/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2019-02-13 08:47:02 UTC
  • Revision ID: teddy@recompile.se-20190213084702-oca64n46uaf85kr3
Merge from trunk

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
<?xml version='1.0' encoding='UTF-8'?>
2
 
<?xml-stylesheet type="text/xsl"
3
 
        href="http://docbook.sourceforge.net/release/xsl/current/manpages/docbook.xsl"?>
 
1
<?xml version="1.0" encoding="UTF-8"?>
4
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
5
 
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
6
 
<!ENTITY VERSION "1.0">
 
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
7
4
<!ENTITY COMMANDNAME "mandos">
 
5
<!ENTITY TIMESTAMP "2019-02-10">
 
6
<!ENTITY % common SYSTEM "common.ent">
 
7
%common;
8
8
]>
9
9
 
10
 
<refentry>
11
 
  <refentryinfo>
12
 
    <title>&COMMANDNAME;</title>
13
 
    <!-- NWalsh's docbook scripts use this to generate the footer: -->
14
 
    <productname>&COMMANDNAME;</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
 
11
   <refentryinfo>
 
12
    <title>Mandos Manual</title>
 
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
14
    <productname>Mandos</productname>
 
15
    <productnumber>&version;</productnumber>
 
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
18
19
        <firstname>Björn</firstname>
19
20
        <surname>Påhlsson</surname>
20
21
        <address>
21
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
22
23
        </address>
23
24
      </author>
24
25
      <author>
25
26
        <firstname>Teddy</firstname>
26
27
        <surname>Hogeborn</surname>
27
28
        <address>
28
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
29
30
        </address>
30
31
      </author>
31
32
    </authorgroup>
32
33
    <copyright>
33
34
      <year>2008</year>
 
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
 
44
      <year>2018</year>
 
45
      <year>2019</year>
34
46
      <holder>Teddy Hogeborn</holder>
35
47
      <holder>Björn Påhlsson</holder>
36
48
    </copyright>
37
 
    <legalnotice>
38
 
      <para>
39
 
        This manual page is free software: you can redistribute it
40
 
        and/or modify it under the terms of the GNU General Public
41
 
        License as published by the Free Software Foundation,
42
 
        either version 3 of the License, or (at your option) any
43
 
        later version.
44
 
      </para>
45
 
 
46
 
      <para>
47
 
        This manual page is distributed in the hope that it will
48
 
        be useful, but WITHOUT ANY WARRANTY; without even the
49
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
50
 
        PARTICULAR PURPOSE.  See the GNU General Public License
51
 
        for more details.
52
 
      </para>
53
 
 
54
 
      <para>
55
 
        You should have received a copy of the GNU General Public
56
 
        License along with this program; If not, see
57
 
        <ulink url="http://www.gnu.org/licenses/"/>.
58
 
      </para>
59
 
    </legalnotice>
 
49
    <xi:include href="legalnotice.xml"/>
60
50
  </refentryinfo>
61
 
 
 
51
  
62
52
  <refmeta>
63
53
    <refentrytitle>&COMMANDNAME;</refentrytitle>
64
54
    <manvolnum>8</manvolnum>
67
57
  <refnamediv>
68
58
    <refname><command>&COMMANDNAME;</command></refname>
69
59
    <refpurpose>
70
 
      Sends encrypted passwords to authenticated Mandos clients
 
60
      Gives encrypted passwords to authenticated Mandos clients
71
61
    </refpurpose>
72
62
  </refnamediv>
73
 
 
 
63
  
74
64
  <refsynopsisdiv>
75
65
    <cmdsynopsis>
76
66
      <command>&COMMANDNAME;</command>
77
 
