/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2019-02-10 08:41:14 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 372.
  • Revision ID: teddy@recompile.se-20190210084114-u91mijrxtifvzra5
Bug fix: Only create TLS key with certtool, and read correct key file

* debian/mandos-client.postinst (create_keys): Remove any bad keys
                                               created by 1.8.0-1.
                                               Only create TLS keys if
                                               certtool succeeds.
* debian/mandos.postinst (configure): Remove any bad keys from
                                      clients.conf, and inform the
                                      user if any were found.
* debian/mandos.templates (mandos/removed_bad_key_ids): New message.
* mandos (MandosServer.handle_ipc): Do not trust a key_id with a known
                                    bad key ID.
* mandos-keygen (keygen): Only create TLS keys if certtool succeeds.
  (password): Bug fix: Generate key_id correctly, and only output
              key_id if TLS key exists.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY VERSION "1.0">
5
4
<!ENTITY COMMANDNAME "mandos">
6
 
<!ENTITY TIMESTAMP "2008-08-31">
 
5
<!ENTITY TIMESTAMP "2019-02-10">
 
6
<!ENTITY % common SYSTEM "common.ent">
 
7
%common;
7
8
]>
8
9
 
9
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
10
 
  <refentryinfo>
 
11
   <refentryinfo>
11
12
    <title>Mandos Manual</title>
12
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
13
14
    <productname>Mandos</productname>
14
 
    <productnumber>&VERSION;</productnumber>
 
15
    <productnumber>&version;</productnumber>
15
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
18
19
        <firstname>Björn</firstname>
19
20
        <surname>Påhlsson</surname>
20
21
        <address>
21
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
22
23
        </address>
23
24
      </author>
24
25
      <author>
25
26
        <firstname>Teddy</firstname>
26
27
        <surname>Hogeborn</surname>
27
28
        <address>
28
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
29
30
        </address>
30
31
      </author>
31
32
    </authorgroup>
32
33
    <copyright>
33
34
      <year>2008</year>
 
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
 
44
      <year>2018</year>
 
45
      <year>2019</year>
34
46
      <holder>Teddy Hogeborn</holder>
35
47
      <holder>Björn Påhlsson</holder>
36
48
    </copyright>
37
 
    <legalnotice>
38
 
      <para>
39
 
        This manual page is free software: you can redistribute it
40
 
        and/or modify it under the terms of the GNU General Public
41
 
        License as published by the Free Software Foundation,
42
 
        either version 3 of the License, or (at your option) any
43
 
        later version.
44
 
      </para>
45
 
 
46
 
      <para>
47
 
        This manual page is distributed in the hope that it will
48
 
        be useful, but WITHOUT ANY WARRANTY; without even the
49
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
50
 
        PARTICULAR PURPOSE.  See the GNU General Public License
51
 
        for more details.
52
 
      </para>
53
 
 
54
 
      <para>
55
 
        You should have received a copy of the GNU General Public
56
 
        License along with this program; If not, see
57
 
        <ulink url="http://www.gnu.org/licenses/"/>.
58
 
      </para>
59
 
    </legalnotice>
 
49
    <xi:include href="legalnotice.xml"/>
60
50
  </refentryinfo>
61
 
 
 
51
  
62
52
  <refmeta>
63
53
    <refentrytitle>&COMMANDNAME;</refentrytitle>
64
54
    <manvolnum>8</manvolnum>
70
60
      Gives encrypted passwords to authenticated Mandos clients
71
61
    </refpurpose>
72
62
  </refnamediv>
73
 
 
 
63
  
74
64
  <refsynopsisdiv>
75
65
    <cmdsynopsis>
76
66
      <command>&COMMANDNAME;</command>
105
95
      <replaceable>DIRECTORY</replaceable></option></arg>
106
96
      <sbr/>
107
97
      <arg><option>--debug</option></arg>
 
98
      <sbr/>
 
99
      <arg><option>--debuglevel
 
100
      <replaceable>LEVEL</replaceable></option></arg>
 
101
      <sbr/>
 
102
      <arg><option>--no-dbus</option></arg>
 
103
      <sbr/>
 
104
      <arg><option>--no-ipv6</option></arg>
 
105
      <sbr/>
 
106
      <arg><option>--no-restore</option></arg>
 
107
      <sbr/>
 
108
      <arg><option>--statedir
 
109
      <replaceable>DIRECTORY</replaceable></option></arg>
 
110
      <sbr/>
 
111
      <arg><option>--socket
 
112
      <replaceable>FD</replaceable></option></arg>
 
113
      <sbr/>
 
114
      <arg><option>--foreground</option></arg>
 
115
      <sbr/>
 
116
      <arg><option>--no-zeroconf</option></arg>
108
117
    </cmdsynopsis>
109
118
    <cmdsynopsis>
110
119
      <command>&COMMANDNAME;</command>
122
131
      <arg choice="plain"><option>--check</option></arg>
123
132
    </cmdsynopsis>
124
133
  </refsynopsisdiv>
125
 
