/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-10-04 13:44:03 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 327.
  • Revision ID: teddy@recompile.se-20151004134403-jn72bwgbw3aocllk
* initramfs-tools-hook: Don't try to chmod symlinks.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2011-10-03">
 
5
<!ENTITY TIMESTAMP "2015-07-20">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
35
35
      <year>2009</year>
36
36
      <year>2010</year>
37
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
38
42
      <holder>Teddy Hogeborn</holder>
39
43
      <holder>Björn Påhlsson</holder>
40
44
    </copyright>
94
98
      <arg><option>--no-dbus</option></arg>
95
99
      <sbr/>
96
100
      <arg><option>--no-ipv6</option></arg>
 
101
      <sbr/>
 
102
      <arg><option>--no-restore</option></arg>
 
103
      <sbr/>
 
104
      <arg><option>--statedir
 
105
      <replaceable>DIRECTORY</replaceable></option></arg>
 
106
      <sbr/>
 
107
      <arg><option>--socket
 
108
      <replaceable>FD</replaceable></option></arg>
 
109
      <sbr/>
 
110
      <arg><option>--foreground</option></arg>
 
111
      <sbr/>
 
112
      <arg><option>--no-zeroconf</option></arg>
97
113
    </cmdsynopsis>
98
114
    <cmdsynopsis>
99
115
      <command>&COMMANDNAME;</command>
275
291
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
276
292
        </listitem>
277
293
      </varlistentry>
 
294
      
 
295
      <varlistentry>
 
296
        <term><option>--no-restore</option></term>
 
297
        <listitem>
 
298
          <xi:include href="mandos-options.xml" xpointer="restore"/>
 
299
          <para>
 
300
            See also <xref linkend="persistent_state"/>.
 
301
          </para>
 
302
        </listitem>
 
303
      </varlistentry>
 
304
      
 
305
      <varlistentry>
 
306
        <term><option>--statedir
 
307
        <replaceable>DIRECTORY</replaceable></option></term>
 
308
        <listitem>
 
309
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
 
310
        </listitem>
 
311
      </varlistentry>
 
312
      
 
313
      <varlistentry>
 
314
        <term><option>--socket
 
315
        <replaceable>FD</replaceable></option></term>
 
316
        <listitem>
 
317
          <xi:include href="mandos-options.xml" xpointer="socket"/>
 
318
        </listitem>
 
319
      </varlistentry>
 
320
      
 
321
      <varlistentry>
 
322
        <term><option>--foreground</option></term>
 
323
        <listitem>
 
324
          <xi:include href="mandos-options.xml"
 
325
                      xpointer="foreground"/>
 
326
        </listitem>
 
327
      </varlistentry>
 
328
      
 
329
      <varlistentry>
 
330
        <term><option>--no-zeroconf</option></term>
 
331
        <listitem>
 
332
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
 
333
        </listitem>
 
334
      </varlistentry>
 
335
      
278
336
    </variablelist>
279
337
  </refsect1>
280
338
  
357
415
      extended timeout, checker program, and interval between checks
358
416
      can be configured both globally and per client; see
359
417
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
360
 
      <manvolnum>5</manvolnum></citerefentry>.  A client successfully
361
 
      receiving its password will also be treated as a successful
362
 
      checker run.
 
418
      <manvolnum>5</manvolnum></citerefentry>.
363
419
    </para>
364
420
  </refsect1>
365
421
  
387
443
    <title>LOGGING</title>
388
444
    <para>
389
445
      The server will send log message with various severity levels to
390
 
      <filename>/dev/log</filename>.  With the
 
446
      <filename class="devicefile">/dev/log</filename>.  With the
391
447
      <option>--debug</option> option, it will log even more messages,
392
448
      and also show them on the console.
393
449
    </para>
394
450
  </refsect1>
395
451
  
 
452
  <refsect1 id="persistent_state">
 
453
    <title>PERSISTENT STATE</title>
 
454
    <para>
 
455
      Client settings, initially read from
 
456
      <filename>clients.conf</filename>, are persistent across
 
457
      restarts, and run-time changes will override settings in
 
458
      <filename>clients.conf</filename>.  However, if a setting is
 
459
      <emphasis>changed</emphasis> (or a client added, or removed) in
 
460
      <filename>clients.conf</filename>, this will take precedence.
 