      <arg choice='opt'>--interface<arg choice='plain'>IF</arg></arg>
78
 
      <arg choice='opt'>--address<arg choice='plain'>ADDRESS</arg></arg>
79
 
      <arg choice='opt'>--port<arg choice='plain'>PORT</arg></arg>
80
 
      <arg choice='opt'>--priority<arg choice='plain'>PRIORITY</arg></arg>
81
 
      <arg choice='opt'>--servicename<arg choice='plain'>NAME</arg></arg>
82
 
      <arg choice='opt'>--configdir<arg choice='plain'>DIRECTORY</arg></arg>
83
 
      <arg choice='opt'>--debug</arg>
84
 
    </cmdsynopsis>
85
 
    <cmdsynopsis>
86
 
      <command>&COMMANDNAME;</command>
87
 
      <arg choice='opt'>-i<arg choice='plain'>IF</arg></arg>
88
 
      <arg choice='opt'>-a<arg choice='plain'>ADDRESS</arg></arg>
89
 
      <arg choice='opt'>-p<arg choice='plain'>PORT</arg></arg>
90
 
      <arg choice='opt'>--priority<arg choice='plain'>PRIORITY</arg></arg>
91
 
      <arg choice='opt'>--servicename<arg choice='plain'>NAME</arg></arg>
92
 
      <arg choice='opt'>--configdir<arg choice='plain'>DIRECTORY</arg></arg>
93
 
      <arg choice='opt'>--debug</arg>
94
 
    </cmdsynopsis>
95
 
    <cmdsynopsis>
96
 
      <command>&COMMANDNAME;</command>
97
 
      <arg choice='plain'>--help</arg>
98
 
    </cmdsynopsis>
99
 
    <cmdsynopsis>
100
 
      <command>&COMMANDNAME;</command>
101
 
      <arg choice='plain'>--version</arg>
102
 
    </cmdsynopsis>
103
 
    <cmdsynopsis>
104
 
      <command>&COMMANDNAME;</command>
105
 
      <arg choice='plain'>--check</arg>
 
67
      <group>
 
68
        <arg choice="plain"><option>--interface
 
69
        <replaceable>NAME</replaceable></option></arg>
 
70
        <arg choice="plain"><option>-i
 
71
        <replaceable>NAME</replaceable></option></arg>
 
72
      </group>
 
73
      <sbr/>
 
74
      <group>
 
75
        <arg choice="plain"><option>--address
 
76
        <replaceable>ADDRESS</replaceable></option></arg>
 
77
        <arg choice="plain"><option>-a
 
78
        <replaceable>ADDRESS</replaceable></option></arg>
 
79
      </group>
 
80
      <sbr/>
 
81
      <group>
 
82
        <arg choice="plain"><option>--port
 
83
        <replaceable>PORT</replaceable></option></arg>
 
84
        <arg choice="plain"><option>-p
 
85
        <replaceable>PORT</replaceable></option></arg>
 
86
      </group>
 
87
      <sbr/>
 
88
      <arg><option>--priority
 
89
      <replaceable>PRIORITY</replaceable></option></arg>
 
90
      <sbr/>
 
91
      <arg><option>--servicename
 
92
      <replaceable>NAME</replaceable></option></arg>
 
93
      <sbr/>
 
94
      <arg><option>--configdir
 
95
      <replaceable>DIRECTORY</replaceable></option></arg>
 
96
      <sbr/>
 
97
      <arg><option>--debug</option></arg>
 
98
      <sbr/>
 
99
      <arg><option>--debuglevel
 
100
      <replaceable>LEVEL</replaceable></option></arg>
 
101
      <sbr/>
 
102
      <arg><option>--no-dbus</option></arg>
 
103
      <sbr/>
 
104
      <arg><option>--no-ipv6</option></arg>
 
105
      <sbr/>
 
106
      <arg><option>--no-restore</option></arg>
 
107
      <sbr/>
 
108
      <arg><option>--statedir
 
109
      <replaceable>DIRECTORY</replaceable></option></arg>
 
110
      <sbr/>
 
111
      <arg><option>--socket
 
112
      <replaceable>FD</replaceable></option></arg>
 
113
      <sbr/>
 
114
      <arg><option>--foreground</option></arg>
 
115
      <sbr/>
 
116
      <arg><option>--no-zeroconf</option></arg>
 
117
    </cmdsynopsis>
 
118
    <cmdsynopsis>
 
119
      <command>&COMMANDNAME;</command>
 
120
      <group choice="req">
 
121
        <arg choice="plain"><option>--help</option></arg>
 
122
        <arg choice="plain"><option>-h</option></arg>
 
123
      </group>
 
124
    </cmdsynopsis>
 
125
    <cmdsynopsis>
 
126
      <command>&COMMANDNAME;</command>
 
127
      <arg choice="plain"><option>--version</option></arg>
 
128
    </cmdsynopsis>
 
129
    <cmdsynopsis>
 
130
      <command>&COMMANDNAME;</command>
 
131
      <arg choice="plain"><option>--check</option></arg>
106
132
    </cmdsynopsis>
107
133
  </refsynopsisdiv>
108
 
 
 
134
  
109
135
  <refsect1 id="description">
110
136
    <title>DESCRIPTION</title>
111
137
    <para>
112
138
      <command>&COMMANDNAME;</command> is a server daemon which
113
139
      handles incoming request for passwords for a pre-defined list of
114
 
      client host computers.  The Mandos server uses Zeroconf to
115
 
      announce itself on the local network, and uses GnuTLS to
116
 
      communicate securely with and to authenticate the clients.
117
 
      Mandos uses IPv6 link-local addresses, since the clients are
118
 
      assumed to not have any other addresses configured.  Any
119
 
      authenticated client is then given the pre-encrypted password
120
 
      for that specific client.
 
140
      client host computers. For an introduction, see
 
141
      <citerefentry><refentrytitle>intro</refentrytitle>
 
142
      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server
 
143
      uses Zeroconf to announce itself on the local network, and uses
 
144
      TLS to communicate securely with and to authenticate the
 
145
      clients.  The Mandos server uses IPv6 to allow Mandos clients to
 
146
      use IPv6 link-local addresses, since the clients will probably
 
147
      not have any other addresses configured (see <xref
 
148
      linkend="overview"/>).  Any authenticated client is then given
 
149
      the stored pre-encrypted password for that specific client.
121
150
    </para>
122
 
 
123
151
  </refsect1>
124
152
  
125
153
  <refsect1 id="purpose">
126
154
    <title>PURPOSE</title>
127
 
 
128
155
    <para>
129
156
      The purpose of this is to enable <emphasis>remote and unattended
130
 
      rebooting</emphasis> of any client host computer with an
131
 
      <emphasis>encrypted root file system</emphasis>.  The client
132
 
      host computer should start a Mandos client in the initial RAM
133
 
      disk environment, the Mandos client program communicates with
134
 
      this server program to get an encrypted password, which is then
135
 
      decrypted and used to unlock the encrypted root file system.
136
 
      The client host computer can then continue its boot sequence
137
 
      normally.
 
