/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugin-runner.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-01 08:29:23 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080901082923-i2liq6t7warmu9xe
* mandos.xml: Enclose "RAM" with <acronym>.
* overview.xml: - '' -

* plugin-runner.xml (DESCRIPTION): Improved wording.
  (PURPOSE): New section.
  (OPTIONS): Improved wording.
  (OVERVIEW, PLUGINS): New section.
  (FALLBACK): New empty placeholder section.

* plugins.d/password-prompt.xml: Enclose "RAM" with <acronym>.

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY VERSION "1.0">
5
5
<!ENTITY COMMANDNAME "plugin-runner">
6
 
<!ENTITY TIMESTAMP "2008-09-06">
 
6
<!ENTITY TIMESTAMP "2008-09-01">
7
7
]>
8
8
 
9
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
45
45
  <refnamediv>
46
46
    <refname><command>&COMMANDNAME;</command></refname>
47
47
    <refpurpose>
48
 
      Run Mandos plugins, pass data from first to succeed.
 
48
      Run Mandos plugins.  Pass data from first succesful one.
49
49
    </refpurpose>
50
50
  </refnamediv>
51
51
 
53
53
    <cmdsynopsis>
54
54
      <command>&COMMANDNAME;</command>
55
55
      <group rep="repeat">
56
 
        <arg choice="plain"><option>--global-env=<replaceable
 
56
        <arg choice="plain"><option>--global-envs=<replaceable
57
57
        >VAR</replaceable><literal>=</literal><replaceable
58
58
        >value</replaceable></option></arg>
59
 
        <arg choice="plain"><option>-G
 
59
        <arg choice="plain"><option>-e
60
60
        <replaceable>VAR</replaceable><literal>=</literal><replaceable
61
61
        >value</replaceable> </option></arg>
62
62
      </group>
63
63
      <sbr/>
64
64
      <group rep="repeat">
65
 
        <arg choice="plain"><option>--env-for=<replaceable
 
65
        <arg choice="plain"><option>--envs-for=<replaceable
66
66
        >PLUGIN</replaceable><literal>:</literal><replaceable
67
67
        >ENV</replaceable><literal>=</literal><replaceable
68
68
        >value</replaceable></option></arg>
69
 
        <arg choice="plain"><option>-E<replaceable>
 
69
        <arg choice="plain"><option>-f<replaceable>
70
70
        PLUGIN</replaceable><literal>:</literal><replaceable
71
71
        >ENV</replaceable><literal>=</literal><replaceable
72
72
        >value</replaceable> </option></arg>
83
83
        <arg choice="plain"><option>--options-for=<replaceable
84
84
        >PLUGIN</replaceable><literal>:</literal><replaceable
85
85
        >OPTIONS</replaceable></option></arg>
86
 
        <arg choice="plain"><option>-o<replaceable>
 
86
        <arg choice="plain"><option>-f<replaceable>
87
87
        PLUGIN</replaceable><literal>:</literal><replaceable
88
88
        >OPTIONS</replaceable> </option></arg>
89
89
      </group>
95
95
        <replaceable>PLUGIN</replaceable> </option></arg>
96
96
      </group>
97
97
      <sbr/>
98
 
      <group rep="repeat">
99
 
        <arg choice="plain"><option>--enable=<replaceable
100
 
        >PLUGIN</replaceable></option></arg>
101
 
        <arg choice="plain"><option>-e
102
 
        <replaceable>PLUGIN</replaceable> </option></arg>
103
 
      </group>
104
 
      <sbr/>
105
98
      <arg><option>--groupid=<replaceable
106
99
      >ID</replaceable></option></arg>
107
100
      <sbr/>
111
104
      <arg><option>--plugin-dir=<replaceable
112
105
      >DIRECTORY</replaceable></option></arg>
113
106
      <sbr/>
114
 
      <arg><option>--config-file=<replaceable
115
 
      >FILE</replaceable></option></arg>
116
 
      <sbr/>
117
107
      <arg><option>--debug</option></arg>
118
108
    </cmdsynopsis>
119
109
    <cmdsynopsis>
140
130
    <title>DESCRIPTION</title>
141
131
    <para>
142
132
      <command>&COMMANDNAME;</command> is a program which is meant to
143
 
      be specified as a <quote>keyscript</quote> for the root disk in
144
 
      <citerefentry><refentrytitle>crypttab</refentrytitle>
145
 
      <manvolnum>5</manvolnum></citerefentry>.  The aim of this
146
 
      program is therefore to output a password, which then
147
 
      <citerefentry><refentrytitle>cryptsetup</refentrytitle>
148
 
      <manvolnum>8</manvolnum></citerefentry> will use to unlock the
149
 
      root disk.
 
