/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/password-prompt.xml

  • Committer: Teddy Hogeborn
  • Date: 2009-05-17 00:50:09 UTC
  • Revision ID: teddy@fukt.bsnet.se-20090517005009-c0iptxampo6nf177
* initramfs-tools-hook-conf: Security bug fix: Add code to handle
                             being called by "mkinitramfs-kpkg"
                             instead of "update-initramfs".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
<?xml version='1.0' encoding='UTF-8'?>
2
 
<?xml-stylesheet type="text/xsl"
3
 
        href="http://docbook.sourceforge.net/release/xsl/current/manpages/docbook.xsl"?>
 
1
<?xml version="1.0" encoding="UTF-8"?>
4
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
5
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
6
 
<!ENTITY VERSION "1.0">
7
4
<!ENTITY COMMANDNAME "password-prompt">
 
5
<!ENTITY TIMESTAMP "2009-01-04">
 
6
<!ENTITY % common SYSTEM "../common.ent">
 
7
%common;
8
8
]>
9
9
 
10
 
<refentry>
 
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
11
  <refentryinfo>
12
 
    <title>&COMMANDNAME;</title>
13
 
    <!-- NWalsh's docbook scripts use this to generate the footer: -->
14
 
    <productname>&COMMANDNAME;</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
12
    <title>Mandos Manual</title>
 
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
14
    <productname>Mandos</productname>
 
15
    <productnumber>&version;</productnumber>
 
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
18
19
        <firstname>Björn</firstname>
31
32
    </authorgroup>
32
33
    <copyright>
33
34
      <year>2008</year>
34
 
      <holder>Teddy Hogeborn &amp; Björn Påhlsson</holder>
 
35
      <year>2009</year>
 
36
      <holder>Teddy Hogeborn</holder>
 
37
      <holder>Björn Påhlsson</holder>
35
38
    </copyright>
36
 
    <legalnotice>
37
 
      <para>
38
 
        This manual page is free software: you can redistribute it
39
 
        and/or modify it under the terms of the GNU General Public
40
 
        License as published by the Free Software Foundation,
41
 
        either version 3 of the License, or (at your option) any
42
 
        later version.
43
 
      </para>
44
 
 
45
 
      <para>
46
 
        This manual page is distributed in the hope that it will
47
 
        be useful, but WITHOUT ANY WARRANTY; without even the
48
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
49
 
        PARTICULAR PURPOSE.  See the GNU General Public License
50
 
        for more details.
51
 
      </para>
52
 
 
53
 
      <para>
54
 
        You should have received a copy of the GNU General Public
55
 
        License along with this program; If not, see
56
 
        <ulink url="http://www.gnu.org/licenses/"/>.
57
 
      </para>
58
 
    </legalnotice>
 
39
    <xi:include href="../legalnotice.xml"/>
59
40
  </refentryinfo>
60
 
 
 
41
  
61
42
  <refmeta>
62
43
    <refentrytitle>&COMMANDNAME;</refentrytitle>
63
44
    <manvolnum>8mandos</manvolnum>
65
46
  
66
47
  <refnamediv>
67
48
    <refname><command>&COMMANDNAME;</command></refname>
68
 
    <refpurpose>
69
 
      Passprompt for luks during boot sequence
70
 
    </refpurpose>
 
49
    <refpurpose>Prompt for a password and output it.</refpurpose>
71
50
  </refnamediv>
72
51
  
73
52
  <refsynopsisdiv>
74
53
    <cmdsynopsis>
75
54
      <command>&COMMANDNAME;</command>
76
 
