>
236
218
      </varlistentry>
237
 
 
 
219
      
238
220
      <varlistentry>
239
221
        <term><option>--seckey=<replaceable
240
222
        >FILE</replaceable></option></term>
242
224
        <replaceable>FILE</replaceable></option></term>
243
225
        <listitem>
244
226
          <para>
245
 
            OpenPGP secret key file base name.  This will be combined
246
 
            with the directory from the <option>--keydir</option>
247
 
            option to form an absolute file name.  The default name is
248
 
            <quote><literal>seckey.txt</literal></quote>.
 
227
            OpenPGP secret key file name.  The default name is
 
228
            <quote><filename>/conf/conf.d/mandos/seckey.txt</filename
 
229
            ></quote>.
249
230
          </para>
250
231
        </listitem>
251
232
      </varlistentry>
258
239
                      xpointer="priority"/>
259
240
        </listitem>
260
241
      </varlistentry>
261
 
 
 
242
      
262
243
      <varlistentry>
263
244
        <term><option>--dh-bits=<replaceable
264
245
        >BITS</replaceable></option></term>
304
285
          </para>
305
286
        </listitem>
306
287
      </varlistentry>
307
 
 
 
288
      
308
289
      <varlistentry>
309
290
        <term><option>--version</option></term>
310
291
        <term><option>-V</option></term>
316
297
      </varlistentry>
317
298
    </variablelist>
318
299
  </refsect1>
319
 
 
 
300
  
320
301
  <refsect1 id="overview">
321
302
    <title>OVERVIEW</title>
322
303
    <xi:include href="../overview.xml"/>
329
310
    <para>
330
311
      This program could, theoretically, be used as a keyscript in
331
312
      <filename>/etc/crypttab</filename>, but it would then be
332
 
      impossible to enter the encrypted root disk password at the
333
 
      console, since this program does not read from the console at
334
 
      all.  This is why a separate plugin does that, which will be run
335
 
      in parallell to this one.
 
313
      impossible to enter a password for the encrypted root disk at
 
314
      the console, since this program does not read from the console
 
315
      at all.  This is why a separate plugin runner (<citerefentry>
 
316
      <refentrytitle>plugin-runner</refentrytitle>
 
317
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
 
318
      both this program and others in in parallel,
 
319
      <emphasis>one</emphasis> of which will prompt for passwords on
 
320
      the system console.
336
321
    </para>
337
322
  </refsect1>
338
323
  
344
329
      successfully decrypted and output on standard output.  The
345
330
      program will exit with a non-zero exit status only if a critical
346
331
      error occurs.  Otherwise, it will forever connect to new
347
 
      <application>Mandosservers</application> servers as they appear,
348
 
      trying to get a decryptable password.
 
332
      <application>Mandos</application> servers as they appear, trying
 
333
      to get a decryptable password and print it.
349
334
    </para>
350
335
  </refsect1>
351
336
  
359
344
    </para>
360
345
  </refsect1>
361
346
  
362
 
  <refsect1 id="file">
 
347
  <refsect1 id="files">
363
348
    <title>FILES</title>
364
 
    <para>
365
 
    </para>
366
 
  </refsect1>
367
 
  
368
 
  <refsect1 id="bugs">
369
 
    <title>BUGS</title>
370
 
    <para>
371
 
    </para>
372
 
  </refsect1>
373
 
 
 
349
    <variablelist>
 
350
      <varlistentry>
 
351
        <term><filename>/conf/conf.d/mandos/pubkey.txt</filename
 
352
        ></term>
 
353
        <term><filename>/conf/conf.d/mandos/seckey.txt</filename
 
354
        ></term>
 
355
        <listitem>
 
356
          <para>
 
357
            OpenPGP public and private key files, in <quote>ASCII
 
358
            Armor</quote> format.  These are the default file names,
 
359
            they can be changed with the <option>--pubkey</option> and
 
360
            <option>--seckey</option> options.
 
361
          </para>
 
362
        </listitem>
 
363
      </varlistentry>
 
364
    </variablelist>
 
365
  </refsect1>
 
366
  
 
367
<!--   <refsect1 id="bugs"> -->
 
368
<!--     <title>BUGS</title> -->
 
369
<!--     <para> -->
 
370
<!--     </para> -->
 
371
<!--   </refsect1> -->
 
372
  
374
373
  <refsect1 id="example">
375
374
    <title>EXAMPLE</title>
376
375
    <para>
 
376
      Note that normally, command line options will not be given
 
377
      directly, but via options for the Mandos <citerefentry
 
378
      ><refentrytitle>plugin-runner</refentrytitle>
 
379
      <manvolnum>8mandos</manvolnum></citerefentry>.
377
380
    </para>
 
381
    <informalexample>
 
382
      <para>
 
383
        Normal invocation needs no options, if the network interface
 
384
        is <quote>eth0</quote>:
 
385
      </para>
 
386
      <para>
 
387
        <userinput>&COMMANDNAME;</userinput>
 
388
      </para>
 
389
    </informalexample>
 
390
    <informalexample>
 
391
      <para>
 
392
        Search for Mandos servers (and connect to them) using another
 
393
        interface:
 