157
      rebooting</emphasis> of client host computer with an
 
158
      <emphasis>encrypted root file system</emphasis>.  See <xref
 
159
      linkend="overview"/> for details.
138
160
    </para>
139
 
 
140
161
  </refsect1>
141
162
  
142
163
  <refsect1 id="options">
143
164
    <title>OPTIONS</title>
144
 
 
145
165
    <variablelist>
146
166
      <varlistentry>
147
 
        <term><literal>-h</literal>, <literal>--help</literal></term>
 
167
        <term><option>--help</option></term>
 
168
        <term><option>-h</option></term>
148
169
        <listitem>
149
170
          <para>
150
171
            Show a help message and exit
151
172
          </para>
152
173
        </listitem>
153
174
      </varlistentry>
154
 
 
155
 
      <varlistentry>
156
 
        <term><literal>-i</literal>, <literal>--interface <replaceable>
157
 
        IF</replaceable></literal></term>
158
 
        <listitem>
159
 
          <para>
160
 
            Only announce the server and listen to requests on network
161
 
            interface <replaceable>IF</replaceable>.  Default is to
162
 
            use all available interfaces.
163
 
          </para>
164
 
        </listitem>
165
 
      </varlistentry>
166
 
 
167
 
      <varlistentry>
168
 
        <term><literal>-a</literal>, <literal>--address <replaceable>
169
 
        ADDRESS</replaceable></literal></term>
170
 
        <listitem>
171
 
          <para>
172
 
            If this option is used, the server will only listen to a
173
 
            specific address.  This must currently be an IPv6 address;
174
 
            an IPv4 address can be specified using the
175
 
            <quote><literal>::FFFF:192.0.2.3</literal></quote> syntax.
176
 
            Also, if a link-local address is specified, an interface
177
 
            should be set, since a link-local address is only valid on
178
 
            a single interface.  By default, the server will listen to
179
 
            all available addresses.
180
 
          </para>
181
 
        </listitem>
182
 
      </varlistentry>
183
 
 
184
 
      <varlistentry>
185
 
        <term><literal>-p</literal>, <literal>--port <replaceable>
186
 
        PORT</replaceable></literal></term>
187
 
        <listitem>
188
 
          <para>
189
 
            If this option is used, the server to bind to that
190
 
            port. By default, the server will listen to an arbitrary
191
 
            port given by the operating system.
192
 
          </para>
193
 
        </listitem>
194
 
      </varlistentry>
195
 
 
196
 
      <varlistentry>
197
 
        <term><literal>--check</literal></term>
198
 
        <listitem>
199
 
          <para>
200
 
            Run the server's self-tests.  This includes any unit
 
175
      
 
176
      <varlistentry>
 
177
        <term><option>--interface</option>
 
178
        <replaceable>NAME</replaceable></term>
 
179
        <term><option>-i</option>
 
180
        <replaceable>NAME</replaceable></term>
 
181
        <listitem>
 
182
          <xi:include href="mandos-options.xml" xpointer="interface"/>
 
183
        </listitem>
 
184
      </varlistentry>
 
185
      
 
186
      <varlistentry>
 
187
        <term><option>--address
 
188
        <replaceable>ADDRESS</replaceable></option></term>
 
189
        <term><option>-a
 
190
        <replaceable>ADDRESS</replaceable></option></term>
 
191
        <listitem>
 
192
          <xi:include href="mandos-options.xml" xpointer="address"/>
 
193
        </listitem>
 
194
      </varlistentry>
 
195
      
 
196
      <varlistentry>
 
197
        <term><option>--port
 
198
        <replaceable>PORT</replaceable></option></term>
 
199
        <term><option>-p
 
200
        <replaceable>PORT</replaceable></option></term>
 
201
        <listitem>
 
202
          <xi:include href="mandos-options.xml" xpointer="port"/>
 
203
        </listitem>
 
204
      </varlistentry>
 
205
      
 
206
      <varlistentry>
 
207
        <term><option>--check</option></term>
 
208
        <listitem>
 
209
          <para>
 
210
            Run the server’s self-tests.  This includes any unit
201
211
            tests, etc.
202
212
          </para>
203
213
        </listitem>
204
214
      </varlistentry>
205
 
 
206
 
      <varlistentry>
207
 
        <term><literal>--debug</literal></term>
208
 
        <listitem>
209
 
          <para>
210
 
            If the server is run in debug mode, it will run in the
211
 
            foreground and print a lot of debugging information.  The
212
 
            default is <emphasis>not</emphasis> to run in debug mode.
213
 
          </para>
214
 
        </listitem>
215
 
      </varlistentry>
216
 
 
217
 
      <varlistentry>
218
 
        <term><literal>--priority <replaceable>
219
 
        PRIORITY</replaceable></literal></term>
220
 
        <listitem>
221
 
          <para>
222
 
            GnuTLS priority string for the TLS handshake with the
223
 
            clients.  See
224
 
            <citerefentry><refentrytitle>gnutls_priority_init
225
 
            </refentrytitle><manvolnum>3</manvolnum></citerefentry>
226
 
            for the syntax.  The default is
227
 
            <quote><literal>SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP</literal></quote>.
228
 