      <arg choice='opt'>--prefix<arg choice='plain'>PREFIX</arg></arg>
77
 
      <arg choice='opt'>--debug</arg>
78
 
    </cmdsynopsis>
79
 
    <cmdsynopsis>
80
 
      <command>&COMMANDNAME;</command>
81
 
      <arg choice='plain'>--help</arg>
82
 
    </cmdsynopsis>
83
 
    <cmdsynopsis>
84
 
      <command>&COMMANDNAME;</command>
85
 
      <arg choice='plain'>--usage</arg>
86
 
    </cmdsynopsis>
87
 
    <cmdsynopsis>
88
 
      <command>&COMMANDNAME;</command>
89
 
      <arg choice='plain'>--version</arg>
90
 
    </cmdsynopsis>    
 
55
      <group choice="opt">
 
56
        <arg choice="plain"><option>--prefix <replaceable
 
57
        >PREFIX</replaceable></option></arg>
 
58
        <arg choice="plain"><option>-p </option><replaceable
 
59
        >PREFIX</replaceable></arg>
 
60
      </group>
 
61
      <sbr/>
 
62
      <arg choice="opt"><option>--debug</option></arg>
 
63
    </cmdsynopsis>
 
64
    <cmdsynopsis>
 
65
      <command>&COMMANDNAME;</command>
 
66
      <group choice="req">
 
67
        <arg choice="plain"><option>--help</option></arg>
 
68
        <arg choice="plain"><option>-?</option></arg>
 
69
      </group>
 
70
    </cmdsynopsis>
 
71
    <cmdsynopsis>
 
72
      <command>&COMMANDNAME;</command>
 
73
      <arg choice="plain"><option>--usage</option></arg>
 
74
    </cmdsynopsis>
 
75
    <cmdsynopsis>
 
76
      <command>&COMMANDNAME;</command>
 
77
      <group choice="req">
 
78
        <arg choice="plain"><option>--version</option></arg>
 
79
        <arg choice="plain"><option>-V</option></arg>
 
80
      </group>
 
81
    </cmdsynopsis>
91
82
  </refsynopsisdiv>
92
 
 
 
83
  
93
84
  <refsect1 id="description">
94
85
    <title>DESCRIPTION</title>
95
86
    <para>
96
 
      <command>&COMMANDNAME;</command> is a terminal program that ask for
97
 
      passwords during boot sequence. It is a plugin to
98
 
      <firstterm>mandos</firstterm>, and is used as a fallback and
99
 
      alternative to retriving passwords from a mandos server. During
100
 
      boot sequence the user is prompted for the disk password, and
101
 
      when a password is given it then gets forwarded to
102
 
      <acronym>LUKS</acronym>.
 
87
      All <command>&COMMANDNAME;</command> does is prompt for a
 
88
      password and output any given password to standard output.
 
89
    </para>
 
90
    <para>
 
91
      This program is not very useful on its own.  This program is
 
92
      really meant to run as a plugin in the <application
 
93
      >Mandos</application> client-side system, where it is used as a
 
94
      fallback and alternative to retrieving passwords from a
 
95
      <application >Mandos</application> server.
 
96
    </para>
 
97
    <para>
 
98
      This program is little more than a <citerefentry><refentrytitle
 
99
      >getpass</refentrytitle><manvolnum>3</manvolnum></citerefentry>
 
100
      wrapper, although actual use of that function is not guaranteed
 
101
      or implied.
103
102
    </para>
104
103
  </refsect1>
105
104
  
106
105
  <refsect1 id="options">
107
106
    <title>OPTIONS</title>
108
107
    <para>
109
 
      Commonly not invoked as command lines but from configuration
110
 
      file of plugin runner.
 
108
      This program is commonly not invoked from the command line; it
 
109
      is normally started by the <application>Mandos</application>
 
110
      plugin runner, see <citerefentry><refentrytitle
 
111
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
 
112
      </citerefentry>.  Any command line options this program accepts
 
113
      are therefore normally provided by the plugin runner, and not
 
114
      directly.
111
115
    </para>
112
 
 
 
