/mandos/release

« back to all changes in this revision

Viewing changes to mandos.xml

• browse files at revision 414
• compare with another revision
• download diff
• download tarball
• view history from revision 414

• reverse the comparison (414 to 237.7.128)
• stop comparing with revision 237.7.128

Show diffs side-by-side

added

removed

mandos.xml

2

2

<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"

3

3

"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [

4

4

<!ENTITY COMMANDNAME "mandos">

5

 

<!ENTITY TIMESTAMP "2012-01-15">

 

5

<!ENTITY TIMESTAMP "2025-06-27">

6

6

<!ENTITY % common SYSTEM "common.ent">

7

7

%common;

8

8

]>

36

36

      <year>2010</year>

37

37

      <year>2011</year>

38

38

      <year>2012</year>

 

39

      <year>2013</year>

 

40

      <year>2014</year>

 

41

      <year>2015</year>

 

42

      <year>2016</year>

 

43

      <year>2017</year>

 

44

      <year>2018</year>

 

45

      <year>2019</year>

 

46

      <year>2020</year>

 

47

      <year>2021</year>

 

48

      <year>2022</year>

39

49

      <holder>Teddy Hogeborn</holder>

40

50

      <holder>Björn Påhlsson</holder>

41

51

    </copyright>

100

110

      <sbr/>

101

111

      <arg><option>--statedir

102

112

      <replaceable>DIRECTORY</replaceable></option></arg>

 

113

      <sbr/>

 

114

      <arg><option>--socket

 

115

      <replaceable>FD</replaceable></option></arg>

 

116

      <sbr/>

 

117

      <arg><option>--foreground</option></arg>

 

118

      <sbr/>

 

119

      <arg><option>--no-zeroconf</option></arg>

103

120

    </cmdsynopsis>

104

121

    <cmdsynopsis>

105

122

      <command>&COMMANDNAME;</command>

122

139

    <title>DESCRIPTION</title>

123

140

    <para>

124

141

      <command>&COMMANDNAME;</command> is a server daemon which

125

 

      handles incoming request for passwords for a pre-defined list of

126

 

      client host computers. For an introduction, see

 

142

      handles incoming requests for passwords for a pre-defined list

 

143

      of client host computers. For an introduction, see

127

144

      <citerefentry><refentrytitle>intro</refentrytitle>

128

145

      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server

129

146

      uses Zeroconf to announce itself on the local network, and uses

299

316

          <xi:include href="mandos-options.xml" xpointer="statedir"/>

300

317

        </listitem>

301

318

      </varlistentry>

 

319

      

 

320

      <varlistentry>

 

321

        <term><option>--socket

 

322

        <replaceable>FD</replaceable></option></term>

 

323

        <listitem>

 

324

          <xi:include href="mandos-options.xml" xpointer="socket"/>

 

325

        </listitem>

 

326

      </varlistentry>

 

327

      

 

328

      <varlistentry>

 

329

        <term><option>--foreground</option></term>

 

330

        <listitem>

 

331

          <xi:include href="mandos-options.xml"

 

332

                      xpointer="foreground"/>

 

333

        </listitem>

 

334

      </varlistentry>

 

335

      

 

336

      <varlistentry>

 

337

        <term><option>--no-zeroconf</option></term>

 

338

        <listitem>

 

339

          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>

 

340

        </listitem>

 

341

      </varlistentry>

 

342

      

302

343

    </variablelist>

303

344

  </refsect1>

304

345

  

324

365

      start a TLS protocol handshake with a slight quirk: the Mandos

325

366

      server program acts as a TLS <quote>client</quote> while the

326

367

      connecting Mandos client acts as a TLS <quote>server</quote>.

327

 

      The Mandos client must supply an OpenPGP certificate, and the

328

 

      fingerprint of this certificate is used by the Mandos server to

329

 

      look up (in a list read from <filename>clients.conf</filename>

330

 

      at start time) which binary blob to give the client.  No other

331

 

      authentication or authorization is done by the server.

 

368

      The Mandos client must supply a TLS public key, and the key ID

 

369

      of this public key is used by the Mandos server to look up (in a

 

370

      list read from <filename>clients.conf</filename> at start time)

 

371

      which binary blob to give the client.  No other authentication

 

372

      or authorization is done by the server.

332

373

    </para>

333

374

    <table>

334

375

      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>

354

395

        </emphasis></entry>

355

396

      </row>

356

397

      <row>

357

 

        <entry>OpenPGP public key (part of TLS handshake)</entry>

 

398

        <entry>Public key (part of TLS handshake)</entry>

358

399

        <entry>-><!-- &rarr; --></entry>

359

400

      </row>

360

401

      <row>

494

535

        </listitem>

495

536

      </varlistentry>

496

537

      <varlistentry>

497

 

        <term><filename>/var/run/mandos.pid</filename></term>

 

538

        <term><filename>/run/mandos.pid</filename></term>

498

539

        <listitem>

499

540

          <para>

500

541

            The file containing the process id of the

501

542

            <command>&COMMANDNAME;</command> process started last.

 

543

            <emphasis >Note:</emphasis> If the <filename

 

544

            class="directory">/run</filename> directory does not

 

545

            exist, <filename>/var/run/mandos.pid</filename> will be

 

546

            used instead.

