/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2024-09-08 00:31:34 UTC
  • Revision ID: teddy@recompile.se-20240908003134-kvu38pk7wzhz4rbu
Very minor security improvement when uninstalling package

* debian/mandos-client.postrm: Also shred(1) tls-privkkey.pem.

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/mandos-client.xml
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2019-02-10">
 
5
<!ENTITY TIMESTAMP "2023-10-21">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
196
196
    </para>
197
197
    <para>
198
198
      This program is not meant to be run directly; it is really meant
199
 
      to run as a plugin of the <application>Mandos</application>
200
 
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
201
 
      <manvolnum>8mandos</manvolnum></citerefentry>, which runs in the
202
 
      initial <acronym>RAM</acronym> disk environment because it is
203
 
      specified as a <quote>keyscript</quote> in the <citerefentry>
204
 
      <refentrytitle>crypttab</refentrytitle><manvolnum>5</manvolnum>
205
 
      </citerefentry> file.
 
199
      to be run by other programs in the initial
 
200
      <acronym>RAM</acronym> disk environment; see <xref
 
201
      linkend="overview"/>.
206
202
    </para>
207
203
  </refsect1>
208
204
  
220
216
    <title>OPTIONS</title>
221
217
    <para>
222
218
      This program is commonly not invoked from the command line; it
223
 
      is normally started by the <application>Mandos</application>
224
 
      plugin runner, see <citerefentry><refentrytitle
225
 
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
226
 
      </citerefentry>.  Any command line options this program accepts
227
 
      are therefore normally provided by the plugin runner, and not
228
 
      directly.
 
219
      is normally started by another program as described in <xref
 
220
      linkend="description"/>.  Any command line options this program
 
221
      accepts are therefore normally provided by the invoking program,
 
222
      and not directly.
229
223
    </para>
230
224
    
231
225
    <variablelist>
482
476
    <title>OVERVIEW</title>
483
477
    <xi:include href="../overview.xml"/>
484
478
    <para>
485
 
      This program is the client part.  It is a plugin started by
486
 
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
487
 
      <manvolnum>8mandos</manvolnum></citerefentry> which will run in
488
 
      an initial <acronym>RAM</acronym> disk environment.
 
479
      This program is the client part.  It is run automatically in an
 
480
      initial <acronym>RAM</acronym> disk environment.
 
481
    </para>
 
482
    <para>
 
483
      In an initial <acronym>RAM</acronym> disk environment using
 
484
      <citerefentry><refentrytitle>systemd</refentrytitle>
 
485
      <manvolnum>1</manvolnum></citerefentry>, this program is started
 
486
      by the <application>Mandos</application> <citerefentry>
 
487
      <refentrytitle>password-agent</refentrytitle>
 
488
      <manvolnum>8mandos</manvolnum></citerefentry>, which in turn is
 
489
      started automatically by the <citerefentry>
 
490
      <refentrytitle>systemd</refentrytitle><manvolnum>1</manvolnum>
 
491
      </citerefentry> <quote>Password Agent</quote> system.
 
492
    </para>
 
493
    <para>
 
494
      In the case of a non-<citerefentry>
 
495
      <refentrytitle>systemd</refentrytitle><manvolnum>1</manvolnum>
 
496
      </citerefentry> environment, this program is started as a plugin
 
497
      of the <application>Mandos</application> <citerefentry>
 
498
      <refentrytitle>plugin-runner</refentrytitle>
 
499
      <manvolnum>8mandos</manvolnum></citerefentry>, which runs in the
 
500
      initial <acronym>RAM</acronym> disk environment because it is
 
501
      specified as a <quote>keyscript</quote> in the <citerefentry>
 
502
      <refentrytitle>crypttab</refentrytitle><manvolnum>5</manvolnum>
 
503
      </citerefentry> file.
489
504
    </para>
490
505
    <para>
491
506
      This program could, theoretically, be used as a keyscript in
492
507
      <filename>/etc/crypttab</filename>, but it would then be
493
508
      impossible to enter a password for the encrypted root disk at
494
509
      the console, since this program does not read from the console
495
 
      at all.  This is why a separate plugin runner (<citerefentry>
496
 
      <refentrytitle>plugin-runner</refentrytitle>
497
 
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
498
 
      both this program and others in in parallel,
499
 
      <emphasis>one</emphasis> of which (<citerefentry>
500
 
      <refentrytitle>password-prompt</refentrytitle>
501
 
      <manvolnum>8mandos</manvolnum></citerefentry>) will prompt for
502
 
      passwords on the system console.
 
510
      at all.
503
511
    </para>
504
512
  </refsect1>
505
513
  
525
533
          <para>
526
534
            This environment variable will be assumed to contain the
527
535
            directory containing any helper executables.  The use and
528
 
            nature of these helper executables, if any, is
529
 
            purposefully not documented.
 
536
            nature of these helper executables, if any, is purposely
 
537
            not documented.
530
538
        </para>
531
539
        </listitem>
532
540
      </varlistentry>
762
770
    <title>EXAMPLE</title>
763
771
    <para>
764
772
      Note that normally, command line options will not be given
765
 
      directly, but via options for the Mandos <citerefentry
766
 
      ><refentrytitle>plugin-runner</refentrytitle>
767
 
      <manvolnum>8mandos</manvolnum></citerefentry>.
 
773
      directly, but passed on via the program responsible for starting
 
774
      this program; see <xref linkend="overview"/>.
768
775
    </para>
769
776
    <informalexample>
770
777
      <para>
816
823
  <refsect1 id="security">
817
824
    <title>SECURITY</title>
818
825
    <para>
819
 
      This program is set-uid to root, but will switch back to the
820
 
      original (and presumably non-privileged) user and group after
821
 
      bringing up the network interface.
 
826
      This program assumes that it is set-uid to root, and will switch
 
827
      back to the original (and presumably non-privileged) user and
 
828
      group after bringing up the network interface.
822
829
    </para>
823
830
    <para>
824
831
      To use this program for its intended purpose (see <xref
872
879
      <manvolnum>5</manvolnum></citerefentry>,
873
880
      <citerefentry><refentrytitle>mandos</refentrytitle>
874
881
      <manvolnum>8</manvolnum></citerefentry>,
875
 
      <citerefentry><refentrytitle>password-prompt</refentrytitle>
 
882
      <citerefentry><refentrytitle>password-agent</refentrytitle>
876
883
      <manvolnum>8mandos</manvolnum></citerefentry>,
877
884
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
878
885
      <manvolnum>8mandos</manvolnum></citerefentry>
891
898
      </varlistentry>
892
899
      <varlistentry>
893
900
        <term>
894
 
          <ulink url="http://www.avahi.org/">Avahi</ulink>
 
901
          <ulink url="https://www.avahi.org/">Avahi</ulink>
895
902
        </term>
896
903
      <listitem>
897
904
        <para>