/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2013-10-13 01:49:18 UTC
  • mto: (237.7.272 trunk)
  • mto: This revision was merged to the branch mainline in revision 303.
  • Revision ID: teddy@recompile.se-20131013014918-08ybiy64qxy4ceza
* initramfs-tools-hook: Bug fix: Make sure the right version of GnuPG
                        is copied into the initramfs image.  Always
                        assume that GPGME is used to avoid searching
                        for it since the path might not be /usr/lib.
                        Thanks to Félix Sipma <felix+debian@gueux.org>
                        for the initial bug report, and also thanks to
                        Dick Middleton <dick@lingbrae.com> for some
                        more debugging.
* initramfs-unpack: New script to help with development and debugging.
                    It is only part of the source tree, it is not
                    installed.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2015-07-20">
 
5
<!ENTITY TIMESTAMP "2013-06-21">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
 
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
37
      <holder>Teddy Hogeborn</holder>
43
38
      <holder>Björn Påhlsson</holder>
44
39
    </copyright>
101
96
      </arg>
102
97
      <sbr/>
103
98
      <arg>
104
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
105
 
      </arg>
106
 
      <sbr/>
107
 
      <arg>
108
99
        <option>--delay <replaceable>SECONDS</replaceable></option>
109
100
      </arg>
110
101
      <sbr/>
227
218
            assumed to separate the address from the port number.
228
219
          </para>
229
220
          <para>
230
 
            Normally, Zeroconf would be used to locate Mandos servers,
231
 
            in which case this option would only be used when testing
232
 
            and debugging.
 
221
            This option is normally only useful for testing and
 
222
            debugging.
233
223
          </para>
234
224
        </listitem>
235
225
      </varlistentry>
268
258
          <para>
269
259
            <replaceable>NAME</replaceable> can be the string
270
260
            <quote><literal>none</literal></quote>; this will make
271
 
            <command>&COMMANDNAME;</command> only bring up interfaces
272
 
            specified <emphasis>before</emphasis> this string.  This
273
 
            is not recommended, and only meant for advanced users.
 
261
            <command>&COMMANDNAME;</command> not bring up
 
262
            <emphasis>any</emphasis> interfaces specified
 
263
            <emphasis>after</emphasis> this string.  This is not
 
264
            recommended, and only meant for advanced users.
274
265
          </para>
275
266
        </listitem>
276
267
      </varlistentry>
318
309
        <listitem>
319
310
          <para>
320
311
            Sets the number of bits to use for the prime number in the
321
 
            TLS Diffie-Hellman key exchange.  The default value is
322
 
            selected automatically based on the OpenPGP key.  Note
323
 
            that if the <option>--dh-params</option> option is used,
324
 
            the values from that file will be used instead.
325
 
          </para>
326
 
        </listitem>
327
 
      </varlistentry>
328
 
      
329
 
      <varlistentry>
330
 
        <term><option>--dh-params=<replaceable
331
 
        >FILE</replaceable></option></term>
332
 
        <listitem>
333
 
          <para>
334
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
335
 
            needed by the TLS Diffie-Hellman key exchange from.  If
336
 
            this option is not given, or if the file for some reason
337
 
            could not be used, the parameters will be generated on
338
 
            startup, which will take some time and processing power.
339
 
            Those using servers running under time, power or processor
340
 
            constraints may want to generate such a file in advance
341
 
            and use this option.
 
312
            TLS Diffie-Hellman key exchange.  Default is 1024.
342
313
          </para>
343
314
        </listitem>
344
315
      </varlistentry>
471
442
  
472
443
  <refsect1 id="environment">
473
444
    <title>ENVIRONMENT</title>
474
 
    <variablelist>
475
 
      <varlistentry>
476
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
477
 
        <listitem>
478
 
          <para>
479
 
            This environment variable will be assumed to contain the
480
 
            directory containing any helper executables.  The use and
481
 
            nature of these helper executables, if any, is
482
 
            purposefully not documented.
483
 
        </para>
484
 
        </listitem>
485
 
      </varlistentry>
486
 
    </variablelist>
487
445
    <para>
488
 
      This program does not use any other environment variables, not
489
 
      even the ones provided by <citerefentry><refentrytitle
 
446
      This program does not use any environment variables, not even
 
447
      the ones provided by <citerefentry><refentrytitle
490
448
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
491
449
    </citerefentry>.
492
450
    </para>
788
746
    <para>
789
747
      It will also help if the checker program on the server is
790
748
      configured to request something from the client which can not be
791
 
      spoofed by someone else on the network, like SSH server key
792
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
793
 
      echo (<quote>ping</quote>) replies.
 
749
      spoofed by someone else on the network, unlike unencrypted
 
750
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
794
751
    </para>
795
752
    <para>
796
753
      <emphasis>Note</emphasis>: This makes it completely insecure to