            <emphasis>Warning</emphasis>: changing this may make the
229
 
            TLS handshake fail, making communication with clients
230
 
            impossible.
231
 
          </para>
232
 
        </listitem>
233
 
      </varlistentry>
234
 
 
235
 
      <varlistentry>
236
 
        <term><literal>--servicename <replaceable>NAME</replaceable>
237
 
        </literal></term>
238
 
        <listitem>
239
 
          <para>
240
 
            Zeroconf service name.  The default is
241
 
            <quote><literal>Mandos</literal></quote>.  You only need
242
 
            to change this if you for some reason want to run more
243
 
            than one server on the same <emphasis>host</emphasis>,
244
 
            which would not normally be useful.  If there are name
245
 
            collisions on the same <emphasis>network</emphasis>, the
246
 
            newer server will automatically rename itself to
247
 
            <quote><literal>Mandos #2</literal></quote>, and so on,
248
 
            therefore this option is not needed in that case.
249
 
          </para>
250
 
        </listitem>
251
 
      </varlistentry>
252
 
 
253
 
      <varlistentry>
254
 
        <term><literal>--configdir <replaceable>DIR</replaceable>
255
 
        </literal></term>
 
215
      
 
216
      <varlistentry>
 
217
        <term><option>--debug</option></term>
 
218
        <listitem>
 
219
          <xi:include href="mandos-options.xml" xpointer="debug"/>
 
220
        </listitem>
 
221
      </varlistentry>
 
222
      
 
223
      <varlistentry>
 
224
        <term><option>--debuglevel
 
225
        <replaceable>LEVEL</replaceable></option></term>
 
226
        <listitem>
 
227
          <para>
 
228
            Set the debugging log level.
 
229
            <replaceable>LEVEL</replaceable> is a string, one of
 
230
            <quote><literal>CRITICAL</literal></quote>,
 
231
            <quote><literal>ERROR</literal></quote>,
 
232
            <quote><literal>WARNING</literal></quote>,
 
233
            <quote><literal>INFO</literal></quote>, or
 
234
            <quote><literal>DEBUG</literal></quote>, in order of
 
235
            increasing verbosity.  The default level is
 
236
            <quote><literal>WARNING</literal></quote>.
 
237
          </para>
 
238
        </listitem>
 
239
      </varlistentry>
 
240
      
 
241
      <varlistentry>
 
242
        <term><option>--priority <replaceable>
 
243
        PRIORITY</replaceable></option></term>
 
244
        <listitem>
 
245
          <xi:include href="mandos-options.xml" xpointer="priority"/>
 
246
        </listitem>
 
247
      </varlistentry>
 
248
      
 
249
      <varlistentry>
 
250
        <term><option>--servicename
 
251
        <replaceable>NAME</replaceable></option></term>
 
252
        <listitem>
 
253
          <xi:include href="mandos-options.xml"
 
254
                      xpointer="servicename"/>
 
255
        </listitem>
 
256
      </varlistentry>
 
257
      
 
258
      <varlistentry>
 
259
        <term><option>--configdir
 
260
        <replaceable>DIRECTORY</replaceable></option></term>
256
261
        <listitem>
257
262
          <para>
258
263
            Directory to search for configuration files.  Default is
264
269
          </para>
265
270
        </listitem>
266
271
      </varlistentry>
267
 
 
 
272
      
268
273
      <varlistentry>
269
 
        <term><literal>--version</literal></term>
 
274
        <term><option>--version</option></term>
270
275
        <listitem>
271
276
          <para>
272
277
            Prints the program version and exit.
273
278
          </para>
274
279
        </listitem>
275
280
      </varlistentry>
 
281
      
 
282
      <varlistentry>
 
283
        <term><option>--no-dbus</option></term>
 
284
        <listitem>
 
285
          <xi:include href="mandos-options.xml" xpointer="dbus"/>
 
286
          <para>
 
287
            See also <xref linkend="dbus_interface"/>.
 
288
          </para>
 
289
        </listitem>
 
290
      </varlistentry>
 
291
      
 
292
      <varlistentry>
 
293
        <term><option>--no-ipv6</option></term>
 
294
        <listitem>
 
295
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
 
296
        </listitem>
 
297
      </varlistentry>
 
298
      
 
299
      <varlistentry>
 
300
        <term><option>--no-restore</option></term>
 
301
        <listitem>
 
302
          <xi:include href="mandos-options.xml" xpointer="restore"/>
 
303
          <para>
 
304
            See also <xref linkend="persistent_state"/>.
 
305
          </para>
 
306
        </listitem>
 
307
      </varlistentry>
 
308
      
 
309
      <varlistentry>
 
310
        <term><option>--statedir
 
311
        <replaceable>DIRECTORY</replaceable></option></term>
 
312
        <listitem>
 
313
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
 
314
        </listitem>
 
315
      </varlistentry>
 
316
      
 
317
      <varlistentry>
 
318
        <term><option>--socket
 
319
        <replaceable>FD</replaceable></option></term>
 
320
        <listitem>
 
321
          <xi:include href="mandos-options.xml" xpointer="socket"/>
 
322
        </listitem>
 
323
      </varlistentry>
 
324
      
 
325
      <varlistentry>
 
326
        <term><option>--foreground</option></term>
 
327
        <listitem>
 
328
          <xi:include href="mandos-options.xml"
 