133
      be specified as <quote>keyscript</quote> in <citerefentry>
 
134
      <refentrytitle>crypttab</refentrytitle>
 
135
      <manvolnum>5</manvolnum></citerefentry> for the root disk.  The
 
136
      aim of this program is therefore to output a password, which
 
137
      then <citerefentry><refentrytitle>cryptsetup</refentrytitle>
 
138
      <manvolnum>8</manvolnum></citerefentry> will use to try and
 
139
      unlock the root disk.
150
140
    </para>
151
141
    <para>
152
142
      This program is not meant to be invoked directly, but can be in
169
159
    <title>OPTIONS</title>
170
160
    <variablelist>
171
161
      <varlistentry>
172
 
        <term><option>--global-env
173
 
        <replaceable>VAR</replaceable><literal>=</literal><replaceable
174
 
        >value</replaceable></option></term>
175
 
        <term><option>-G
176
 
        <replaceable>VAR</replaceable><literal>=</literal><replaceable
177
 
        >value</replaceable></option></term>
178
 
        <listitem>
179
 
          <para>
180
 
            This option will add an environment variable setting to
181
 
            all plugins.  This will override any inherited environment
182
 
            variable.
183
 
          </para>
184
 
        </listitem>
185
 
      </varlistentry>
186
 
      
187
 
      <varlistentry>
188
 
        <term><option>--env-for
189
 
        <replaceable>PLUGIN</replaceable><literal>:</literal
190
 
        ><replaceable>ENV</replaceable><literal>=</literal
191
 
        ><replaceable>value</replaceable></option></term>
192
 
        <term><option>-E
193
 
        <replaceable>PLUGIN</replaceable><literal>:</literal
194
 
        ><replaceable>ENV</replaceable><literal>=</literal
195
 
        ><replaceable>value</replaceable></option></term>
196
 
        <listitem>
197
 
          <para>
198
 
            This option will add an environment variable setting to
199
 
            the <replaceable>PLUGIN</replaceable> plugin.  This will
200
 
            override any inherited environment variables or
201
 
            environment variables specified using
202
 
            <option>--global-env</option>.
203
 
          </para>
204
 
        </listitem>
205
 
      </varlistentry>
206
 
      
207
 
      <varlistentry>
208
162
        <term><option>--global-options
209
163
        <replaceable>OPTIONS</replaceable></option></term>
210
164
        <term><option>-g
215
169
            <replaceable>OPTIONS</replaceable> is a comma separated
216
170
            list of options.  This is not a very useful option, except
217
171
            for specifying the <quote><option>--debug</option></quote>
218
 
            option to all plugins.
 
172
            for all plugins.
219
173
          </para>
220
174
        </listitem>
221
175
      </varlistentry>
241
195
            <option>--bar</option> with the option argument
242
196
            <quote>baz</quote> is either
243
197
            <userinput>--options-for=foo:--bar=baz</userinput> or
244
 
            <userinput>--options-for=foo:--bar,baz</userinput>.  Using
245
 
            <userinput>--options-for="foo:--bar baz"</userinput>. will
246
 
            <emphasis>not</emphasis> work.
 
198
            <userinput>--options-for=foo:--bar,baz</userinput>, but
 
199
            <emphasis>not</emphasis>
 
200
            <userinput>--options-for="foo:--bar baz"</userinput>.
247
201
          </para>
248
202
        </listitem>
249
203
      </varlistentry>
250
204
 
251
205
      <varlistentry>
252
 
        <term><option>--disable
 
206
        <term><option> --disable
253
207
        <replaceable>PLUGIN</replaceable></option></term>
254
208
        <term><option>-d
255
209
        <replaceable>PLUGIN</replaceable></option></term>
263
217
      </varlistentry>
264
218
 