 
 
134
  
126
135
  <refsect1 id="description">
127
136
    <title>DESCRIPTION</title>
128
137
    <para>
129
138
      <command>&COMMANDNAME;</command> is a server daemon which
130
139
      handles incoming request for passwords for a pre-defined list of
131
 
      client host computers.  The Mandos server uses Zeroconf to
132
 
      announce itself on the local network, and uses TLS to
133
 
      communicate securely with and to authenticate the clients.  The
134
 
      Mandos server uses IPv6 to allow Mandos clients to use IPv6
135
 
      link-local addresses, since the clients will probably not have
136
 
      any other addresses configured (see <xref linkend="overview"/>).
137
 
      Any authenticated client is then given the stored pre-encrypted
138
 
      password for that specific client.
 
140
      client host computers. For an introduction, see
 
141
      <citerefentry><refentrytitle>intro</refentrytitle>
 
142
      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server
 
143
      uses Zeroconf to announce itself on the local network, and uses
 
144
      TLS to communicate securely with and to authenticate the
 
145
      clients.  The Mandos server uses IPv6 to allow Mandos clients to
 
146
      use IPv6 link-local addresses, since the clients will probably
 
147
      not have any other addresses configured (see <xref
 
148
      linkend="overview"/>).  Any authenticated client is then given
 
149
      the stored pre-encrypted password for that specific client.
139
150
    </para>
140
 
 
141
151
  </refsect1>
142
152
  
143
153
  <refsect1 id="purpose">
144
154
    <title>PURPOSE</title>
145
 
 
146
155
    <para>
147
156
      The purpose of this is to enable <emphasis>remote and unattended
148
157
      rebooting</emphasis> of client host computer with an
149
158
      <emphasis>encrypted root file system</emphasis>.  See <xref
150
159
      linkend="overview"/> for details.
151
160
    </para>
152
 
    
153
161
  </refsect1>
154
162
  
155
163
  <refsect1 id="options">
156
164
    <title>OPTIONS</title>
157
 
    
158
165
    <variablelist>
159
166
      <varlistentry>
160
167
        <term><option>--help</option></term>
212
219
          <xi:include href="mandos-options.xml" xpointer="debug"/>
213
220
        </listitem>
214
221
      </varlistentry>
215
 
 
 
222
      
 
223
      <varlistentry>
 
224
        <term><option>--debuglevel
 
225
        <replaceable>LEVEL</replaceable></option></term>
 
226
        <listitem>
 
227
          <para>
 
228
            Set the debugging log level.
 
229
            <replaceable>LEVEL</replaceable> is a string, one of
 
230
            <quote><literal>CRITICAL</literal></quote>,
 
231
            <quote><literal>ERROR</literal></quote>,
 
232
            <quote><literal>WARNING</literal></quote>,
 
233
            <quote><literal>INFO</literal></quote>, or
 
234
            <quote><literal>DEBUG</literal></quote>, in order of
 
235
            increasing verbosity.  The default level is
 
236
            <quote><literal>WARNING</literal></quote>.
 
237
          </para>
 
238
        </listitem>
 
239
      </varlistentry>
 
240
      
216
241
      <varlistentry>
217
242
        <term><option>--priority <replaceable>
218
243
        PRIORITY</replaceable></option></term>
220
245
          <xi:include href="mandos-options.xml" xpointer="priority"/>
221
246
        </listitem>
222
247
      </varlistentry>
223
 
 
 
248
      
224
249
      <varlistentry>
225
250
        <term><option>--servicename
226
251
        <replaceable>NAME</replaceable></option></term>
229
254
                      xpointer="servicename"/>
230
255
        </listitem>
231
256
      </varlistentry>
232
 
 
 
257
      
233
258
      <varlistentry>
234
259
        <term><option>--configdir
235
260
        <replaceable>DIRECTORY</replaceable></option></term>
244
269
          </para>
245
270
        </listitem>
246
271
      </varlistentry>
247
 
 
 
