/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2016-03-07 23:39:36 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 337.
  • Revision ID: teddy@recompile.se-20160307233936-mhgpxhggamde443n
Server bug fix: Include CAP_SETGID so it does not run as root

* debian/mandos.postinst (configure): If old version was 1.7.4-1 or
  1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
  root.
* mandos (main): Print debug info about setuid() and setgid()
* mandos.service ([Service]/CapabilityBoundingSet): Add "CAP_KILL
  CAP_SETGID"; the latter is needed for setgid() to be allowed.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
4
<!ENTITY COMMANDNAME "mandos">
6
 
<!ENTITY TIMESTAMP "2008-08-29">
 
5
<!ENTITY TIMESTAMP "2016-03-05">
 
6
<!ENTITY % common SYSTEM "common.ent">
 
7
%common;
7
8
]>
8
9
 
9
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
10
 
  <refentryinfo>
 
11
   <refentryinfo>
11
12
    <title>Mandos Manual</title>
12
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
13
14
    <productname>Mandos</productname>
14
 
    <productnumber>&VERSION;</productnumber>
 
15
    <productnumber>&version;</productnumber>
15
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
18
19
        <firstname>Björn</firstname>
19
20
        <surname>Påhlsson</surname>
20
21
        <address>
21
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
22
23
        </address>
23
24
      </author>
24
25
      <author>
25
26
        <firstname>Teddy</firstname>
26
27
        <surname>Hogeborn</surname>
27
28
        <address>
28
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
29
30
        </address>
30
31
      </author>
31
32
    </authorgroup>
32
33
    <copyright>
33
34
      <year>2008</year>
 
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
34
43
      <holder>Teddy Hogeborn</holder>
35
44
      <holder>Björn Påhlsson</holder>
36
45
    </copyright>
37
 
    <legalnotice>
38
 
      <para>
39
 
        This manual page is free software: you can redistribute it
40
 
        and/or modify it under the terms of the GNU General Public
41
 
        License as published by the Free Software Foundation,
42
 
        either version 3 of the License, or (at your option) any
43
 
        later version.
44
 
      </para>
45
 
 
46
 
      <para>
47
 
        This manual page is distributed in the hope that it will
48
 
        be useful, but WITHOUT ANY WARRANTY; without even the
49
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
50
 
        PARTICULAR PURPOSE.  See the GNU General Public License
51
 
        for more details.
52
 
      </para>
53
 
 
54
 
      <para>
55
 
        You should have received a copy of the GNU General Public
56
 
        License along with this program; If not, see
57
 
        <ulink url="http://www.gnu.org/licenses/"/>.
58
 
      </para>
59
 
    </legalnotice>
 
46
    <xi:include href="legalnotice.xml"/>
60
47
  </refentryinfo>
61
 
 
 
48
  
62
49
  <refmeta>
63
50
    <refentrytitle>&COMMANDNAME;</refentrytitle>
64
51
    <manvolnum>8</manvolnum>
67
54
  <refnamediv>
68
55
    <refname><command>&COMMANDNAME;</command></refname>
69
56
    <refpurpose>
70
 
      Sends encrypted passwords to authenticated Mandos clients
 
57
      Gives encrypted passwords to authenticated Mandos clients
71
58
    </refpurpose>
72
59
  </refnamediv>
73
 
 
 
60
  
74
61
  <refsynopsisdiv>
75
62
    <cmdsynopsis>
76
63
      <command>&COMMANDNAME;</command>
77
 
