/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

* mandos (Client.runtime_expansions): Add "expires" and (bug fix)
                                      "last_approval_request".
  (main): Don't ignore SIGINT.
* mandos-clients.conf.xml (RUNTIME EXPANSION): Added "expires".

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2019-02-09">
 
5
<!ENTITY TIMESTAMP "2012-01-15">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
36
36
      <year>2010</year>
37
37
      <year>2011</year>
38
38
      <year>2012</year>
39
 
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
39
      <holder>Teddy Hogeborn</holder>
46
40
      <holder>Björn Påhlsson</holder>
47
41
    </copyright>
106
100
      <sbr/>
107
101
      <arg><option>--statedir
108
102
      <replaceable>DIRECTORY</replaceable></option></arg>
109
 
      <sbr/>
110
 
      <arg><option>--socket
111
 
      <replaceable>FD</replaceable></option></arg>
112
 
      <sbr/>
113
 
      <arg><option>--foreground</option></arg>
114
 
      <sbr/>
115
 
      <arg><option>--no-zeroconf</option></arg>
116
103
    </cmdsynopsis>
117
104
    <cmdsynopsis>
118
105
      <command>&COMMANDNAME;</command>
312
299
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
313
300
        </listitem>
314
301
      </varlistentry>
315
 
      
316
 
      <varlistentry>
317
 
        <term><option>--socket
318
 
        <replaceable>FD</replaceable></option></term>
319
 
        <listitem>
320
 
          <xi:include href="mandos-options.xml" xpointer="socket"/>
321
 
        </listitem>
322
 
      </varlistentry>
323
 
      
324
 
      <varlistentry>
325
 
        <term><option>--foreground</option></term>
326
 
        <listitem>
327
 
          <xi:include href="mandos-options.xml"
328
 
                      xpointer="foreground"/>
329
 
        </listitem>
330
 
      </varlistentry>
331
 
      
332
 
      <varlistentry>
333
 
        <term><option>--no-zeroconf</option></term>
334
 
        <listitem>
335
 
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
336
 
        </listitem>
337
 
      </varlistentry>
338
 
      
339
302
    </variablelist>
340
303
  </refsect1>
341
304
  
361
324
      start a TLS protocol handshake with a slight quirk: the Mandos
362
325
      server program acts as a TLS <quote>client</quote> while the
363
326
      connecting Mandos client acts as a TLS <quote>server</quote>.
364
 
      The Mandos client must supply a TLS public key, and the key ID
365
 
      of this public key is used by the Mandos server to look up (in a
366
 
      list read from <filename>clients.conf</filename> at start time)
367
 
      which binary blob to give the client.  No other authentication
368
 
      or authorization is done by the server.
 
327
      The Mandos client must supply an OpenPGP certificate, and the
 
328
      fingerprint of this certificate is used by the Mandos server to
 
329
      look up (in a list read from <filename>clients.conf</filename>
 
330
      at start time) which binary blob to give the client.  No other
 
331
      authentication or authorization is done by the server.
369
332
    </para>
370
333
    <table>
371
334
      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>
391
354
        </emphasis></entry>
392
355
      </row>
393
356
      <row>
394
 
        <entry>Public key (part of TLS handshake)</entry>
 
357
        <entry>OpenPGP public key (part of TLS handshake)</entry>
395
358
        <entry>-><!-- &rarr; --></entry>
396
359
      </row>
397
360
      <row>
531
494
        </listitem>
532
495
      </varlistentry>
533
496
      <varlistentry>
534
 
        <term><filename>/run/mandos.pid</filename></term>
 
497
        <term><filename>/var/run/mandos.pid</filename></term>
535
498
        <listitem>
536
499
          <para>
537
500
            The file containing the process id of the
538
501
            <command>&COMMANDNAME;</command> process started last.
539
 
            <emphasis >Note:</emphasis> If the <filename
540
 
            class="directory">/run</filename> directory does not
541
 
            exist, <filename>/var/run/mandos.pid</filename> will be
542
 
            used instead.
543
502
          </para>
544
503
        </listitem>
545
504
      </varlistentry>
546
505
      <varlistentry>
 