272
      
248
273
      <varlistentry>
249
274
        <term><option>--version</option></term>
250
275
        <listitem>
253
278
          </para>
254
279
        </listitem>
255
280
      </varlistentry>
 
281
      
 
282
      <varlistentry>
 
283
        <term><option>--no-dbus</option></term>
 
284
        <listitem>
 
285
          <xi:include href="mandos-options.xml" xpointer="dbus"/>
 
286
          <para>
 
287
            See also <xref linkend="dbus_interface"/>.
 
288
          </para>
 
289
        </listitem>
 
290
      </varlistentry>
 
291
      
 
292
      <varlistentry>
 
293
        <term><option>--no-ipv6</option></term>
 
294
        <listitem>
 
295
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
 
296
        </listitem>
 
297
      </varlistentry>
 
298
      
 
299
      <varlistentry>
 
300
        <term><option>--no-restore</option></term>
 
301
        <listitem>
 
302
          <xi:include href="mandos-options.xml" xpointer="restore"/>
 
303
          <para>
 
304
            See also <xref linkend="persistent_state"/>.
 
305
          </para>
 
306
        </listitem>
 
307
      </varlistentry>
 
308
      
 
309
      <varlistentry>
 
310
        <term><option>--statedir
 
311
        <replaceable>DIRECTORY</replaceable></option></term>
 
312
        <listitem>
 
313
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
 
314
        </listitem>
 
315
      </varlistentry>
 
316
      
 
317
      <varlistentry>
 
318
        <term><option>--socket
 
319
        <replaceable>FD</replaceable></option></term>
 
320
        <listitem>
 
321
          <xi:include href="mandos-options.xml" xpointer="socket"/>
 
322
        </listitem>
 
323
      </varlistentry>
 
324
      
 
325
      <varlistentry>
 
326
        <term><option>--foreground</option></term>
 
327
        <listitem>
 
328
          <xi:include href="mandos-options.xml"
 
329
                      xpointer="foreground"/>
 
330
        </listitem>
 
331
      </varlistentry>
 
332
      
 
333
      <varlistentry>
 
334
        <term><option>--no-zeroconf</option></term>
 
335
        <listitem>
 
336
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
 
337
        </listitem>
 
338
      </varlistentry>
 
339
      
256
340
    </variablelist>
257
341
  </refsect1>
258
 
 
 
342
  
259
343
  <refsect1 id="overview">
260
344
    <title>OVERVIEW</title>
261
345
    <xi:include href="overview.xml"/>
262
346
    <para>
263
347
      This program is the server part.  It is a normal server program
264
348
      and will run in a normal system environment, not in an initial
265
 
      RAM disk environment.
 
349
      <acronym>RAM</acronym> disk environment.
266
350
    </para>
267
351
  </refsect1>
268
 
 
 
352
  
269
353
  <refsect1 id="protocol">
270
354
    <title>NETWORK PROTOCOL</title>
271
355
    <para>
278
362
      start a TLS protocol handshake with a slight quirk: the Mandos
279
363
      server program acts as a TLS <quote>client</quote> while the
280
364
      connecting Mandos client acts as a TLS <quote>server</quote>.
281
 
      The Mandos client must supply an OpenPGP certificate, and the
282
 
      fingerprint of this certificate is used by the Mandos server to
283
 
      look up (in a list read from <filename>clients.conf</filename>
284
 
      at start time) which binary blob to give the client.  No other
285
 
      authentication or authorization is done by the server.
 
365
      The Mandos client must supply a TLS public key, and the key ID
 
366
      of this public key is used by the Mandos server to look up (in a
 
367
      list read from <filename>clients.conf</filename> at start time)
 
368
      which binary blob to give the client.  No other authentication
 
369
      or authorization is done by the server.
286
370
    </para>
287
371
    <table>
288
372
      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>
308
392
        </emphasis></entry>
309
393
      </row>
310
394
      <row>
311
 
        <entry>OpenPGP public key (part of TLS handshake)</entry>
 
395
        <entry>Public key (part of TLS handshake)</entry>
312
396
        <entry>-><!-- &rarr; --></entry>
313
397
      </row>
314
398
      <row>
323
407
      </row>
324
408
    </tbody></tgroup></table>
325
409
  </refsect1>
326
 
 
 
410
  
327
411
  <refsect1 id="checking">
328
412
    <title>CHECKING</title>
329
413
    <para>
330
414
      The server will, by default, continually check that the clients
331
415
      are still up.  If a client has not been confirmed as being up
332
416
      for some time, the client is assumed to be compromised and is no
333
 
      longer eligible to receive the encrypted password.  The timeout,
334
 
      checker program, and interval between checks can be configured
335
 
      both globally and per client; see <citerefentry>
 
417
      longer eligible to receive the encrypted password.  (Manual
 
418
      intervention is required to re-enable a client.)  The timeout,
 
419
      extended timeout, checker program, and interval between checks
 
420
      can be configured both globally and per client; see
 
421
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
422
      <manvolnum>5</manvolnum></citerefentry>.
 