116
    
113
117
    <variablelist>
114
118
      <varlistentry>
115
 
        <term><literal>-p</literal>, <literal>--prefix=<replaceable>PREFIX
116
 
        </replaceable></literal></term>
117
 
        <listitem>
118
 
          <para>
119
 
            Prefix used before the passprompt
120
 
          </para>
121
 
        </listitem>
122
 
      </varlistentry>
123
 
      
124
 
      <varlistentry>
125
 
        <term><literal>--debug</literal></term>
126
 
        <listitem>
127
 
          <para>
128
 
            Debug mode
129
 
          </para>
130
 
        </listitem>
131
 
      </varlistentry>
132
 
      
133
 
      <varlistentry>
134
 
        <term><literal>-?</literal>, <literal>--help</literal></term>
135
 
        <listitem>
136
 
          <para>
137
 
            Gives a help message
138
 
          </para>
139
 
        </listitem>
140
 
      </varlistentry>
141
 
      
142
 
      <varlistentry>
143
 
        <term><literal>--usage</literal></term>
144
 
        <listitem>
145
 
          <para>
146
 
            Gives a short usage message
147
 
          </para>
148
 
        </listitem>
149
 
      </varlistentry>
150
 
 
151
 
      <varlistentry>
152
 
        <term><literal>-V</literal>, <literal>--version</literal></term>
153
 
        <listitem>
154
 
          <para>
155
 
            Prints the program version
156
 
          </para>
157
 
        </listitem>
158
 
      </varlistentry>            
 
119
        <term><option>--prefix=<replaceable
 
120
        >PREFIX</replaceable></option></term>
 
121
        <term><option>-p
 
122
        <replaceable>PREFIX</replaceable></option></term>
 
123
        <listitem>
 
124
          <para>
 
125
            Prefix string shown before the password prompt.
 
126
          </para>
 
127
        </listitem>
 
128
      </varlistentry>
 
129
      
 
130
      <varlistentry>
 
131
        <term><option>--debug</option></term>
 
132
        <listitem>
 
133
          <para>
 
134
            Enable debug mode.  This will enable a lot of output to
 
135
            standard error about what the program is doing.  The
 
136
            program will still perform all other functions normally.
 
137
          </para>
 
138
        </listitem>
 
139
      </varlistentry>
 
140
      
 
141
      <varlistentry>
 
142
        <term><option>--help</option></term>
 
143
        <term><option>-?</option></term>
 
144
        <listitem>
 
145
          <para>
 
146
            Gives a help message about options and their meanings.
 
147
          </para>
 
148
        </listitem>
 
149
      </varlistentry>
 
150
      
 
151
      <varlistentry>
 
152
        <term><option>--usage</option></term>
 
153
        <listitem>
 
154
          <para>
 
155
            Gives a short usage message.
 
156
          </para>
 
157
        </listitem>
 
158
      </varlistentry>
 
159
      
 
160
      <varlistentry>
 
161
        <term><option>--version</option></term>
 
162
        <term><option>-V</option></term>
 
163
        <listitem>
 
164
          <para>
 
165
            Prints the program version.
 
166
          </para>
 
167
        </listitem>
 
168
      </varlistentry>
159
169
    </variablelist>
160
170
  </refsect1>
161
 
 
 
171
  
162
172
  <refsect1 id="exit_status">
163
173
    <title>EXIT STATUS</title>
164
174
    <para>
 
175
      If exit status is 0, the output from the program is the password
 
176
      as it was read.  Otherwise, if exit status is other than 0, the
 
177
      program has encountered an error, and any output so far could be
 
178
      corrupt and/or truncated, and should therefore be ignored.
165
179
    </para>
166
180
  </refsect1>
167
 
 
168
 
  <refsect1 id="notes">
169
 
    <title>NOTES</title>
170
 
    <para>
171
 
    </para>
 
181
  
 
182
  <refsect1 id="environment">
 
183
    <title>ENVIRONMENT</title>
 
184
    <variablelist>
 
185
      <varlistentry>
 
186
        <term><envar>cryptsource</envar></term>
 
187
        <term><envar>crypttarget</envar></term>
 
188
        <listitem>
 
189
          <para>
 
190
            If set, these environment variables will be assumed to
 
191
            contain the source device name and the target device
 
192
            mapper name, respectively, and will be shown as part of
 
193
            the prompt.
 
194
        </para>
 
195
        <para>
 
196
          These variables will normally be inherited from
 
197
          <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
198
          <manvolnum>8mandos</manvolnum></citerefentry>, which will
 
199
          normally have inherited them from
 
200
          <filename>/scripts/local-top/cryptroot</filename> in the
 
201
          initial <acronym>RAM</acronym> disk environment, which will
 
202
          have set them from parsing kernel arguments and
 
203
          <filename>/conf/conf.d/cryptroot</filename> (also in the
 
204
          initial RAM disk environment), which in turn will have been
 
205
          created when the initial RAM disk image was created by
 
206
          <filename
 
207
          >/usr/share/initramfs-tools/hooks/cryptroot</filename>, by
 
208
          extracting the information of the root file system from
 
209
          <filename >/etc/crypttab</filename>.
 
210
        </para>
 
211
        <para>
 
212
          This behavior is meant to exactly mirror the behavior of
 
213
          <command>askpass</command>, the default password prompter.
 