329
                      xpointer="foreground"/>
 
330
        </listitem>
 
331
      </varlistentry>
 
332
      
 
333
      <varlistentry>
 
334
        <term><option>--no-zeroconf</option></term>
 
335
        <listitem>
 
336
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
 
337
        </listitem>
 
338
      </varlistentry>
 
339
      
276
340
    </variablelist>
277
341
  </refsect1>
278
 
 
 
342
  
 
343
  <refsect1 id="overview">
 
344
    <title>OVERVIEW</title>
 
345
    <xi:include href="overview.xml"/>
 
346
    <para>
 
347
      This program is the server part.  It is a normal server program
 
348
      and will run in a normal system environment, not in an initial
 
349
      <acronym>RAM</acronym> disk environment.
 
350
    </para>
 
351
  </refsect1>
 
352
  
279
353
  <refsect1 id="protocol">
280
354
    <title>NETWORK PROTOCOL</title>
281
355
    <para>
288
362
      start a TLS protocol handshake with a slight quirk: the Mandos
289
363
      server program acts as a TLS <quote>client</quote> while the
290
364
      connecting Mandos client acts as a TLS <quote>server</quote>.
291
 
      The Mandos client must supply an OpenPGP certificate, and the
292
 
      fingerprint of this certificate is used by the Mandos server to
293
 
      look up (in a list read from <filename>clients.conf</filename>
294
 
      at start time) which binary blob to give the client.  No other
295
 
      authentication or authorization is done by the server.
 
365
      The Mandos client must supply a TLS public key, and the key ID
 
366
      of this public key is used by the Mandos server to look up (in a
 
367
      list read from <filename>clients.conf</filename> at start time)
 
368
      which binary blob to give the client.  No other authentication
 
369
      or authorization is done by the server.
296
370
    </para>
297
371
    <table>
298
372
      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>
307
381
        <entry>-><!-- &rarr; --></entry>
308
382
      </row>
309
383
      <row>
310
 
        <entry><quote><literal>1\r\en</literal></quote></entry>
 
384
        <entry><quote><literal>1\r\n</literal></quote></entry>
311
385
        <entry>-><!-- &rarr; --></entry>
312
386
      </row>
313
387
      <row>
318
392
        </emphasis></entry>
319
393
      </row>
320
394
      <row>
321
 
        <entry>OpenPGP public key (part of TLS handshake)</entry>
 
395
        <entry>Public key (part of TLS handshake)</entry>
322
396
        <entry>-><!-- &rarr; --></entry>
323
397
      </row>
324
398
      <row>
333
407
      </row>
334
408
    </tbody></tgroup></table>
335
409
  </refsect1>
336
 
 
 
410
  
337
411
  <refsect1 id="checking">
338
412
    <title>CHECKING</title>
339
413
    <para>
340
414
      The server will, by default, continually check that the clients
341
415
      are still up.  If a client has not been confirmed as being up
342
416
      for some time, the client is assumed to be compromised and is no
343
 
      longer eligible to receive the encrypted password.  The timeout,
344
 
      checker program and interval between checks can be configured
345
 
      both globally and per client; see <citerefentry>
346
 
      <refentrytitle>mandos.conf</refentrytitle>
347
 
      <manvolnum>5</manvolnum></citerefentry> and <citerefentry>
 
417
      longer eligible to receive the encrypted password.  (Manual
 
418
      intervention is required to re-enable a client.)  The timeout,
 
419
      extended timeout, checker program, and interval between checks
 
420
      can be configured both globally and per client; see
 
421
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
422
      <manvolnum>5</manvolnum></citerefentry>.
 
423
    </para>
 
424
  </refsect1>
 
425
  
 
426
  <refsect1 id="approval">
 
427
    <title>APPROVAL</title>
 
428
    <para>
 
429
      The server can be configured to require manual approval for a
 
430
      client before it is sent its secret.  The delay to wait for such
 
431
      approval and the default action (approve or deny) can be
 
432
      configured both globally and per client; see <citerefentry>
348
433
      <refentrytitle>mandos-clients.conf</refentrytitle>
349
 
      <manvolnum>5</manvolnum></citerefentry>.
350
 
    </para>
 
434
      <manvolnum>5</manvolnum></citerefentry>.  By default all clients
 
435
      will be approved immediately without delay.
 
436
    </para>
 
437
    <para>
 
438
      This can be used to deny a client its secret if not manually
 
439
      approved within a specified time.  It can also be used to make
 
440
      the server delay before giving a client its secret, allowing
 
441
      optional manual denying of this specific client.
 
442
    </para>
 
443
    
351
444
  </refsect1>
352
 
 
 
445
  
353
446
  <refsect1 id="logging">
354
447
    <title>LOGGING</title>
355
448
    <para>
356
 
      The server will send log messaged with various severity levels
357
 
      to <filename>/dev/log</filename>.  With the
 
449
      The server will send log message with various severity levels to
 
450
      <filename class="devicefile">/dev/log</filename>.  With the
358
451
      <option>--debug</option> option, it will log even more messages,
359
452
      and also show them on the console.
360
453
    </para>
361
454
  </refsect1>
362
 
 
 
455
  
 
456
  <refsect1 id="persistent_state">
 
457
    <title>PERSISTENT STATE</title>
 
458
    <para>
 
459
      Client settings, initially read from
 
460
      <filename>clients.conf</filename>, are persistent across
 
461
      restarts, and run-time changes will override settings in
 
462
      <filename>clients.conf</filename>.  However, if a setting is
 
463
      <emphasis>changed</emphasis> (or a client added, or removed) in
 
464
      <filename>clients.conf</filename>, this will take precedence.
 