423
    </para>
 
424
  </refsect1>
 
425
  
 
426
  <refsect1 id="approval">
 
427
    <title>APPROVAL</title>
 
428
    <para>
 
429
      The server can be configured to require manual approval for a
 
430
      client before it is sent its secret.  The delay to wait for such
 
431
      approval and the default action (approve or deny) can be
 
432
      configured both globally and per client; see <citerefentry>
336
433
      <refentrytitle>mandos-clients.conf</refentrytitle>
337
 
      <manvolnum>5</manvolnum></citerefentry>.
338
 
    </para>
 
434
      <manvolnum>5</manvolnum></citerefentry>.  By default all clients
 
435
      will be approved immediately without delay.
 
436
    </para>
 
437
    <para>
 
438
      This can be used to deny a client its secret if not manually
 
439
      approved within a specified time.  It can also be used to make
 
440
      the server delay before giving a client its secret, allowing
 
441
      optional manual denying of this specific client.
 
442
    </para>
 
443
    
339
444
  </refsect1>
340
 
 
 
445
  
341
446
  <refsect1 id="logging">
342
447
    <title>LOGGING</title>
343
448
    <para>
344
449
      The server will send log message with various severity levels to
345
 
      <filename>/dev/log</filename>.  With the
 
450
      <filename class="devicefile">/dev/log</filename>.  With the
346
451
      <option>--debug</option> option, it will log even more messages,
347
452
      and also show them on the console.
348
453
    </para>
349
454
  </refsect1>
350
 
 
 
455
  
 
456
  <refsect1 id="persistent_state">
 
457
    <title>PERSISTENT STATE</title>
 
458
    <para>
 
459
      Client settings, initially read from
 
460
      <filename>clients.conf</filename>, are persistent across
 
461
      restarts, and run-time changes will override settings in
 
462
      <filename>clients.conf</filename>.  However, if a setting is
 
463
      <emphasis>changed</emphasis> (or a client added, or removed) in
 
464
      <filename>clients.conf</filename>, this will take precedence.
 
465
    </para>
 
466
  </refsect1>
 
467
  
 
468
  <refsect1 id="dbus_interface">
 
469
    <title>D-BUS INTERFACE</title>
 
470
    <para>
 
471
      The server will by default provide a D-Bus system bus interface.
 
472
      This interface will only be accessible by the root user or a
 
473
      Mandos-specific user, if such a user exists.  For documentation
 
474
      of the D-Bus API, see the file <filename>DBUS-API</filename>.
 
475
    </para>
 
476
  </refsect1>
 
477
  
351
478
  <refsect1 id="exit_status">
352
479
    <title>EXIT STATUS</title>
353
480
    <para>
355
482
      critical error is encountered.
356
483
    </para>
357
484
  </refsect1>
358
 
 
 
485
  
359
486
  <refsect1 id="environment">
360
487
    <title>ENVIRONMENT</title>
361
488
    <variablelist>
375
502
      </varlistentry>
376
503
    </variablelist>
377
504
  </refsect1>
378
 
 
379
 
  <refsect1 id="file">
 
505
  
 
506
  <refsect1 id="files">
380
507
    <title>FILES</title>
381
508
    <para>
382
509
      Use the <option>--configdir</option> option to change where
405
532
        </listitem>
406
533
      </varlistentry>
407
534
      <varlistentry>
408
 
        <term><filename>/var/run/mandos/mandos.pid</filename></term>
409
 
        <listitem>
410
 
          <para>
411
 
            The file containing the process id of
412
 
            <command>&COMMANDNAME;</command>.
413
 
          </para>
414
 
        </listitem>
415
 
      </varlistentry>
416
 
      <varlistentry>
417
 
        <term><filename>/dev/log</filename></term>
 
535
        <term><filename>/run/mandos.pid</filename></term>
 
536
        <listitem>
 
537
          <para>
 
538
            The file containing the process id of the
 
539
            <command>&COMMANDNAME;</command> process started last.
 