502

547

          </para>

503

548

        </listitem>

504

549

      </varlistentry>

505

550

      <varlistentry>

506

 

        <term><filename class="devicefile">/dev/log</filename></term>

507

 

      </varlistentry>

508

 

      <varlistentry>

509

551

        <term><filename

510

552

        class="directory">/var/lib/mandos</filename></term>

511

553

        <listitem>

517

559

        </listitem>

518

560

      </varlistentry>

519

561

      <varlistentry>

520

 

        <term><filename>/dev/log</filename></term>

 

562

        <term><filename class="devicefile">/dev/log</filename></term>

521

563

        <listitem>

522

564

          <para>

523

565

            The Unix domain socket to where local syslog messages are

548

590

    <para>

549

591

      There is no fine-grained control over logging and debug output.

550

592

    </para>

551

 

    <para>

552

 

      Debug mode is conflated with running in the foreground.

553

 

    </para>

554

 

    <para>

555

 

      This server does not check the expire time of clients’ OpenPGP

556

 

      keys.

557

 

    </para>

 

593

    <xi:include href="bugs.xml"/>

558

594

  </refsect1>

559

595

  

560

596

  <refsect1 id="example">

610

646

      <title>CLIENTS</title>

611

647

      <para>

612

648

        The server only gives out its stored data to clients which

613

 

        does have the OpenPGP key of the stored fingerprint.  This is

614

 

        guaranteed by the fact that the client sends its OpenPGP

615

 

        public key in the TLS handshake; this ensures it to be

616

 

        genuine.  The server computes the fingerprint of the key

617

 

        itself and looks up the fingerprint in its list of

618

 

        clients. The <filename>clients.conf</filename> file (see

 

649

        does have the correct key ID of the stored key ID.  This is

 

650

        guaranteed by the fact that the client sends its public key in

 

651

        the TLS handshake; this ensures it to be genuine.  The server

 

652

        computes the key ID of the key itself and looks up the key ID

 

653

        in its list of clients. The <filename>clients.conf</filename>

 

654

        file (see

619

655

        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>

620

656

        <manvolnum>5</manvolnum></citerefentry>)

621

657

        <emphasis>must</emphasis> be made non-readable by anyone

662

698

      </varlistentry>

663

699

      <varlistentry>

664

700

        <term>

665

 

          <ulink url="http://www.avahi.org/">Avahi</ulink>

 

701

          <ulink url="https://www.avahi.org/">Avahi</ulink>

666

702

        </term>

667

703

      <listitem>

668

704

        <para>

673

709

      </varlistentry>

674

710

      <varlistentry>

675

711

        <term>

676

 

          <ulink url="http://www.gnu.org/software/gnutls/"

677

 

          >GnuTLS</ulink>

 

712

          <ulink url="https://gnutls.org/">GnuTLS</ulink>

678

713

        </term>

679

714

      <listitem>

680

715

        <para>

681

716

          GnuTLS is the library this server uses to implement TLS for

682

717

          communicating securely with the client, and at the same time

683

 

          confidently get the client’s public OpenPGP key.

 

718

          confidently get the client’s public key.

684

719

        </para>

685

720

      </listitem>

686

721

      </varlistentry>

707

742

            <listitem>

708

743

              <para>

709

744

                The clients use IPv6 link-local addresses, which are

710

 

                immediately usable since a link-local addresses is

 

745

                immediately usable since a link-local address is

711

746

                automatically assigned to a network interfaces when it

712

747

                is brought up.

713

748

              </para>

718

753

      </varlistentry>

719

754

      <varlistentry>

720

755

        <term>

721

 

          RFC 4346: <citetitle>The Transport Layer Security (TLS)

722

 

          Protocol Version 1.1</citetitle>

 

756

          RFC 5246: <citetitle>The Transport Layer Security (TLS)

 

757

          Protocol Version 1.2</citetitle>

723

758

        </term>

724

759

      <listitem>

725

760

        <para>

726

 

          TLS 1.1 is the protocol implemented by GnuTLS.

 

761

          TLS 1.2 is the protocol implemented by GnuTLS.

727

762

        </para>

728

763

      </listitem>

729

764

      </varlistentry>

739

774

      </varlistentry>

740

775

      <varlistentry>

741

776

        <term>

742

 

          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer

743

 

          Security</citetitle>

744

 

        </term>

745

 

      <listitem>

746

 

        <para>

747

 

          This is implemented by GnuTLS and used by this server so

748

 

          that OpenPGP keys can be used.

 

777

          RFC 7250: <citetitle>Using Raw Public Keys in Transport

 

778

          Layer Security (TLS) and Datagram Transport Layer Security

 

779

          (DTLS)</citetitle>

 

780

        </term>

 

781

      <listitem>

 

782

        <para>

 

783

          This is implemented by GnuTLS version 3.6.6 and is, if

 

784

          present, used by this server so that raw public keys can be

 

785

          used.

 

786

        </para>

 

787

      </listitem>

 

788

      </varlistentry>

 

789

      <varlistentry>

 

790

        <term>

 

791

          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer

 

792

          Security (TLS) Authentication</citetitle>

 

793

        </term>

 

794

      <listitem>

 

795

        <para>

 

796

          This is implemented by GnuTLS before version 3.6.0 and is,

 

797

          if present, used by this server so that OpenPGP keys can be

 

798

          used.

749

799

        </para>

750

800

      </listitem>

751

801

      </varlistentry>

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.2.dev0