/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

* mandos (Client.timeout, Client.interval): Changed from being a
                                            property to be a normal
                                            attribute.
  (Client._timeout, Client._interval): Removed.
  (Client._timeout_milliseconds): Changed from being an attribute to
                                  be a method "timeout_milliseconds".
                                  All users changed.
  (Client._interval_milliseconds): Changed from being an attribute to
                                   be method "interval_milliseconds".
                                   All users changed.
  (Client.__init__): Take additional "use_dbus" keyword argument.
                     Only provide D-Bus interface if "use_dbus" is
                     True.
  (Client.use_dbus): New attribute.
  (Client.dbus_object_path): Changed to only be set if "self.use_dbus"
                             is True.
  (Client.enable, Client.disable, Client.checker_callback,
  Client.bump_timeout, Client.start_checker, Client.stop_checker):
  Only emit D-Bus signals if "self.use_dbus".
  (Client.SetChecker, Client.SetHost, Client.Enable): Bug fix: Emit
                                                      D-Bus signals.
  (Client.SetInterval, Client.SetTimeout): Changed to emit D-Bus
                                           signals.

  (main): Remove deprecated "default" keyword argument to "--check"
          option.  Added new "--no-dbus" option.  Added corresponding
          "use_dbus" server configuration option.  Only provide D-Bus
          interface and emit D-Bus signals if "use_dbus".  Pass
          "use_dbus" on to Client constructor.

* mandos-options.xml ([@id="dbus"]): New option.

* mandos.conf (use_dbus): New option.

* mandos.conf.xml (OPTIONS): New option "use_dbus".
  (EXAMPLE): - '' -

* mandos.xml (SYNOPSIS): New option "--no-dbus".
  (D-BUS INTERFACE): New section.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2009-12-09">
 
5
<!ENTITY TIMESTAMP "2008-12-28">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
32
32
    </authorgroup>
33
33
    <copyright>
34
34
      <year>2008</year>
35
 
      <year>2009</year>
36
35
      <holder>Teddy Hogeborn</holder>
37
36
      <holder>Björn Påhlsson</holder>
38
37
    </copyright>
87
86
      <arg><option>--debug</option></arg>
88
87
      <sbr/>
89
88
      <arg><option>--no-dbus</option></arg>
90
 
      <sbr/>
91
 
      <arg><option>--no-ipv6</option></arg>
92
89
    </cmdsynopsis>
93
90
    <cmdsynopsis>
94
91
      <command>&COMMANDNAME;</command>
239
236
        <listitem>
240
237
          <xi:include href="mandos-options.xml" xpointer="dbus"/>
241
238
          <para>
242
 
            See also <xref linkend="dbus_interface"/>.
243
 
          </para>
244
 
        </listitem>
245
 
      </varlistentry>
246
 
      
247
 
      <varlistentry>
248
 
        <term><option>--no-ipv6</option></term>
249
 
        <listitem>
250
 
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
 
239
            See also <xref linkend="dbus"/>.
251
240
        </listitem>
252
241
      </varlistentry>
253
242
    </variablelist>
327
316
      The server will, by default, continually check that the clients
328
317
      are still up.  If a client has not been confirmed as being up
329
318
      for some time, the client is assumed to be compromised and is no
330
 
      longer eligible to receive the encrypted password.  (Manual
331
 
      intervention is required to re-enable a client.)  The timeout,
 
319
      longer eligible to receive the encrypted password.  The timeout,
332
320
      checker program, and interval between checks can be configured
333
321
      both globally and per client; see <citerefentry>
334
322
      <refentrytitle>mandos-clients.conf</refentrytitle>
335
 
      <manvolnum>5</manvolnum></citerefentry>.  A client successfully
336
 
      receiving its password will also be treated as a successful
337
 
      checker run.
 
323
      <manvolnum>5</manvolnum></citerefentry>.
338
324
    </para>
339
325
  </refsect1>
340
326
  
348
334
    </para>
349
335
  </refsect1>
350
336
  
351
 
  <refsect1 id="dbus_interface">
 
337
  <refsect1 id="dbus">
352
338
    <title>D-BUS INTERFACE</title>
353
339
    <para>
354
340
      The server will by default provide a D-Bus system bus interface.
357
343
      <!-- XXX -->
358
344
    </para>
359
345
  </refsect1>
360
 
  
 
346
 
361
347
  <refsect1 id="exit_status">
362
348
    <title>EXIT STATUS</title>
363
349
    <para>
453
439
      backtrace.  This could be considered a feature.
454
440
    </para>
455
441
    <para>
456
 
      Currently, if a client is disabled due to having timed out, the
457
 
      server does not record this fact onto permanent storage.  This
458
 
      has some security implications, see <xref linkend="clients"/>.
 
442
      Currently, if a client is declared <quote>invalid</quote> due to
 
443
      having timed out, the server does not record this fact onto
 
444
      permanent storage.  This has some security implications, see
 
445
      <xref linkend="clients"/>.
459
446
    </para>
460
447
    <para>
461
448
      There is currently no way of querying the server of the current
469
456
      Debug mode is conflated with running in the foreground.
470
457
    </para>
471
458
    <para>
472
 
      The console log messages do not show a time stamp.
 
459
      The console log messages does not show a time stamp.
473
460
    </para>
474
461
    <para>
475
462
      This server does not check the expire time of clients’ OpenPGP
548
535
      </para>
549
536
      <para>
550
537
        If a client is compromised, its downtime should be duly noted
551
 
        by the server which would therefore disable the client.  But
552
 
        if the server was ever restarted, it would re-read its client
553
 
        list from its configuration file and again regard all clients
554
 
        therein as enabled, and hence eligible to receive their
555
 
        passwords.  Therefore, be careful when restarting servers if
556
 
        it is suspected that a client has, in fact, been compromised
557
 
        by parties who may now be running a fake Mandos client with
558
 
        the keys from the non-encrypted initial <acronym>RAM</acronym>
559
 
        image of the client host.  What should be done in that case
560
 
        (if restarting the server program really is necessary) is to
561
 
        stop the server program, edit the configuration file to omit
562
 
        any suspect clients, and restart the server program.
 
538
        by the server which would therefore declare the client
 
539
        invalid.  But if the server was ever restarted, it would
 
540
        re-read its client list from its configuration file and again
 
541
        regard all clients therein as valid, and hence eligible to
 
542
        receive their passwords.  Therefore, be careful when
 
543
        restarting servers if it is suspected that a client has, in
 
544
        fact, been compromised by parties who may now be running a
 
545
        fake Mandos client with the keys from the non-encrypted
 
546
        initial <acronym>RAM</acronym> image of the client host.  What
 
547
        should be done in that case (if restarting the server program
 
548
        really is necessary) is to stop the server program, edit the
 
549
        configuration file to omit any suspect clients, and restart
 
550
        the server program.
563
551
      </para>
564
552
      <para>
565
553
        For more details on client-side security, see