265
219
      <varlistentry>
266
 
        <term><option>--enable
267
 
        <replaceable>PLUGIN</replaceable></option></term>
268
 
        <term><option>-e
269
 
        <replaceable>PLUGIN</replaceable></option></term>
270
 
        <listitem>
271
 
          <para>
272
 
            Re-enable the plugin named
273
 
            <replaceable>PLUGIN</replaceable>.  This is only useful to
274
 
            undo a previous <option>--disable</option> option, maybe
275
 
            from the configuration file.
276
 
          </para>
277
 
        </listitem>
278
 
      </varlistentry>
279
 
 
280
 
      <varlistentry>
281
220
        <term><option>--groupid
282
221
        <replaceable>ID</replaceable></option></term>
283
222
        <listitem>
317
256
      </varlistentry>
318
257
      
319
258
      <varlistentry>
320
 
        <term><option>--config-file
321
 
        <replaceable>FILE</replaceable></option></term>
322
 
        <listitem>
323
 
          <para>
324
 
            Specify a different file to read additional options from.
325
 
            See <xref linkend="files"/>.  Other command line options
326
 
            will override options specified in the file.
327
 
          </para>
328
 
        </listitem>
329
 
      </varlistentry>
330
 
      
331
 
      <varlistentry>
332
259
        <term><option>--debug</option></term>
333
260
        <listitem>
334
261
          <para>
399
326
      <filename>/lib/mandos/plugins.d</filename>, but this can be
400
327
      changed with the <option>--plugin-dir</option> option.  The
401
328
      plugins are started in parallel, and the first plugin to output
402
 
      a password <emphasis>and</emphasis> exit with a successful exit
403
 
      code will make this plugin-runner output the password from that
404
 
      plugin, stop any other plugins, and exit.
 
329
      a password and exit with a successful exit code will make this
 
330
      plugin-runner output that password, stop any other plugins, and
 
331
      exit.
405
332
    </para>
406
 
 
407
 
    <refsect2 id="writing_plugins">
408
 
      <title>WRITING PLUGINS</title>
409
 
      <para>
410
 
        A plugin is simply a program which prints a password to its
411
 
        standard output and then exits with a successful (zero) exit
412
 
        status.  If the exit status is not zero, any output on
413
 
        standard output will be ignored by the plugin runner.  Any
414
 
        output on its standard error channel will simply be passed to
415
 
        the standard error of the plugin runner, usually the system
416
 
        console.
417
 
      </para>
418
 
      <para>
419
 
        If the password is a single-line, manually entered passprase,
420
 
        a final trailing newline character should
421
 
        <emphasis>not</emphasis> be printed.
422
 
      </para>
423
 
      <para>
424
 
        The plugin will run in the initial RAM disk environment, so
425
 
        care must be taken not to depend on any files or running
426
 
        services not available there.
427
 
      </para>
428
 
      <para>
429
 
        The plugin must exit cleanly and free all allocated resources
430
 
        upon getting the TERM signal, since this is what the plugin
431
 
        runner uses to stop all other plugins when one plugin has
432
 
        output a password and exited cleanly.
433
 
      </para>
434
 
      <para>
435
 
        The plugin must not use resources, like for instance reading
436
 
        from the standard input, without knowing that no other plugin
437
 
        is also using it.
438
 
      </para>
439
 
      <para>
440
 
        It is useful, but not required, for the plugin to take the
441
 
        <option>--debug</option> option.
442
 
      </para>
443
 
    </refsect2>
444
333
  </refsect1>
445
334
  
446
 
  <refsect1 id="fallback">
 
335
  <refsect1>
447
336
    <title>FALLBACK</title>
448
337
    <para>
449
 
      If no plugins succeed, this program will, as a fallback, ask for
450
 
      a password on the console using <citerefentry><refentrytitle
451
 
      >getpass</refentrytitle><manvolnum>3</manvolnum></citerefentry>,
452
 
      and output it.  This is not meant to be the normal mode of
453
 
      operation, as there is a separate plugin for getting a password
454
 
      from the console.
455
338
    </para>
456
339
  </refsect1>
457
 
  
458
340
  <refsect1 id="exit_status">
459
341
    <title>EXIT STATUS</title>
460
342
    <para>
461
 