214
        </para>
 
215
        </listitem>
 
216
      </varlistentry>
 
217
    </variablelist>
172
218
  </refsect1>
173
219
  
174
220
  <refsect1 id="bugs">
175
221
    <title>BUGS</title>
176
222
    <para>
 
223
      None are known at this time.
177
224
    </para>
178
 
  </refsect1>  
179
 
 
180
 
  <refsect1 id="examples">
181
 
    <title>EXAMPLES</title>
 
225
  </refsect1>
 
226
  
 
227
  <refsect1 id="example">
 
228
    <title>EXAMPLE</title>
182
229
    <para>
 
230
      Note that normally, command line options will not be given
 
231
      directly, but via options for the Mandos <citerefentry
 
232
      ><refentrytitle>plugin-runner</refentrytitle>
 
233
      <manvolnum>8mandos</manvolnum></citerefentry>.
183
234
    </para>
 
235
    <informalexample>
 
236
      <para>
 
237
        Normal invocation needs no options:
 
238
      </para>
 
239
      <para>
 
240
        <userinput>&COMMANDNAME;</userinput>
 
241
      </para>
 
242
    </informalexample>
 
243
    <informalexample>
 
244
      <para>
 
245
        Show a prefix before the prompt; in this case, a host name.
 
246
        It might be useful to be reminded of which host needs a
 
247
        password, in case of <acronym>KVM</acronym> switches, etc.
 
248
      </para>
 
249
      <para>
 
250
 
 
251
<!-- do not wrap this line -->
 
252
<userinput>&COMMANDNAME; --prefix=host.example.org:</userinput>
 
253
 
 
254
      </para>
 
255
    </informalexample>
 
256
    <informalexample>
 
257
      <para>
 
258
        Run in debug mode.
 
259
      </para>
 
260
      <para>
 
261
        <!-- do not wrap this line -->
 
262
        <userinput>&COMMANDNAME; --debug</userinput>
 
263
      </para>
 
264
    </informalexample>
184
265
  </refsect1>
185
 
 
 
266
  
186
267
  <refsect1 id="security">
187
268
    <title>SECURITY</title>
188
269
    <para>
 
270
      On its own, this program is very simple, and does not exactly
 
271
      present any security risks.  The one thing that could be
 
272
      considered worthy of note is this: This program is meant to be
 
273
      run by <citerefentry><refentrytitle
 
274
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
 
275
      </citerefentry>, and will, when run standalone, outside, in a
 
276
      normal environment, immediately output on its standard output
 
277
      any presumably secret password it just received.  Therefore,
 
278
      when running this program standalone (which should never
 
279
      normally be done), take care not to type in any real secret
 
280
      password by force of habit, since it would then immediately be
 
281
      shown as output.
 
282
    </para>
 
283
    <para>
 
284
      To further alleviate any risk of being locked out of a system,
 
285
      the <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
286
      <manvolnum>8mandos</manvolnum></citerefentry> has a fallback
 
287
      mode which does the same thing as this program, only with less
 
288
      features.
189
289
    </para>
190
290
  </refsect1>
191
 
 
 
291
  
192
292
  <refsect1 id="see_also">
193
293
    <title>SEE ALSO</title>
194
294
    <para>
195
 
      <citerefentry><refentrytitle>mandos</refentrytitle>
196
 
      <manvolnum>8</manvolnum></citerefentry>, <citerefentry>
197
 
      <refentrytitle>plugin-runner</refentrytitle>
198
 
      <manvolnum>8mandos</manvolnum></citerefentry> and <citerefentry>
199
 
      <refentrytitle>password-request</refentrytitle>
 
295
      <citerefentry><refentrytitle>crypttab</refentrytitle>
 
296
      <manvolnum>5</manvolnum></citerefentry>
 
297
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
200
298
      <manvolnum>8mandos</manvolnum></citerefentry>
 
299
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
300
      <manvolnum>8mandos</manvolnum></citerefentry>,
201
301
    </para>
202
 
  </refsect1>  
203
 
  
 
302
  </refsect1>
204
303
</refentry>
 
304
<!-- Local Variables: -->
 
305
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
 
306
<!-- time-stamp-end: "[\"']>" -->
 
307
<!-- time-stamp-format: "%:y-%02m-%02d" -->
 
308
<!-- End: -->