465
    </para>
 
466
  </refsect1>
 
467
  
 
468
  <refsect1 id="dbus_interface">
 
469
    <title>D-BUS INTERFACE</title>
 
470
    <para>
 
471
      The server will by default provide a D-Bus system bus interface.
 
472
      This interface will only be accessible by the root user or a
 
473
      Mandos-specific user, if such a user exists.  For documentation
 
474
      of the D-Bus API, see the file <filename>DBUS-API</filename>.
 
475
    </para>
 
476
  </refsect1>
 
477
  
363
478
  <refsect1 id="exit_status">
364
479
    <title>EXIT STATUS</title>
365
480
    <para>
367
482
      critical error is encountered.
368
483
    </para>
369
484
  </refsect1>
370
 
 
371
 
  <refsect1 id="file">
 
485
  
 
486
  <refsect1 id="environment">
 
487
    <title>ENVIRONMENT</title>
 
488
    <variablelist>
 
489
      <varlistentry>
 
490
        <term><envar>PATH</envar></term>
 
491
        <listitem>
 
492
          <para>
 
493
            To start the configured checker (see <xref
 
494
            linkend="checking"/>), the server uses
 
495
            <filename>/bin/sh</filename>, which in turn uses
 
496
            <varname>PATH</varname> to search for matching commands if
 
497
            an absolute path is not given.  See <citerefentry>
 
498
            <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
 
499
            </citerefentry>.
 
500
          </para>
 
501
        </listitem>
 
502
      </varlistentry>
 
503
    </variablelist>
 
504
  </refsect1>
 
505
  
 
506
  <refsect1 id="files">
372
507
    <title>FILES</title>
373
508
    <para>
374
509
      Use the <option>--configdir</option> option to change where
397
532
        </listitem>
398
533
      </varlistentry>
399
534
      <varlistentry>
400
 
        <term><filename>/var/run/mandos/mandos.pid</filename></term>
401
 
        <listitem>
402
 
          <para>
403
 
            The file containing the process id of
404
 
            <command>&COMMANDNAME;</command>.
405
 
          </para>
406
 
        </listitem>
407
 
      </varlistentry>
408
 
      <varlistentry>
409
 
        <term><filename>/dev/log</filename></term>
 
535
        <term><filename>/run/mandos.pid</filename></term>
 
536
        <listitem>
 
537
          <para>
 
538
            The file containing the process id of the
 
539
            <command>&COMMANDNAME;</command> process started last.
 
540
            <emphasis >Note:</emphasis> If the <filename
 
541
            class="directory">/run</filename> directory does not
 
542
            exist, <filename>/var/run/mandos.pid</filename> will be
 
543
            used instead.
 
544
          </para>
 
545
        </listitem>
 
546
      </varlistentry>
 
547
      <varlistentry>
 
548
        <term><filename
 
549
        class="directory">/var/lib/mandos</filename></term>
 
550
        <listitem>
 
551
          <para>
 
552
            Directory where persistent state will be saved.  Change
 
553
            this with the <option>--statedir</option> option.  See
 
554
            also the <option>--no-restore</option> option.
 
555
          </para>
 
556
        </listitem>
 
557
      </varlistentry>
 
558
      <varlistentry>
 
559
        <term><filename class="devicefile">/dev/log</filename></term>
410
560
        <listitem>
411
561
          <para>
412
562
            The Unix domain socket to where local syslog messages are
414
564
          </para>
415
565
        </listitem>
416
566
      </varlistentry>
 
567
      <varlistentry>
 
568
        <term><filename>/bin/sh</filename></term>
 
569
        <listitem>
 
570
          <para>
 
571
            This is used to start the configured checker command for
 
572
            each client.  See <citerefentry>
 
573
            <refentrytitle>mandos-clients.conf</refentrytitle>
 
574
            <manvolnum>5</manvolnum></citerefentry> for details.
 
575
          </para>
 
576
        </listitem>
 
577
      </varlistentry>
417
578
    </variablelist>
418
579
  </refsect1>
419
 
 
 
580
  
420
581
  <refsect1 id="bugs">
421
582
    <title>BUGS</title>
422
583
    <para>
423
584
      This server might, on especially fatal errors, emit a Python
424
585
      backtrace.  This could be considered a feature.
425
586
    </para>
 
587
    <para>
 
588
      There is no fine-grained control over logging and debug output.
 
589
    </para>
 
590
    <xi:include href="bugs.xml"/>
426
591
  </refsect1>
427
 
 
428
 
  <refsect1 id="examples">
429
 
    <title>EXAMPLES</title>
 
592
  
 
593
  <refsect1 id="example">
 
594
    <title>EXAMPLE</title>
430
595
    <informalexample>
431
596
      <para>
432
597
        Normal invocation needs no options:
433
598
      </para>
434
599
      <para>
435
 