      <arg>--interface<arg choice="plain">NAME</arg></arg>
78
 
      <arg>--address<arg choice="plain">ADDRESS</arg></arg>
79
 
      <arg>--port<arg choice="plain">PORT</arg></arg>
80
 
      <arg>--priority<arg choice="plain">PRIORITY</arg></arg>
81
 
      <arg>--servicename<arg choice="plain">NAME</arg></arg>
82
 
      <arg>--configdir<arg choice="plain">DIRECTORY</arg></arg>
83
 
      <arg>--debug</arg>
84
 
    </cmdsynopsis>
85
 
    <cmdsynopsis>
86
 
      <command>&COMMANDNAME;</command>
87
 
      <arg>-i<arg choice="plain">NAME</arg></arg>
88
 
      <arg>-a<arg choice="plain">ADDRESS</arg></arg>
89
 
      <arg>-p<arg choice="plain">PORT</arg></arg>
90
 
      <arg>--priority<arg choice="plain">PRIORITY</arg></arg>
91
 
      <arg>--servicename<arg choice="plain">NAME</arg></arg>
92
 
      <arg>--configdir<arg choice="plain">DIRECTORY</arg></arg>
93
 
      <arg>--debug</arg>
 
64
      <group>
 
65
        <arg choice="plain"><option>--interface
 
66
        <replaceable>NAME</replaceable></option></arg>
 
67
        <arg choice="plain"><option>-i
 
68
        <replaceable>NAME</replaceable></option></arg>
 
69
      </group>
 
70
      <sbr/>
 
71
      <group>
 
72
        <arg choice="plain"><option>--address
 
73
        <replaceable>ADDRESS</replaceable></option></arg>
 
74
        <arg choice="plain"><option>-a
 
75
        <replaceable>ADDRESS</replaceable></option></arg>
 
76
      </group>
 
77
      <sbr/>
 
78
      <group>
 
79
        <arg choice="plain"><option>--port
 
80
        <replaceable>PORT</replaceable></option></arg>
 
81
        <arg choice="plain"><option>-p
 
82
        <replaceable>PORT</replaceable></option></arg>
 
83
      </group>
 
84
      <sbr/>
 
85
      <arg><option>--priority
 
86
      <replaceable>PRIORITY</replaceable></option></arg>
 
87
      <sbr/>
 
88
      <arg><option>--servicename
 
89
      <replaceable>NAME</replaceable></option></arg>
 
90
      <sbr/>
 
91
      <arg><option>--configdir
 
92
      <replaceable>DIRECTORY</replaceable></option></arg>
 
93
      <sbr/>
 
94
      <arg><option>--debug</option></arg>
 
95
      <sbr/>
 
96
      <arg><option>--debuglevel
 
97
      <replaceable>LEVEL</replaceable></option></arg>
 
98
      <sbr/>
 
99
      <arg><option>--no-dbus</option></arg>
 
100
      <sbr/>
 
101
      <arg><option>--no-ipv6</option></arg>
 
102
      <sbr/>
 
103
      <arg><option>--no-restore</option></arg>
 
104
      <sbr/>
 
105
      <arg><option>--statedir
 
106
      <replaceable>DIRECTORY</replaceable></option></arg>
 
107
      <sbr/>
 
108
      <arg><option>--socket
 
109
      <replaceable>FD</replaceable></option></arg>
 
110
      <sbr/>
 
111
      <arg><option>--foreground</option></arg>
 
112
      <sbr/>
 
113
      <arg><option>--no-zeroconf</option></arg>
94
114
    </cmdsynopsis>
95
115
    <cmdsynopsis>
96
116
      <command>&COMMANDNAME;</command>
97
117
      <group choice="req">
98
 
        <arg choice="plain">-h</arg>
99
 
        <arg choice="plain">--help</arg>
 
118
        <arg choice="plain"><option>--help</option></arg>
 
119
        <arg choice="plain"><option>-h</option></arg>
100
120
      </group>
101
121
    </cmdsynopsis>
102
122
    <cmdsynopsis>
103
123
      <command>&COMMANDNAME;</command>
104
 
      <arg choice="plain">--version</arg>
 
124
      <arg choice="plain"><option>--version</option></arg>
105
125
    </cmdsynopsis>
106
126
    <cmdsynopsis>
107
127
      <command>&COMMANDNAME;</command>
108
 
      <arg choice="plain">--check</arg>
 
128
      <arg choice="plain"><option>--check</option></arg>
109
129
    </cmdsynopsis>
110
130
  </refsynopsisdiv>
111
 
 
 
131
  
112
132
  <refsect1 id="description">
113
133
    <title>DESCRIPTION</title>
114
134
    <para>
115
135
      <command>&COMMANDNAME;</command> is a server daemon which
116
136
      handles incoming request for passwords for a pre-defined list of
117
 
      client host computers.  The Mandos server uses Zeroconf to
118
 
      announce itself on the local network, and uses TLS to
119
 
      communicate securely with and to authenticate the clients.  The
120
 
      Mandos server uses IPv6 to allow Mandos clients to use IPv6
121
 
      link-local addresses, since the clients will probably not have
122
 
      any other addresses configured (see <xref linkend="overview"/>).
123
 
      Any authenticated client is then given the stored pre-encrypted
124
 
      password for that specific client.
 