394
      </para>
 
395
      <para>
 
396
        <!-- do not wrap this line -->
 
397
        <userinput>&COMMANDNAME; --interface eth1</userinput>
 
398
      </para>
 
399
    </informalexample>
 
400
    <informalexample>
 
401
      <para>
 
402
        Run in debug mode, and use a custom key:
 
403
      </para>
 
404
      <para>
 
405
 
 
406
<!-- do not wrap this line -->
 
407
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt</userinput>
 
408
 
 
409
      </para>
 
410
    </informalexample>
 
411
    <informalexample>
 
412
      <para>
 
413
        Run in debug mode, with a custom key, and do not use Zeroconf
 
414
        to locate a server; connect directly to the IPv6 address
 
415
        <quote><systemitem class="ipaddress"
 
416
        >2001:db8:f983:bd0b:30de:ae4a:71f2:f672</systemitem></quote>,
 
417
        port 4711, using interface eth2:
 
418
      </para>
 
419
      <para>
 
420
 
 
421
<!-- do not wrap this line -->
 
422
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --connect 2001:db8:f983:bd0b:30de:ae4a:71f2:f672:4711 --interface eth2</userinput>
 
423
 
 
424
      </para>
 
425
    </informalexample>
378
426
  </refsect1>
379
 
 
 
427
  
380
428
  <refsect1 id="security">
381
429
    <title>SECURITY</title>
382
430
    <para>
 
431
      This program is set-uid to root, but will switch back to the
 
432
      original (and presumably non-privileged) user and group after
 
433
      bringing up the network interface.
 
434
    </para>
 
435
    <para>
 
436
      To use this program for its intended purpose (see <xref
 
437
      linkend="purpose"/>), the password for the root file system will
 
438
      have to be given out to be stored in a server computer, after
 
439
      having been encrypted using an OpenPGP key.  This encrypted data
 
440
      which will be stored in a server can only be decrypted by the
 
441
      OpenPGP key, and the data will only be given out to those
 
442
      clients who can prove they actually have that key.  This key,
 
443
      however, is stored unencrypted on the client side in its initial
 
444
      <acronym>RAM</acronym> disk image file system.  This is normally
 
445
      readable by all, but this is normally fixed during installation
 
446
      of this program; file permissions are set so that no-one is able
 
447
      to read that file.
 
448
    </para>
 
449
    <para>
 
450
      The only remaining weak point is that someone with physical
 
451
      access to the client hard drive might turn off the client
 
452
      computer, read the OpenPGP keys directly from the hard drive,
 
453
      and communicate with the server.  To safeguard against this, the
 
454
      server is supposed to notice the client disappearing and stop
 
455
      giving out the encrypted data.  Therefore, it is important to
 
456
      set the timeout and checker interval values tightly on the
 
457
      server.  See <citerefentry><refentrytitle
 
458
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
 
459
    </para>
 
460
    <para>
 
461
      It will also help if the checker program on the server is
 
462
      configured to request something from the client which can not be
 
463
      spoofed by someone else on the network, unlike unencrypted
 
464
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
465
    </para>
 
466
    <para>
 
467
      <emphasis>Note</emphasis>: This makes it completely insecure to
 
468
      have <application >Mandos</application> clients which dual-boot
 
469
      to another operating system which is <emphasis>not</emphasis>
 
470
      trusted to keep the initial <acronym>RAM</acronym> disk image
 
471
      confidential.
383
472
    </para>
384
473
  </refsect1>
385
 
 
 
474
  
386
475
  <refsect1 id="see_also">
387
476
    <title>SEE ALSO</title>
388
477
    <para>
 
478
      <citerefentry><refentrytitle>cryptsetup</refentrytitle>
 
479
      <manvolnum>8</manvolnum></citerefentry>,
 
480
      <citerefentry><refentrytitle>crypttab</refentrytitle>
 
481
      <manvolnum>5</manvolnum></citerefentry>,
389
482
      <citerefentry><refentrytitle>mandos</refentrytitle>
390
483
      <manvolnum>8</manvolnum></citerefentry>,
391
484
      <citerefentry><refentrytitle>password-prompt</refentrytitle>
393
486
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
394
487
      <manvolnum>8mandos</manvolnum></citerefentry>
395
488
    </para>
396
 