461
    </para>
 
462
  </refsect1>
 
463
  
396
464
  <refsect1 id="dbus_interface">
397
465
    <title>D-BUS INTERFACE</title>
398
466
    <para>
460
528
        </listitem>
461
529
      </varlistentry>
462
530
      <varlistentry>
463
 
        <term><filename>/var/run/mandos.pid</filename></term>
 
531
        <term><filename>/run/mandos.pid</filename></term>
464
532
        <listitem>
465
533
          <para>
466
534
            The file containing the process id of the
467
535
            <command>&COMMANDNAME;</command> process started last.
 
536
            <emphasis >Note:</emphasis> If the <filename
 
537
            class="directory">/run</filename> directory does not
 
538
            exist, <filename>/var/run/mandos.pid</filename> will be
 
539
            used instead.
 
540
          </para>
 
541
        </listitem>
 
542
      </varlistentry>
 
543
      <varlistentry>
 
544
        <term><filename class="devicefile">/dev/log</filename></term>
 
545
      </varlistentry>
 
546
      <varlistentry>
 
547
        <term><filename
 
548
        class="directory">/var/lib/mandos</filename></term>
 
549
        <listitem>
 
550
          <para>
 
551
            Directory where persistent state will be saved.  Change
 
552
            this with the <option>--statedir</option> option.  See
 
553
            also the <option>--no-restore</option> option.
468
554
          </para>
469
555
        </listitem>
470
556
      </varlistentry>
498
584
      backtrace.  This could be considered a feature.
499
585
    </para>
500
586
    <para>
501
 
      Currently, if a client is disabled due to having timed out, the
502
 
      server does not record this fact onto permanent storage.  This
503
 
      has some security implications, see <xref linkend="clients"/>.
504
 
    </para>
505
 
    <para>
506
587
      There is no fine-grained control over logging and debug output.
507
588
    </para>
508
589
    <para>
509
 
      Debug mode is conflated with running in the foreground.
510
 
    </para>
511
 
    <para>
512
 
      The console log messages do not show a time stamp.
513
 
    </para>
514
 
    <para>
515
590
      This server does not check the expire time of clients’ OpenPGP
516
591
      keys.
517
592
    </para>
530
605
    <informalexample>
531
606
      <para>
532
607
        Run the server in debug mode, read configuration files from
533
 
        the <filename>~/mandos</filename> directory, and use the
534
 
        Zeroconf service name <quote>Test</quote> to not collide with
535
 
        any other official Mandos server on this host:
 
608
        the <filename class="directory">~/mandos</filename> directory,
 
609
        and use the Zeroconf service name <quote>Test</quote> to not
 
610
        collide with any other official Mandos server on this host:
536
611
      </para>
537
612
      <para>
538
613
 
587
662
        compromised if they are gone for too long.
588
663
      </para>
589
664
      <para>
590
 
        If a client is compromised, its downtime should be duly noted
591
 
        by the server which would therefore disable the client.  But
592
 
        if the server was ever restarted, it would re-read its client
593
 
        list from its configuration file and again regard all clients
594
 
        therein as enabled, and hence eligible to receive their
595
 
        passwords.  Therefore, be careful when restarting servers if
596
 
        it is suspected that a client has, in fact, been compromised
597
 
        by parties who may now be running a fake Mandos client with
598
 
        the keys from the non-encrypted initial <acronym>RAM</acronym>
599
 
        image of the client host.  What should be done in that case
600
 
        (if restarting the server program really is necessary) is to
601
 
        stop the server program, edit the configuration file to omit
602
 
        any suspect clients, and restart the server program.
603
 
      </para>
604
 
      <para>
605
665
        For more details on client-side security, see
606
666
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
607
667
        <manvolnum>8mandos</manvolnum></citerefentry>.
648
708
      </varlistentry>
649
709
      <varlistentry>
650
710
        <term>
651
 
          <ulink url="http://www.gnu.org/software/gnutls/"
652
 
          >GnuTLS</ulink>
 
711
          <ulink url="http://gnutls.org/">GnuTLS</ulink>
653
712
        </term>
654
713
      <listitem>
655
714
        <para>
693
752
      </varlistentry>
694
753
      <varlistentry>
695
754
        <term>
696
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
697
 
          Protocol Version 1.1</citetitle>
 
755
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
756
          Protocol Version 1.2</citetitle>
698
757
        </term>
699
758
      <listitem>
700
759
        <para>
701
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
760
          TLS 1.2 is the protocol implemented by GnuTLS.
702
761
        </para>
703
762
      </listitem>
704
763
      </varlistentry>
714
773
      </varlistentry>
715
774
      <varlistentry>
716
775
        <term>
717
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
718
 
          Security</citetitle>
 
776
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
777
          Security (TLS) Authentication</citetitle>
719
778
        </term>
720
779
      <listitem>
721
780
        <para>