540
            <emphasis >Note:</emphasis> If the <filename
 
541
            class="directory">/run</filename> directory does not
 
542
            exist, <filename>/var/run/mandos.pid</filename> will be
 
543
            used instead.
 
544
          </para>
 
545
        </listitem>
 
546
      </varlistentry>
 
547
      <varlistentry>
 
548
        <term><filename
 
549
        class="directory">/var/lib/mandos</filename></term>
 
550
        <listitem>
 
551
          <para>
 
552
            Directory where persistent state will be saved.  Change
 
553
            this with the <option>--statedir</option> option.  See
 
554
            also the <option>--no-restore</option> option.
 
555
          </para>
 
556
        </listitem>
 
557
      </varlistentry>
 
558
      <varlistentry>
 
559
        <term><filename class="devicefile">/dev/log</filename></term>
418
560
        <listitem>
419
561
          <para>
420
562
            The Unix domain socket to where local syslog messages are
443
585
      backtrace.  This could be considered a feature.
444
586
    </para>
445
587
    <para>
446
 
      Currently, if a client is declared <quote>invalid</quote> due to
447
 
      having timed out, the server does not record this fact onto
448
 
      permanent storage.  This has some security implications, see
449
 
      <xref linkend="CLIENTS"/>.
450
 
    </para>
451
 
    <para>
452
 
      There is currently no way of querying the server of the current
453
 
      status of clients, other than analyzing its <systemitem
454
 
      class="service">syslog</systemitem> output.
455
 
    </para>
456
 
    <para>
457
588
      There is no fine-grained control over logging and debug output.
458
589
    </para>
459
 
    <para>
460
 
      Debug mode is conflated with running in the foreground.
461
 
    </para>
462
 
    <para>
463
 
      The console log messages does not show a timestamp.
464
 
    </para>
 
590
    <xi:include href="bugs.xml"/>
465
591
  </refsect1>
466
592
  
467
593
  <refsect1 id="example">
477
603
    <informalexample>
478
604
      <para>
479
605
        Run the server in debug mode, read configuration files from
480
 
        the <filename>~/mandos</filename> directory, and use the
481
 
        Zeroconf service name <quote>Test</quote> to not collide with
482
 
        any other official Mandos server on this host:
 
606
        the <filename class="directory">~/mandos</filename> directory,
 
607
        and use the Zeroconf service name <quote>Test</quote> to not
 
608
        collide with any other official Mandos server on this host:
483
609
      </para>
484
610
      <para>
485
611
 
501
627
      </para>
502
628
    </informalexample>
503
629
  </refsect1>
504
 
 
 
630
  
505
631
  <refsect1 id="security">
506
632
    <title>SECURITY</title>
507
 
    <refsect2 id="SERVER">
 
633
    <refsect2 id="server">
508
634
      <title>SERVER</title>
509
635
      <para>
510
636
        Running this <command>&COMMANDNAME;</command> server program
511
637
        should not in itself present any security risk to the host
512
 
        computer running it.  The program does not need any special
513
 
        privileges to run, and is designed to run as a non-root user.
 
638
        computer running it.  The program switches to a non-root user
 
639
        soon after startup.
514
640
      </para>
515
641
    </refsect2>
516
 
    <refsect2 id="CLIENTS">
 
642
    <refsect2 id="clients">
517
643
      <title>CLIENTS</title>
518
644
      <para>
519
645
        The server only gives out its stored data to clients which
520
 
        does have the OpenPGP key of the stored fingerprint.  This is
521
 
        guaranteed by the fact that the client sends its OpenPGP
522
 
        public key in the TLS handshake; this ensures it to be
523
 
        genuine.  The server computes the fingerprint of the key
524
 
        itself and looks up the fingerprint in its list of
525
 
        clients. The <filename>clients.conf</filename> file (see
 
646
        does have the correct key ID of the stored key ID.  This is
 
647
        guaranteed by the fact that the client sends its public key in
 
648
        the TLS handshake; this ensures it to be genuine.  The server
 
649
        computes the key ID of the key itself and looks up the key ID
 
650
        in its list of clients. The <filename>clients.conf</filename>
 
651
        file (see
526
652
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
527
653
        <manvolnum>5</manvolnum></citerefentry>)
528
654
        <emphasis>must</emphasis> be made non-readable by anyone
529
 
        except the user running the server.
 