137
      client host computers. For an introduction, see
 
138
      <citerefentry><refentrytitle>intro</refentrytitle>
 
139
      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server
 
140
      uses Zeroconf to announce itself on the local network, and uses
 
141
      TLS to communicate securely with and to authenticate the
 
142
      clients.  The Mandos server uses IPv6 to allow Mandos clients to
 
143
      use IPv6 link-local addresses, since the clients will probably
 
144
      not have any other addresses configured (see <xref
 
145
      linkend="overview"/>).  Any authenticated client is then given
 
146
      the stored pre-encrypted password for that specific client.
125
147
    </para>
126
 
 
127
148
  </refsect1>
128
149
  
129
150
  <refsect1 id="purpose">
130
151
    <title>PURPOSE</title>
131
 
 
132
152
    <para>
133
153
      The purpose of this is to enable <emphasis>remote and unattended
134
154
      rebooting</emphasis> of client host computer with an
135
155
      <emphasis>encrypted root file system</emphasis>.  See <xref
136
156
      linkend="overview"/> for details.
137
157
    </para>
138
 
 
139
158
  </refsect1>
140
159
  
141
160
  <refsect1 id="options">
142
161
    <title>OPTIONS</title>
143
 
 
144
162
    <variablelist>
145
163
      <varlistentry>
 
164
        <term><option>--help</option></term>
146
165
        <term><option>-h</option></term>
147
 
        <term><option>--help</option></term>
148
166
        <listitem>
149
167
          <para>
150
168
            Show a help message and exit
151
169
          </para>
152
170
        </listitem>
153
171
      </varlistentry>
154
 
 
 
172
      
155
173
      <varlistentry>
 
174
        <term><option>--interface</option>
 
175
        <replaceable>NAME</replaceable></term>
156
176
        <term><option>-i</option>
157
177
        <replaceable>NAME</replaceable></term>
158
 
        <term><option>--interface</option>
159
 
        <replaceable>NAME</replaceable></term>
160
178
        <listitem>
161
179
          <xi:include href="mandos-options.xml" xpointer="interface"/>
162
180
        </listitem>
163
181
      </varlistentry>
164
 
 
 
182
      
165
183
      <varlistentry>
166
 
        <term><literal>-a</literal>, <literal>--address <replaceable>
167
 
        ADDRESS</replaceable></literal></term>
 
184
        <term><option>--address
 
185
        <replaceable>ADDRESS</replaceable></option></term>
 
186
        <term><option>-a
 
187
        <replaceable>ADDRESS</replaceable></option></term>
168
188
        <listitem>
169
189
          <xi:include href="mandos-options.xml" xpointer="address"/>
170
190
        </listitem>
171
191
      </varlistentry>
172
 
 
 
192
      
173
193
      <varlistentry>
174
 
        <term><literal>-p</literal>, <literal>--port <replaceable>
175
 
        PORT</replaceable></literal></term>
 
194
        <term><option>--port
 
195
        <replaceable>PORT</replaceable></option></term>
 
196
        <term><option>-p
 
197
        <replaceable>PORT</replaceable></option></term>
176
198
        <listitem>
177
199
          <xi:include href="mandos-options.xml" xpointer="port"/>
178
200
        </listitem>
179
201
      </varlistentry>
180
 
 
 
202
      
181
203
      <varlistentry>
182
 
        <term><literal>--check</literal></term>
 
204
        <term><option>--check</option></term>
183
205
        <listitem>
184
206
          <para>
185
207
            Run the server’s self-tests.  This includes any unit
187
209
          </para>
188
210
        </listitem>
189
211
      </varlistentry>
190
 
 
 
212
      
191
213
      <varlistentry>
192
 
        <term><literal>--debug</literal></term>
 
214
        <term><option>--debug</option></term>
193
215
        <listitem>
194
216
          <xi:include href="mandos-options.xml" xpointer="debug"/>
195
217
        </listitem>
196
218
      </varlistentry>
197
 
 
198
 
      <varlistentry>
199
 
        <term><literal>--priority <replaceable>
200
 
        PRIORITY</replaceable></literal></term>
 
219
      
 
220
      <varlistentry>
 
221
        <term><option>--debuglevel
 
222
        <replaceable>LEVEL</replaceable></option></term>
 
223
        <listitem>
 
224
          <para>
 
225
            Set the debugging log level.
 
226
            <replaceable>LEVEL</replaceable> is a string, one of
 
227
            <quote><literal>CRITICAL</literal></quote>,
 
228
            <quote><literal>ERROR</literal></quote>,
 
229
            <quote><literal>WARNING</literal></quote>,
 
230
            <quote><literal>INFO</literal></quote>, or
 
231
            <quote><literal>DEBUG</literal></quote>, in order of
 
232
            increasing verbosity.  The default level is
 
233
            <quote><literal>WARNING</literal></quote>.
 