    <itemizedlist>
397
 
      <listitem><para>
398
 
        <ulink url="http://www.zeroconf.org/">Zeroconf</ulink>
399
 
      </para></listitem>
400
 
      
401
 
      <listitem><para>
402
 
        <ulink url="http://www.avahi.org/">Avahi</ulink>
403
 
      </para></listitem>
404
 
      
405
 
      <listitem><para>
406
 
        <ulink
407
 
            url="http://www.gnu.org/software/gnutls/">GnuTLS</ulink>
408
 
      </para></listitem>
409
 
      
410
 
      <listitem><para>
411
 
        <ulink
412
 
        url="http://www.gnupg.org/related_software/gpgme/"
413
 
        >GPGME</ulink>
414
 
      </para></listitem>
415
 
      
416
 
      <listitem><para>
417
 
        <citation>RFC 4880: <citetitle>OpenPGP Message
418
 
        Format</citetitle></citation>
419
 
      </para></listitem>
420
 
      
421
 
      <listitem><para>
422
 
        <citation>RFC 5081: <citetitle>Using OpenPGP Keys for
423
 
        Transport Layer Security</citetitle></citation>
424
 
      </para></listitem>
425
 
      
426
 
      <listitem><para>
427
 
        <citation>RFC 4291: <citetitle>IP Version 6 Addressing
428
 
        Architecture</citetitle>, section 2.5.6, Link-Local IPv6
429
 
        Unicast Addresses</citation>
430
 
      </para></listitem>
431
 
    </itemizedlist>
 
489
    <variablelist>
 
490
      <varlistentry>
 
491
        <term>
 
492
          <ulink url="http://www.zeroconf.org/">Zeroconf</ulink>
 
493
        </term>
 
494
        <listitem>
 
495
          <para>
 
496
            Zeroconf is the network protocol standard used for finding
 
497
            Mandos servers on the local network.
 
498
          </para>
 
499
        </listitem>
 
500
      </varlistentry>
 
501
      <varlistentry>
 
502
        <term>
 
503
          <ulink url="http://www.avahi.org/">Avahi</ulink>
 
504
        </term>
 
505
      <listitem>
 
506
        <para>
 
507
          Avahi is the library this program calls to find Zeroconf
 
508
          services.
 
509
        </para>
 
510
      </listitem>
 
511
      </varlistentry>
 
512
      <varlistentry>
 
513
        <term>
 
514
          <ulink url="http://www.gnu.org/software/gnutls/"
 
515
          >GnuTLS</ulink>
 
516
        </term>
 
517
      <listitem>
 
518
        <para>
 
519
          GnuTLS is the library this client uses to implement TLS for
 
520
          communicating securely with the server, and at the same time
 
521
          send the public OpenPGP key to the server.
 
522
        </para>
 
523
      </listitem>
 
524
      </varlistentry>
 
525
      <varlistentry>
 
526
        <term>
 
527
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
 
528
                 >GPGME</ulink>
 
529
        </term>
 
530
        <listitem>
 
531
          <para>
 
532
            GPGME is the library used to decrypt the OpenPGP data sent
 
533
            by the server.
 
534
          </para>
 
535
        </listitem>
 
536
      </varlistentry>
 
537
      <varlistentry>
 
538
        <term>
 
539
          RFC 4291: <citetitle>IP Version 6 Addressing
 
540
          Architecture</citetitle>
 
541
        </term>
 
542
        <listitem>
 
543
          <variablelist>
 
544
            <varlistentry>
 
545
              <term>Section 2.2: <citetitle>Text Representation of
 
546
              Addresses</citetitle></term>
 
547
              <listitem><para/></listitem>
 
548
            </varlistentry>
 
549
            <varlistentry>
 
550
              <term>Section 2.5.5.2: <citetitle>IPv4-Mapped IPv6
 
551
              Address</citetitle></term>
 
552
              <listitem><para/></listitem>
 
553
            </varlistentry>
 
554
            <varlistentry>
 
555
            <term>Section 2.5.6, <citetitle>Link-Local IPv6 Unicast
 
556
            Addresses</citetitle></term>
 
557
            <listitem>
 
558
              <para>
 
559
                This client uses IPv6 link-local addresses, which are
 
560
                immediately usable since a link-local addresses is
 
561
                automatically assigned to a network interfaces when it
 
562
                is brought up.
 
563
              </para>
 
564
            </listitem>
 
565
            </varlistentry>
 
566
          </variablelist>
 
567
        </listitem>
 
568
      </varlistentry>
 
569
      <varlistentry>
 
570
        <term>
 
571
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
572
          Protocol Version 1.1</citetitle>
 
573
        </term>
 
574
      <listitem>
 
575
        <para>
 
576
          TLS 1.1 is the protocol implemented by GnuTLS.
 
577
        </para>
 
578
      </listitem>
 
579
      </varlistentry>
 
580
      <varlistentry>
 
581
        <term>
 
582
          RFC 4880: <citetitle>OpenPGP Message Format</citetitle>
 
583
        </term>
 
584
      <listitem>
 
585
        <para>
 
586
          The data received from the server is binary encrypted
 
587
          OpenPGP data.
 
588
        </para>
 
589
      </listitem>
 
590
      </varlistentry>
 
591
      <varlistentry>
 
592
        <term>
 
593
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
 
594
          Security</citetitle>
 
595
        </term>
 
596
      <listitem>
 
597
        <para>
 
598
          This is implemented by GnuTLS and used by this program so
 
599
          that OpenPGP keys can be used.
 
600
        </para>
 
601
      </listitem>
 
602
      </varlistentry>
 
603
    </variablelist>
432
604
  </refsect1>
433
 
 
434
605
</refentry>
 
606
 
435
607
<!-- Local Variables: -->
436
608
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
437
609
<!-- time-stamp-end: "[\"']>" -->