/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

* mandos (ClientDBus.__init__): Bug fix: Translate "-" in client names
                                to "_" in D-Bus object paths.
  (MandosServer.handle_ipc): Bug fix: Send only address string to
                             D-Bus signal, not whole tuple.

* mandos-ctl: New options "--approve-by-default", "--deny-by-default",
              "--approval-delay", and "--approval-duration".
* mandos-ctl.xml (SYNOPSIS, OPTIONS): Document new options.

* mandos-monitor (MandosClientWidget.update): Fix spelling.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2009-09-17">
 
5
<!ENTITY TIMESTAMP "2010-09-25">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
338
338
    </para>
339
339
  </refsect1>
340
340
  
 
341
  <refsect1 id="approval">
 
342
    <title>APPROVAL</title>
 
343
    <para>
 
344
      The server can be configured to require manual approval for a
 
345
      client before it is sent its secret.  The delay to wait for such
 
346
      approval and the default action (approve or deny) can be
 
347
      configured both globally and per client; see <citerefentry>
 
348
      <refentrytitle>mandos-clients.conf</refentrytitle>
 
349
      <manvolnum>5</manvolnum></citerefentry>.  By default all clients
 
350
      will be approved immediately without delay.
 
351
    </para>
 
352
    <para>
 
353
      This can be used to deny a client its secret if not manually
 
354
      approved within a specified time.  It can also be used to make
 
355
      the server delay before giving a client its secret, allowing
 
356
      optional manual denying of this specific client.
 
357
    </para>
 
358
    
 
359
  </refsect1>
 
360
  
341
361
  <refsect1 id="logging">
342
362
    <title>LOGGING</title>
343
363
    <para>
353
373
    <para>
354
374
      The server will by default provide a D-Bus system bus interface.
355
375
      This interface will only be accessible by the root user or a
356
 
      Mandos-specific user, if such a user exists.
357
 
      <!-- XXX -->
 
376
      Mandos-specific user, if such a user exists.  For documentation
 
377
      of the D-Bus API, see the file <filename>DBUS-API</filename>.
358
378
    </para>
359
379
  </refsect1>
360
380
  
418
438
        <term><filename>/var/run/mandos.pid</filename></term>
419
439
        <listitem>
420
440
          <para>
421
 
            The file containing the process id of
422
 
            <command>&COMMANDNAME;</command>.
 
441
            The file containing the process id of the
 
442
            <command>&COMMANDNAME;</command> process started last.
423
443
          </para>
424
444
        </listitem>
425
445
      </varlistentry>
453
473
      backtrace.  This could be considered a feature.
454
474
    </para>
455
475
    <para>
456
 
      Currently, if a client is declared <quote>invalid</quote> due to
457
 
      having timed out, the server does not record this fact onto
458
 
      permanent storage.  This has some security implications, see
459
 
      <xref linkend="clients"/>.
460
 
    </para>
461
 
    <para>
462
 
      There is currently no way of querying the server of the current
463
 
      status of clients, other than analyzing its <systemitem
464
 
      class="service">syslog</systemitem> output.
 
476
      Currently, if a client is disabled due to having timed out, the
 
477
      server does not record this fact onto permanent storage.  This
 
478
      has some security implications, see <xref linkend="clients"/>.
465
479
    </para>
466
480
    <para>
467
481
      There is no fine-grained control over logging and debug output.
549
563
      </para>
550
564
      <para>
551
565
        If a client is compromised, its downtime should be duly noted
552
 
        by the server which would therefore declare the client
553
 
        invalid.  But if the server was ever restarted, it would
554
 
        re-read its client list from its configuration file and again
555
 
        regard all clients therein as valid, and hence eligible to
556
 
        receive their passwords.  Therefore, be careful when
557
 
        restarting servers if it is suspected that a client has, in
558
 
        fact, been compromised by parties who may now be running a
559
 
        fake Mandos client with the keys from the non-encrypted
560
 
        initial <acronym>RAM</acronym> image of the client host.  What
561
 
        should be done in that case (if restarting the server program
562
 
        really is necessary) is to stop the server program, edit the
563
 
        configuration file to omit any suspect clients, and restart
564
 
        the server program.
 
566
        by the server which would therefore disable the client.  But
 
567
        if the server was ever restarted, it would re-read its client
 
568
        list from its configuration file and again regard all clients
 
569
        therein as enabled, and hence eligible to receive their
 
570
        passwords.  Therefore, be careful when restarting servers if
 
571
        it is suspected that a client has, in fact, been compromised
 
572
        by parties who may now be running a fake Mandos client with
 
573
        the keys from the non-encrypted initial <acronym>RAM</acronym>
 
574
        image of the client host.  What should be done in that case
 
575
        (if restarting the server program really is necessary) is to
 
576
        stop the server program, edit the configuration file to omit
 
577
        any suspect clients, and restart the server program.
565
578
      </para>
566
579
      <para>
567
580
        For more details on client-side security, see