234
          </para>
 
235
        </listitem>
 
236
      </varlistentry>
 
237
      
 
238
      <varlistentry>
 
239
        <term><option>--priority <replaceable>
 
240
        PRIORITY</replaceable></option></term>
201
241
        <listitem>
202
242
          <xi:include href="mandos-options.xml" xpointer="priority"/>
203
243
        </listitem>
204
244
      </varlistentry>
205
 
 
 
245
      
206
246
      <varlistentry>
207
 
        <term><literal>--servicename <replaceable>NAME</replaceable>
208
 
        </literal></term>
 
247
        <term><option>--servicename
 
248
        <replaceable>NAME</replaceable></option></term>
209
249
        <listitem>
210
250
          <xi:include href="mandos-options.xml"
211
251
                      xpointer="servicename"/>
212
252
        </listitem>
213
253
      </varlistentry>
214
 
 
 
254
      
215
255
      <varlistentry>
216
 
        <term><literal>--configdir <replaceable>DIR</replaceable>
217
 
        </literal></term>
 
256
        <term><option>--configdir
 
257
        <replaceable>DIRECTORY</replaceable></option></term>
218
258
        <listitem>
219
259
          <para>
220
260
            Directory to search for configuration files.  Default is
226
266
          </para>
227
267
        </listitem>
228
268
      </varlistentry>
229
 
 
 
269
      
230
270
      <varlistentry>
231
 
        <term><literal>--version</literal></term>
 
271
        <term><option>--version</option></term>
232
272
        <listitem>
233
273
          <para>
234
274
            Prints the program version and exit.
235
275
          </para>
236
276
        </listitem>
237
277
      </varlistentry>
 
278
      
 
279
      <varlistentry>
 
280
        <term><option>--no-dbus</option></term>
 
281
        <listitem>
 
282
          <xi:include href="mandos-options.xml" xpointer="dbus"/>
 
283
          <para>
 
284
            See also <xref linkend="dbus_interface"/>.
 
285
          </para>
 
286
        </listitem>
 
287
      </varlistentry>
 
288
      
 
289
      <varlistentry>
 
290
        <term><option>--no-ipv6</option></term>
 
291
        <listitem>
 
292
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
 
293
        </listitem>
 
294
      </varlistentry>
 
295
      
 
296
      <varlistentry>
 
297
        <term><option>--no-restore</option></term>
 
298
        <listitem>
 
299
          <xi:include href="mandos-options.xml" xpointer="restore"/>
 
300
          <para>
 
301
            See also <xref linkend="persistent_state"/>.
 
302
          </para>
 
303
        </listitem>
 
304
      </varlistentry>
 
305
      
 
306
      <varlistentry>
 
307
        <term><option>--statedir
 
308
        <replaceable>DIRECTORY</replaceable></option></term>
 
309
        <listitem>
 
310
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
 
311
        </listitem>
 
312
      </varlistentry>
 
313
      
 
314
      <varlistentry>
 
315
        <term><option>--socket
 
316
        <replaceable>FD</replaceable></option></term>
 
317
        <listitem>
 
318
          <xi:include href="mandos-options.xml" xpointer="socket"/>
 
319
        </listitem>
 
320
      </varlistentry>
 
321
      
 
322
      <varlistentry>
 
323
        <term><option>--foreground</option></term>
 
324
        <listitem>
 
325
          <xi:include href="mandos-options.xml"
 
326
                      xpointer="foreground"/>
 
327
        </listitem>
 
328
      </varlistentry>
 
329
      
 
330
      <varlistentry>
 
331
        <term><option>--no-zeroconf</option></term>
 
332
        <listitem>
 
333
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
 
334
        </listitem>
 
335
      </varlistentry>
 
336
      
238
337
    </variablelist>
239
338
  </refsect1>
240
 
 
 
339
  
241
340
  <refsect1 id="overview">
242
341
    <title>OVERVIEW</title>
243
342
    <xi:include href="overview.xml"/>
244
343
    <para>
245
344
      This program is the server part.  It is a normal server program
246
345
      and will run in a normal system environment, not in an initial
247
 
      RAM disk environment.
 
