/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to INSTALL

  • Committer: teddy at recompile
  • Date: 2020-04-05 21:30:59 UTC
  • mto: This revision was merged to the branch mainline in revision 398.
  • Revision ID: teddy@recompile.se-20200405213059-fb2a61ckqynrmatk
Fix file descriptor leak in mandos-client

When the local network has Mandos servers announcing themselves using
real, globally reachable, IPv6 addresses (i.e. not link-local
addresses), but there is no router on the local network providing IPv6
RA (Router Advertisement) packets, the client cannot reach the server
by normal means, since the client only has a link-local IPv6 address,
and has no usable route to reach the server's global IPv6 address.
(This is not a common situation, and usually only happens when the
router itself reboots and runs a Mandos client, since it cannot then
give RA packets to itself.)  The client code has a solution for
this, which consists of adding a temporary local route to reach the
address of the server during communication, and removing this
temporary route afterwards.

This solution with a temporary route works, but has a file descriptor
leak; it leaks one file descriptor for each addition and for each
removal of a route.  If one server requiring an added route is present
on the network, but no servers gives a password, making the client
retry after the default ten seconds, and we furthermore assume a
default 1024 open files limit, the client runs out of file descriptors
after about 90 minutes, after which time the client process will be
useless and fail to retrieve any passwords, necessitating manual
password entry via the keyboard.

Fix this by eliminating the file descriptor leak in the client.

* plugins.d/mandos-client.c (add_delete_local_route): Do
  close(devnull) also in parent process, also if fork() fails, and on
  any failure in child process.

Show diffs side-by-side

added added

removed removed

Lines of Context:
39
39
    
40
40
*** Mandos Server
41
41
    + GnuTLS 3.3          https://www.gnutls.org/
42
 
    + Avahi 0.6.16        http://www.avahi.org/
43
 
    + Python 2.7          https://www.python.org/
 
42
      (but not 3.6.0 or later, until 3.6.6, which works)
 
43
    + Avahi 0.6.16        https://www.avahi.org/
 
44
    + Python 3           https://www.python.org/
 
45
      Note: Python 2.7 is still supported, if the "mandos",
 
46
      "mandos-ctl", and "mandos-monitor" files are edited to contain
 
47
      "#!/usr/bin/python" instead of python3.
44
48
    + dbus-python 0.82.4 https://dbus.freedesktop.org/doc/dbus-python/
45
 
    + PyGObject 3.7.1     https://wiki.gnome.org/Projects/PyGObject
 
49
    + PyGObject 3.8      https://wiki.gnome.org/Projects/PyGObject
46
50
    + pkg-config https://www.freedesktop.org/wiki/Software/pkg-config/
47
51
    + Urwid 1.0.1         http://urwid.org/
48
52
      (Only needed by the "mandos-monitor" tool.)
52
56
    + ssh-keyscan from OpenSSH http://www.openssh.com/
53
57
    
54
58
    Package names:
55
 
    avahi-daemon python python-dbus python-gi python-urwid pkg-config
56
 
    fping ssh-client
 
59
    avahi-daemon python3 python3-dbus python3-gi python3-urwid
 
60
    pkg-config fping ssh-client
57
61
    
58
62
*** Mandos Client
59
 
    + GNU C Library 2.16 https://gnu.org/software/libc/
60
 
    + initramfs-tools 0.85i
61
 
                        https://tracker.debian.org/pkg/initramfs-tools
 
63
    + GNU C Library 2.17 https://gnu.org/software/libc/
62
64
    + GnuTLS 3.3        https://www.gnutls.org/
63
 
    + Avahi 0.6.16      http://www.avahi.org/
 
65
      (but not 3.6.0 or later, until 3.6.6 which works)
 
66
    + Avahi 0.6.16      https://www.avahi.org/
64
67
    + GnuPG 1.4.9       https://www.gnupg.org/
65
68
    + GPGME 1.1.6       https://www.gnupg.org/related_software/gpgme/
66
69
    + pkg-config https://www.freedesktop.org/wiki/Software/pkg-config/
 
70
    + libnl-route 3     https://www.infradead.org/~tgr/libnl/
 
71
    + GLib 2.40         http://www.gtk.org/
 
72
    
 
73
    One of:
 
74
    + initramfs-tools 0.85i
 
75
                        https://tracker.debian.org/pkg/initramfs-tools
 
76
    + dracut 044+241
 
77
         http://www.kernel.org/pub/linux/utils/boot/dracut/dracut.html
67
78
    
68
79
    Strongly recommended:
69
80
    + OpenSSH           http://www.openssh.com/
70
81
    
71
82
    Package names:
72
 
    initramfs-tools libgnutls-dev libavahi-core-dev gnupg
73
 
    libgpgme11-dev pkg-config ssh
 
83
    initramfs-tools dracut libgnutls-dev gnutls-bin libavahi-core-dev
 
84
    gnupg libgpgme11-dev pkg-config ssh libnl-route-3-dev
 
85
    libglib2.0-dev
74
86
 
75
87
* Installing the Mandos server
76
88
  
78
90
  
79
91
  2. On the computer to run as a Mandos server, run the following
80
92
     command:
81
 
     For Debian: su -c 'make install-server'
 
93
     For Debian: su - -c 'make install-server'
82
94
     For Ubuntu: sudo make install-server
83
95
     
84
96
     (This creates a configuration without any clients configured; you
90
102
  
91
103
  2. On the computer to run as a Mandos client, run the following
92
104
     command:
93
 
     For Debian: su -c 'make install-client'
 
105
     For Debian: su - -c 'make install-client'
94
106
     For Ubuntu: sudo make install-client
95
107
     
96
108
     This will also create an OpenPGP key, which will take some time
97
109
     and entropy, so be patient.
98
110
  
99
111
  3. Run the following command:
100
 
     For Debian: su -c 'mandos-keygen --password'
 
112
     For Debian: su - -c 'mandos-keygen --password'
101
113
     For Ubuntu: sudo mandos-keygen --password
102
114
     
103
115
     When prompted, enter the password/passphrase for the encrypted
115
127
        # update-initramfs -k all -u
116
128
  
117
129
  5. On the server computer, start the server by running the command
118
 
     For Debian: su -c 'invoke-rc.d mandos start'
 
130
     For Debian: su - -c 'invoke-rc.d mandos start'
119
131
     For Ubuntu: sudo service mandos start
120
132
     
121
133
     At this point, it is possible to verify that the correct password
123
135
     
124
136
        # /usr/lib/mandos/plugins.d/mandos-client \
125
137
                --pubkey=/etc/keys/mandos/pubkey.txt \
126
 
                --seckey=/etc/keys/mandos/seckey.txt; echo
 
138
                --seckey=/etc/keys/mandos/seckey.txt \
 
139
                --tls-privkey=/etc/keys/mandos/tls-privkey.pem \
 
140
                --tls-pubkey=/etc/keys/mandos/tls-pubkey.pem; echo
127
141
     
128
142
     This command should retrieve the password from the server,
129
143
     decrypt it, and output it to standard output.