        <userinput>mandos</userinput>
 
600
        <userinput>&COMMANDNAME;</userinput>
436
601
      </para>
437
602
    </informalexample>
438
603
    <informalexample>
439
604
      <para>
440
 
        Run the server in debug mode and read configuration files from
441
 
        the <filename>~/mandos</filename> directory:
 
605
        Run the server in debug mode, read configuration files from
 
606
        the <filename class="directory">~/mandos</filename> directory,
 
607
        and use the Zeroconf service name <quote>Test</quote> to not
 
608
        collide with any other official Mandos server on this host:
442
609
      </para>
443
610
      <para>
444
611
 
445
612
<!-- do not wrap this line -->
446
 
<userinput>mandos --debug --configdir ~/mandos --servicename Test</userinput>
 
613
<userinput>&COMMANDNAME; --debug --configdir ~/mandos --servicename Test</userinput>
447
614
 
448
615
      </para>
449
616
    </informalexample>
455
622
      <para>
456
623
 
457
624
<!-- do not wrap this line -->
458
 
<userinput>mandos --interface eth7 --address fe80::aede:48ff:fe71:f6f2</userinput>
 
625
<userinput>&COMMANDNAME; --interface eth7 --address fe80::aede:48ff:fe71:f6f2</userinput>
459
626
 
460
627
      </para>
461
628
    </informalexample>
462
629
  </refsect1>
463
 
 
 
630
  
464
631
  <refsect1 id="security">
465
632
    <title>SECURITY</title>
466
 
    <refsect2>
 
633
    <refsect2 id="server">
467
634
      <title>SERVER</title>
468
635
      <para>
469
 
        Running the server should not in itself present any security
470
 
        risk to the host computer running it.
 
636
        Running this <command>&COMMANDNAME;</command> server program
 
637
        should not in itself present any security risk to the host
 
638
        computer running it.  The program switches to a non-root user
 
639
        soon after startup.
471
640
      </para>
472
641
    </refsect2>
473
 
    <refsect2>
 
642
    <refsect2 id="clients">
474
643
      <title>CLIENTS</title>
475
644
      <para>
476
645
        The server only gives out its stored data to clients which
477
 
        does have the OpenPGP key of the stored fingerprint.  This is
478
 
        guaranteed by the fact that the client sends its OpenPGP
479
 
        public key in the TLS handshake; this ensures it to be
480
 
        genuine.  The server computes the fingerprint of the key
481
 
        itself and looks up the fingerprint in its list of
482
 
        clients. The <filename>clients.conf</filename> file (see
 
646
        does have the correct key ID of the stored key ID.  This is
 
647
        guaranteed by the fact that the client sends its public key in
 
648
        the TLS handshake; this ensures it to be genuine.  The server
 
649
        computes the key ID of the key itself and looks up the key ID
 
650
        in its list of clients. The <filename>clients.conf</filename>
 
651
        file (see
483
652
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
484
 
        <manvolnum>5</manvolnum></citerefentry>) must be non-readable
485
 
        by anyone except the user running the server.
 
653
        <manvolnum>5</manvolnum></citerefentry>)
 
654
        <emphasis>must</emphasis> be made non-readable by anyone
 
655
        except the user starting the server (usually root).
 
656
      </para>
 
657
      <para>
 
658
        As detailed in <xref linkend="checking"/>, the status of all
 
659
        client computers will continually be checked and be assumed
 
660
        compromised if they are gone for too long.
486
661
      </para>
487
662
      <para>
488
663
        For more details on client-side security, see
489
 
        <citerefentry><refentrytitle>password-request</refentrytitle>
 
664
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
490
665
        <manvolnum>8mandos</manvolnum></citerefentry>.
491
666
      </para>
492
667
    </refsect2>
493
668
  </refsect1>
494
 
 
 
669
  
495
670
  <refsect1 id="see_also">
496
671
    <title>SEE ALSO</title>
497
 
    <itemizedlist spacing="compact">
498
 
      <listitem><para>
499
 
        <citerefentry><refentrytitle>password-request</refentrytitle>
500
 
        <manvolnum>8mandos</manvolnum></citerefentry>
501
 
      </para></listitem>
502
 
      
503
 
      <listitem><para>
504
 
        <citerefentry><refentrytitle>plugin-runner</refentrytitle>
505
 
        <manvolnum>8mandos</manvolnum></citerefentry>
506
 
      </para></listitem>
507
 
      
508
 
      <listitem><para>
509
 
        <ulink url="http://www.zeroconf.org/">Zeroconf</ulink>
510
 
      </para></listitem>
511
 
      
512
 
      <listitem><para>
513
 
        <ulink url="http://www.avahi.org/">Avahi</ulink>
514
 
      </para></listitem>
515
 
      
516
 
      <listitem><para>
517
 
        <ulink
518
 
            url="http://www.gnu.org/software/gnutls/">GnuTLS</ulink>
519
 
      </para></listitem>
520
 
      
521
 
      <listitem><para>
522
 
        <citation>RFC 4880: <citetitle>OpenPGP Message
523
 
        Format</citetitle></citation>
524
 
      </para></listitem>
525
 
      
526
 
      <listitem><para>
527
 
        <citation>RFC 5081: <citetitle>Using OpenPGP Keys for
528
 
        Transport Layer Security</citetitle></citation>
529
 
      </para></listitem>
530
 
      
531
 
      <listitem><para>
532
 
        <citation>RFC 4291: <citetitle>IP Version 6 Addressing
533
 
        Architecture</citetitle>, section 2.5.6, Link-Local IPv6
534
 
        Unicast Addresses</citation>
535
 
      </para></listitem>
536
 
    </itemizedlist>
 
672
    <para>
 
673
      <citerefentry><refentrytitle>intro</refentrytitle>
 
674
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
675
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
676
      <manvolnum>5</manvolnum></citerefentry>,
 