346
      <acronym>RAM</acronym> disk environment.
248
347
    </para>
249
348
  </refsect1>
250
 
 
 
349
  
251
350
  <refsect1 id="protocol">
252
351
    <title>NETWORK PROTOCOL</title>
253
352
    <para>
305
404
      </row>
306
405
    </tbody></tgroup></table>
307
406
  </refsect1>
308
 
 
 
407
  
309
408
  <refsect1 id="checking">
310
409
    <title>CHECKING</title>
311
410
    <para>
312
411
      The server will, by default, continually check that the clients
313
412
      are still up.  If a client has not been confirmed as being up
314
413
      for some time, the client is assumed to be compromised and is no
315
 
      longer eligible to receive the encrypted password.  The timeout,
316
 
      checker program, and interval between checks can be configured
317
 
      both globally and per client; see <citerefentry>
 
414
      longer eligible to receive the encrypted password.  (Manual
 
415
      intervention is required to re-enable a client.)  The timeout,
 
416
      extended timeout, checker program, and interval between checks
 
417
      can be configured both globally and per client; see
 
418
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
419
      <manvolnum>5</manvolnum></citerefentry>.
 
420
    </para>
 
421
  </refsect1>
 
422
  
 
423
  <refsect1 id="approval">
 
424
    <title>APPROVAL</title>
 
425
    <para>
 
426
      The server can be configured to require manual approval for a
 
427
      client before it is sent its secret.  The delay to wait for such
 
428
      approval and the default action (approve or deny) can be
 
429
      configured both globally and per client; see <citerefentry>
318
430
      <refentrytitle>mandos-clients.conf</refentrytitle>
319
 
      <manvolnum>5</manvolnum></citerefentry>.
320
 
    </para>
 
431
      <manvolnum>5</manvolnum></citerefentry>.  By default all clients
 
432
      will be approved immediately without delay.
 
433
    </para>
 
434
    <para>
 
435
      This can be used to deny a client its secret if not manually
 
436
      approved within a specified time.  It can also be used to make
 
437
      the server delay before giving a client its secret, allowing
 
438
      optional manual denying of this specific client.
 
439
    </para>
 
440
    
321
441
  </refsect1>
322
 
 
 
442
  
323
443
  <refsect1 id="logging">
324
444
    <title>LOGGING</title>
325
445
    <para>
326
446
      The server will send log message with various severity levels to
327
 
      <filename>/dev/log</filename>.  With the
 
447
      <filename class="devicefile">/dev/log</filename>.  With the
328
448
      <option>--debug</option> option, it will log even more messages,
329
449
      and also show them on the console.
330
450
    </para>
331
451
  </refsect1>
332
 
 
 
452
  
 
453
  <refsect1 id="persistent_state">
 
454
    <title>PERSISTENT STATE</title>
 
455
    <para>
 
456
      Client settings, initially read from
 
457
      <filename>clients.conf</filename>, are persistent across
 
458
      restarts, and run-time changes will override settings in
 
459
      <filename>clients.conf</filename>.  However, if a setting is
 
460
      <emphasis>changed</emphasis> (or a client added, or removed) in
 
461
      <filename>clients.conf</filename>, this will take precedence.
 
462
    </para>
 
463
  </refsect1>
 
464
  
 
465
  <refsect1 id="dbus_interface">
 
466
    <title>D-BUS INTERFACE</title>
 
467
    <para>
 
468
      The server will by default provide a D-Bus system bus interface.
 
469
      This interface will only be accessible by the root user or a
 
470
      Mandos-specific user, if such a user exists.  For documentation
 
471
      of the D-Bus API, see the file <filename>DBUS-API</filename>.
 