655
        except the user starting the server (usually root).
530
656
      </para>
531
657
      <para>
532
658
        As detailed in <xref linkend="checking"/>, the status of all
534
660
        compromised if they are gone for too long.
535
661
      </para>
536
662
      <para>
537
 
        If a client is compromised, its downtime should be duly noted
538
 
        by the server which would therefore declare the client
539
 
        invalid.  But if the server was ever restarted, it would
540
 
        re-read its client list from its configuration file and again
541
 
        regard all clients therein as valid, and hence eligible to
542
 
        receive their passwords.  Therefore, be careful when
543
 
        restarting servers if it is suspected that a client has, in
544
 
        fact, been compromised by parties who may now be running a
545
 
        fake Mandos client with the keys from the non-encrypted
546
 
        initial RAM image of the client host.  What should be done in
547
 
        that case (if restarting the server program really is
548
 
        necessary) is to stop the server program, edit the
549
 
        configuration file to omit any suspect clients, and restart
550
 
        the server program.
551
 
      </para>
552
 
      <para>
553
663
        For more details on client-side security, see
554
 
        <citerefentry><refentrytitle>password-request</refentrytitle>
 
664
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
555
665
        <manvolnum>8mandos</manvolnum></citerefentry>.
556
666
      </para>
557
667
    </refsect2>
558
668
  </refsect1>
559
 
 
 
669
  
560
670
  <refsect1 id="see_also">
561
671
    <title>SEE ALSO</title>
562
672
    <para>
563
 
      <citerefentry>
564
 
        <refentrytitle>mandos-clients.conf</refentrytitle>
565
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
566
 
        <refentrytitle>mandos.conf</refentrytitle>
567
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
568
 
        <refentrytitle>password-request</refentrytitle>
569
 
        <manvolnum>8mandos</manvolnum></citerefentry>, <citerefentry>
570
 
        <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
571
 
      </citerefentry>
 
673
      <citerefentry><refentrytitle>intro</refentrytitle>
 
674
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
675
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
676
      <manvolnum>5</manvolnum></citerefentry>,
 
677
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
 
678
      <manvolnum>5</manvolnum></citerefentry>,
 
679
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
680
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
681
      <citerefentry><refentrytitle>sh</refentrytitle>
 
682
      <manvolnum>1</manvolnum></citerefentry>
572
683
    </para>
573
684
    <variablelist>
574
685
      <varlistentry>
595
706
      </varlistentry>
596
707
      <varlistentry>
597
708
        <term>
598
 
          <ulink url="http://www.gnu.org/software/gnutls/"
599
 
          >GnuTLS</ulink>
 
709
          <ulink url="https://gnutls.org/">GnuTLS</ulink>
600
710
        </term>
601
711
      <listitem>
602
712
        <para>
603
713
          GnuTLS is the library this server uses to implement TLS for
604
714
          communicating securely with the client, and at the same time
605
 
          confidently get the client’s public OpenPGP key.
 
715
          confidently get the client’s public key.
606
716
        </para>
607
717
      </listitem>
608
718
      </varlistentry>
640
750
      </varlistentry>
641
751
      <varlistentry>
642
752
        <term>
643
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
644
 
          Protocol Version 1.1</citetitle>
 
753
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
754
          Protocol Version 1.2</citetitle>
645
755
        </term>
646
756
      <listitem>
647
757
        <para>
648
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
758
          TLS 1.2 is the protocol implemented by GnuTLS.
649
759
        </para>
650
760
      </listitem>
651
761
      </varlistentry>
661
771
      </varlistentry>
662
772
      <varlistentry>
663
773
        <term>
664
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
665
 
          Security</citetitle>
666
 
        </term>
667
 
      <listitem>
668
 
        <para>
669
 
          This is implemented by GnuTLS and used by this server so
670
 
          that OpenPGP keys can be used.
 
774
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
 
775
          Layer Security (TLS) and Datagram Transport Layer Security
 
776
          (DTLS)</citetitle>
 
777
        </term>
 
778
      <listitem>
 
779
        <para>
 
780
          This is implemented by GnuTLS version 3.6.6 and is, if
 
781
          present, used by this server so that raw public keys can be
 
782
          used.
 
783
        </para>
 
784
      </listitem>
 
785
      </varlistentry>
 
786
      <varlistentry>
 
787
        <term>
 
788
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
789
          Security (TLS) Authentication</citetitle>
 
790
        </term>
 
791
      <listitem>
 
792
        <para>
 
793
          This is implemented by GnuTLS before version 3.6.0 and is,
 
794
          if present, used by this server so that OpenPGP keys can be
 
795
          used.
671
796
        </para>
672
797
      </listitem>
673
798
      </varlistentry>