677
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
 
678
      <manvolnum>5</manvolnum></citerefentry>,
 
679
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
680
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
681
      <citerefentry><refentrytitle>sh</refentrytitle>
 
682
      <manvolnum>1</manvolnum></citerefentry>
 
683
    </para>
 
684
    <variablelist>
 
685
      <varlistentry>
 
686
        <term>
 
687
          <ulink url="http://www.zeroconf.org/">Zeroconf</ulink>
 
688
        </term>
 
689
        <listitem>
 
690
          <para>
 
691
            Zeroconf is the network protocol standard used by clients
 
692
            for finding this Mandos server on the local network.
 
693
          </para>
 
694
        </listitem>
 
695
      </varlistentry>
 
696
      <varlistentry>
 
697
        <term>
 
698
          <ulink url="http://www.avahi.org/">Avahi</ulink>
 
699
        </term>
 
700
      <listitem>
 
701
        <para>
 
702
          Avahi is the library this server calls to implement
 
703
          Zeroconf service announcements.
 
704
        </para>
 
705
      </listitem>
 
706
      </varlistentry>
 
707
      <varlistentry>
 
708
        <term>
 
709
          <ulink url="https://gnutls.org/">GnuTLS</ulink>
 
710
        </term>
 
711
      <listitem>
 
712
        <para>
 
713
          GnuTLS is the library this server uses to implement TLS for
 
714
          communicating securely with the client, and at the same time
 
715
          confidently get the client’s public key.
 
716
        </para>
 
717
      </listitem>
 
718
      </varlistentry>
 
719
      <varlistentry>
 
720
        <term>
 
721
          RFC 4291: <citetitle>IP Version 6 Addressing
 
722
          Architecture</citetitle>
 
723
        </term>
 
724
        <listitem>
 
725
          <variablelist>
 
726
            <varlistentry>
 
727
              <term>Section 2.2: <citetitle>Text Representation of
 
728
              Addresses</citetitle></term>
 
729
              <listitem><para/></listitem>
 
730
            </varlistentry>
 
731
            <varlistentry>
 
732
              <term>Section 2.5.5.2: <citetitle>IPv4-Mapped IPv6
 
733
              Address</citetitle></term>
 
734
              <listitem><para/></listitem>
 
735
            </varlistentry>
 
736
            <varlistentry>
 
737
            <term>Section 2.5.6, <citetitle>Link-Local IPv6 Unicast
 
738
            Addresses</citetitle></term>
 
739
            <listitem>
 
740
              <para>
 
741
                The clients use IPv6 link-local addresses, which are
 
742
                immediately usable since a link-local addresses is
 
743
                automatically assigned to a network interfaces when it
 
744
                is brought up.
 
745
              </para>
 
746
            </listitem>
 
747
            </varlistentry>
 
748
          </variablelist>
 
749
        </listitem>
 
750
      </varlistentry>
 
751
      <varlistentry>
 
752
        <term>
 
753
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
754
          Protocol Version 1.2</citetitle>
 
755
        </term>
 
756
      <listitem>
 
757
        <para>
 
758
          TLS 1.2 is the protocol implemented by GnuTLS.
 
759
        </para>
 
760
      </listitem>
 
761
      </varlistentry>
 
762
      <varlistentry>
 
763
        <term>
 
764
          RFC 4880: <citetitle>OpenPGP Message Format</citetitle>
 
765
        </term>
 
766
      <listitem>
 
767
        <para>
 
768
          The data sent to clients is binary encrypted OpenPGP data.
 
769
        </para>
 
770
      </listitem>
 
771
      </varlistentry>
 
772
      <varlistentry>
 
773
        <term>
 
774
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
 
775
          Layer Security (TLS) and Datagram Transport Layer Security
 
776
          (DTLS)</citetitle>
 
777
        </term>
 
778
      <listitem>
 
779
        <para>
 
780
          This is implemented by GnuTLS version 3.6.6 and is, if
 
781
          present, used by this server so that raw public keys can be
 
782
          used.
 
783
        </para>
 
784
      </listitem>
 
785
      </varlistentry>
 
786
      <varlistentry>
 
787
        <term>
 
788
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
789
          Security (TLS) Authentication</citetitle>
 
790
        </term>
 
791
      <listitem>
 
792
        <para>
 
793
          This is implemented by GnuTLS before version 3.6.0 and is,
 
794
          if present, used by this server so that OpenPGP keys can be
 
795
          used.
 
796
        </para>
 
797
      </listitem>
 
798
      </varlistentry>
 
799
    </variablelist>
537
800
  </refsect1>
538
801
</refentry>
 
802
<!-- Local Variables: -->
 
803
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
 
804
<!-- time-stamp-end: "[\"']>" -->
 
805
<!-- time-stamp-format: "%:y-%02m-%02d" -->
 
806
<!-- End: -->