472
    </para>
 
473
  </refsect1>
 
474
  
333
475
  <refsect1 id="exit_status">
334
476
    <title>EXIT STATUS</title>
335
477
    <para>
337
479
      critical error is encountered.
338
480
    </para>
339
481
  </refsect1>
340
 
 
 
482
  
341
483
  <refsect1 id="environment">
342
484
    <title>ENVIRONMENT</title>
343
485
    <variablelist>
344
486
      <varlistentry>
345
 
        <term><varname>PATH</varname></term>
 
487
        <term><envar>PATH</envar></term>
346
488
        <listitem>
347
489
          <para>
348
490
            To start the configured checker (see <xref
357
499
      </varlistentry>
358
500
    </variablelist>
359
501
  </refsect1>
360
 
 
361
 
  <refsect1 id="file">
 
502
  
 
503
  <refsect1 id="files">
362
504
    <title>FILES</title>
363
505
    <para>
364
506
      Use the <option>--configdir</option> option to change where
387
529
        </listitem>
388
530
      </varlistentry>
389
531
      <varlistentry>
390
 
        <term><filename>/var/run/mandos/mandos.pid</filename></term>
391
 
        <listitem>
392
 
          <para>
393
 
            The file containing the process id of
394
 
            <command>&COMMANDNAME;</command>.
395
 
          </para>
396
 
        </listitem>
397
 
      </varlistentry>
398
 
      <varlistentry>
399
 
        <term><filename>/dev/log</filename></term>
 
532
        <term><filename>/run/mandos.pid</filename></term>
 
533
        <listitem>
 
534
          <para>
 
535
            The file containing the process id of the
 
536
            <command>&COMMANDNAME;</command> process started last.
 
537
            <emphasis >Note:</emphasis> If the <filename
 
538
            class="directory">/run</filename> directory does not
 
539
            exist, <filename>/var/run/mandos.pid</filename> will be
 
540
            used instead.
 
541
          </para>
 
542
        </listitem>
 
543
      </varlistentry>
 
544
      <varlistentry>
 
545
        <term><filename
 
546
        class="directory">/var/lib/mandos</filename></term>
 
547
        <listitem>
 
548
          <para>
 
549
            Directory where persistent state will be saved.  Change
 
550
            this with the <option>--statedir</option> option.  See
 
551
            also the <option>--no-restore</option> option.
 
552
          </para>
 
553
        </listitem>
 
554
      </varlistentry>
 
555
      <varlistentry>
 
556
        <term><filename class="devicefile">/dev/log</filename></term>
400
557
        <listitem>
401
558
          <para>
402
559
            The Unix domain socket to where local syslog messages are
425
582
      backtrace.  This could be considered a feature.
426
583
    </para>
427
584
    <para>
428
 
      Currently, if a client is declared <quote>invalid</quote> due to
429
 
      having timed out, the server does not record this fact onto
430
 
      permanent storage.  This has some security implications, see
431
 
      <xref linkend="CLIENTS"/>.
432
 
    </para>
433
 
    <para>
434
 
      There is currently no way of querying the server of the current
435
 
      status of clients, other than analyzing its <systemitem
436
 
      class="service">syslog</systemitem> output.
437
 
    </para>
438
 
    <para>
439
585
      There is no fine-grained control over logging and debug output.
440
586
    </para>
441
587
    <para>
442
 
      Debug mode is conflated with running in the foreground.
443
 
    </para>
444
 
    <para>
445
 
      The console log messages does not show a timestamp.
446
 
    </para>
 
588
      This server does not check the expire time of clients’ OpenPGP
 
589
      keys.
 
590
    </para>
 
591
    <xi:include href="bugs.xml"/>
447
592
  </refsect1>
448
593
  
449
594
  <refsect1 id="example">
459
604
    <informalexample>
460
605
      <para>
461
606
        Run the server in debug mode, read configuration files from
462
 
        the <filename>~/mandos</filename> directory, and use the
463
 
        Zeroconf service name <quote>Test</quote> to not collide with
464
 
        any other official Mandos server on this host:
 
607
        the <filename class="directory">~/mandos</filename> directory,
 
608
        and use the Zeroconf service name <quote>Test</quote> to not
 
609
        collide with any other official Mandos server on this host:
465
610
      </para>
466
611
      <para>
467
612
 
483
628
      </para>
484
629
    </informalexample>
485
630
  </refsect1>
486
 
 
 
631
  
487
632
  <refsect1 id="security">
488
633
    <title>SECURITY</title>
489
 
    <refsect2 id="SERVER">
 
634
    <refsect2 id="server">
490
635
      <title>SERVER</title>
491
636
      <para>
492
637
        Running this <command>&COMMANDNAME;</command> server program
493
638
        should not in itself present any security risk to the host
494
 
        computer running it.  The program does not need any special
495
 
        privileges to run, and is designed to run as a non-root user.
 