506
        <term><filename class="devicefile">/dev/log</filename></term>
 
507
      </varlistentry>
 
508
      <varlistentry>
547
509
        <term><filename
548
510
        class="directory">/var/lib/mandos</filename></term>
549
511
        <listitem>
555
517
        </listitem>
556
518
      </varlistentry>
557
519
      <varlistentry>
558
 
        <term><filename class="devicefile">/dev/log</filename></term>
 
520
        <term><filename>/dev/log</filename></term>
559
521
        <listitem>
560
522
          <para>
561
523
            The Unix domain socket to where local syslog messages are
586
548
    <para>
587
549
      There is no fine-grained control over logging and debug output.
588
550
    </para>
589
 
    <xi:include href="bugs.xml"/>
 
551
    <para>
 
552
      Debug mode is conflated with running in the foreground.
 
553
    </para>
 
554
    <para>
 
555
      This server does not check the expire time of clients’ OpenPGP
 
556
      keys.
 
557
    </para>
590
558
  </refsect1>
591
559
  
592
560
  <refsect1 id="example">
642
610
      <title>CLIENTS</title>
643
611
      <para>
644
612
        The server only gives out its stored data to clients which
645
 
        does have the correct key ID of the stored key ID.  This is
646
 
        guaranteed by the fact that the client sends its public key in
647
 
        the TLS handshake; this ensures it to be genuine.  The server
648
 
        computes the key ID of the key itself and looks up the key ID
649
 
        in its list of clients. The <filename>clients.conf</filename>
650
 
        file (see
 
613
        does have the OpenPGP key of the stored fingerprint.  This is
 
614
        guaranteed by the fact that the client sends its OpenPGP
 
615
        public key in the TLS handshake; this ensures it to be
 
616
        genuine.  The server computes the fingerprint of the key
 
617
        itself and looks up the fingerprint in its list of
 
618
        clients. The <filename>clients.conf</filename> file (see
651
619
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
652
620
        <manvolnum>5</manvolnum></citerefentry>)
653
621
        <emphasis>must</emphasis> be made non-readable by anyone
705
673
      </varlistentry>
706
674
      <varlistentry>
707
675
        <term>
708
 
          <ulink url="https://gnutls.org/">GnuTLS</ulink>
 
676
          <ulink url="http://www.gnu.org/software/gnutls/"
 
677
          >GnuTLS</ulink>
709
678
        </term>
710
679
      <listitem>
711
680
        <para>
712
681
          GnuTLS is the library this server uses to implement TLS for
713
682
          communicating securely with the client, and at the same time
714
 
          confidently get the client’s public key.
 
683
          confidently get the client’s public OpenPGP key.
715
684
        </para>
716
685
      </listitem>
717
686
      </varlistentry>
749
718
      </varlistentry>
750
719
      <varlistentry>
751
720
        <term>
752
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
753
 
          Protocol Version 1.2</citetitle>
 
721
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
722
          Protocol Version 1.1</citetitle>
754
723
        </term>
755
724
      <listitem>
756
725
        <para>
757
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
726
          TLS 1.1 is the protocol implemented by GnuTLS.
758
727
        </para>
759
728
      </listitem>
760
729
      </varlistentry>
770
739
      </varlistentry>
771
740
      <varlistentry>
772
741
        <term>
773
 
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
774
 
          Layer Security (TLS) and Datagram Transport Layer Security
775
 
          (DTLS)</citetitle>
776
 
        </term>
777
 
      <listitem>
778
 
        <para>
779
 
          This is implemented by GnuTLS version 3.6.6 and is, if
780
 
          present, used by this server so that raw public keys can be
781
 
          used.
782
 
        </para>
783
 
      </listitem>
784
 
      </varlistentry>
785
 
      <varlistentry>
786
 
        <term>
787
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
788
 
          Security (TLS) Authentication</citetitle>
789
 
        </term>
790
 
      <listitem>
791
 
        <para>
792
 
          This is implemented by GnuTLS before version 3.6.0 and is,
793
 
          if present, used by this server so that OpenPGP keys can be
794
 
          used.
 
742
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
 
743
          Security</citetitle>
 
744
        </term>
 
745
      <listitem>
 
746
        <para>
 
747
          This is implemented by GnuTLS and used by this server so
 
748
          that OpenPGP keys can be used.
795
749
        </para>
796
750
      </listitem>
797
751
      </varlistentry>