639
        computer running it.  The program switches to a non-root user
 
640
        soon after startup.
496
641
      </para>
497
642
    </refsect2>
498
 
    <refsect2 id="CLIENTS">
 
643
    <refsect2 id="clients">
499
644
      <title>CLIENTS</title>
500
645
      <para>
501
646
        The server only gives out its stored data to clients which
508
653
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
509
654
        <manvolnum>5</manvolnum></citerefentry>)
510
655
        <emphasis>must</emphasis> be made non-readable by anyone
511
 
        except the user running the server.
 
656
        except the user starting the server (usually root).
512
657
      </para>
513
658
      <para>
514
659
        As detailed in <xref linkend="checking"/>, the status of all
516
661
        compromised if they are gone for too long.
517
662
      </para>
518
663
      <para>
519
 
        If a client is compromised, its downtime should be duly noted
520
 
        by the server which would therefore declare the client
521
 
        invalid.  But if the server was ever restarted, it would
522
 
        re-read its client list from its configuration file and again
523
 
        regard all clients therein as valid, and hence eligible to
524
 
        receive their passwords.  Therefore, be careful when
525
 
        restarting servers if it is suspected that a client has, in
526
 
        fact, been compromised by parties who may now be running a
527
 
        fake Mandos client with the keys from the non-encrypted
528
 
        initial RAM image of the client host.  What should be done in
529
 
        that case (if restarting the server program really is
530
 
        necessary) is to stop the server program, edit the
531
 
        configuration file to omit any suspect clients, and restart
532
 
        the server program.
533
 
      </para>
534
 
      <para>
535
664
        For more details on client-side security, see
536
 
        <citerefentry><refentrytitle>password-request</refentrytitle>
 
665
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
537
666
        <manvolnum>8mandos</manvolnum></citerefentry>.
538
667
      </para>
539
668
    </refsect2>
540
669
  </refsect1>
541
 
 
 
670
  
542
671
  <refsect1 id="see_also">
543
672
    <title>SEE ALSO</title>
544
673
    <para>
545
 
      <citerefentry>
546
 
        <refentrytitle>mandos-clients.conf</refentrytitle>
547
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
548
 
        <refentrytitle>mandos.conf</refentrytitle>
549
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
550
 
        <refentrytitle>password-request</refentrytitle>
551
 
        <manvolnum>8mandos</manvolnum></citerefentry>, <citerefentry>
552
 
        <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
553
 
      </citerefentry>
 
674
      <citerefentry><refentrytitle>intro</refentrytitle>
 
675
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
676
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
677
      <manvolnum>5</manvolnum></citerefentry>,
 
678
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
 
679
      <manvolnum>5</manvolnum></citerefentry>,
 
680
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
681
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
682
      <citerefentry><refentrytitle>sh</refentrytitle>
 
683
      <manvolnum>1</manvolnum></citerefentry>
554
684
    </para>
555
685
    <variablelist>
556
686
      <varlistentry>
577
707
      </varlistentry>
578
708
      <varlistentry>
579
709
        <term>
580
 
          <ulink url="http://www.gnu.org/software/gnutls/"
581
 
          >GnuTLS</ulink>
 
710
          <ulink url="http://gnutls.org/">GnuTLS</ulink>
582
711
        </term>
583
712
      <listitem>
584
713
        <para>
622
751
      </varlistentry>
623
752
      <varlistentry>
624
753
        <term>
625
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
626
 
          Protocol Version 1.1</citetitle>
 
754
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
755
          Protocol Version 1.2</citetitle>
627
756
        </term>
628
757
      <listitem>
629
758
        <para>
630
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
759
          TLS 1.2 is the protocol implemented by GnuTLS.
631
760
        </para>
632
761
      </listitem>
633
762
      </varlistentry>
643
772
      </varlistentry>
644
773
      <varlistentry>
645
774
        <term>
646
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
647
 
          Security</citetitle>
 
775
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
776
          Security (TLS) Authentication</citetitle>
648
777
        </term>
649
778
      <listitem>
650
779
        <para>