      Exit status of this program is zero if no errors were
462
 
      encountered, and otherwise not.  The fallback (see <xref
463
 
      linkend="fallback"/>) may or may not have succeeded in either
464
 
      case.
465
 
    </para>
466
 
  </refsect1>
467
 
  
468
 
  <refsect1 id="environment">
469
 
    <title>ENVIRONMENT</title>
470
 
    <para>
471
 
      This program does not use any environment variables itself, it
472
 
      only passes on its environment to all the plugins.  The
473
 
      environment passed to plugins can be modified using the
474
 
      <option>--global-env</option> and <option>--env-for</option>
475
 
      options.
476
 
    </para>
477
 
  </refsect1>
478
 
  
479
 
  <refsect1 id="files">
 
343
    </para>
 
344
  </refsect1>
 
345
 
 
346
  <refsect1 id="file">
480
347
    <title>FILES</title>
481
348
    <para>
482
 
      <variablelist>
483
 
        <varlistentry>
484
 
          <term><filename
485
 
          >/conf/conf.d/mandos/plugin-runner.conf</filename></term>
486
 
          <listitem>
487
 
            <para>
488
 
              Since this program will be run as a keyscript, there is
489
 
              little to no opportunity to pass command line arguments
490
 
              to it.  Therefore, it will <emphasis>also</emphasis>
491
 
              read this file and use its contents as
492
 
              whitespace-separated command line options.  Also,
493
 
              everything from a <quote>#</quote> character to the end
494
 
              of a line is ignored.
495
 
            </para>
496
 
            <para>
497
 
              This program is meant to run in the initial RAM disk
498
 
              environment, so that is where this file is assumed to
499
 
              exist.  The file does not need to exist in the normal
500
 
              file system.
501
 
            </para>
502
 
            <para>
503
 
              This file will be processed <emphasis>before</emphasis>
504
 
              the normal command line options, so the latter can
505
 
              override the former, if need be.
506
 
            </para>
507
 
            <para>
508
 
              This file name is the default; the file to read for
509
 
              arguments can be changed using the
510
 
              <option>--config-file</option> option.
511
 
            </para>
512
 
          </listitem>
513
 
        </varlistentry>
514
 
      </variablelist>
 
349
    </para>
 
350
  </refsect1>
 
351
 
 
352
  <refsect1 id="notes">
 
353
    <title>NOTES</title>
 
354
    <para>
515
355
    </para>
516
356
  </refsect1>
517
357
  
518
358
  <refsect1 id="bugs">
519
359
    <title>BUGS</title>
520
360
    <para>
521
 
      The <option>--config-file</option> option is ignored when
522
 
      specified from within a configuration file.
523
361
    </para>
524
362
  </refsect1>
525
 
  
 
363
 
526
364
  <refsect1 id="examples">
527
365
    <title>EXAMPLE</title>
528
 
    <informalexample>
529
 
      <para>
530
 
        Normal invocation needs no options:
531
 
      </para>
532
 
      <para>
533
 
        <userinput>&COMMANDNAME;</userinput>
534
 
      </para>
535
 
    </informalexample>
536
 
    <informalexample>
537
 
      <para>
538
 
        Run the program, but not the plugins, in debug mode:
539
 
      </para>
540
 
      <para>
541
 
        
542
 
        <!-- do not wrap this line -->
543
 
        <userinput>&COMMANDNAME; --debug</userinput>
544
 
        
545
 
      </para>
546
 
    </informalexample>
547
 
    <informalexample>
548
 
      <para>
549
 
        Run all plugins, but run the <quote>foo</quote> plugin in
550
 
        debug mode:
551
 
      </para>
552
 
      <para>
553
 
        
554
 
        <!-- do not wrap this line -->
555
 
        <userinput>&COMMANDNAME; --options-for=foo:--debug</userinput>
556
 
        
557
 
      </para>
558
 
    </informalexample>
559
 
    <informalexample>
560
 
      <para>
561
 
        Run all plugins, but not the program, in debug mode:
562
 
      </para>
563
 
      <para>
564
 
        
565
 
        <!-- do not wrap this line -->
566
 
        <userinput>&COMMANDNAME; --global-options=--debug</userinput>
567
 
        
568
 
      </para>
569
 
    </informalexample>
570
 
    <informalexample>
571
 
      <para>
572
 
        Run plugins from a different directory, read a different
573
 
        configuration file, and add two options to the
574
 
        <citerefentry><refentrytitle >password-request</refentrytitle>
575
 
        <manvolnum>8mandos</manvolnum></citerefentry> plugin:
576
 
      </para>
577
 
      <para>
578
 
 
579
 
<!-- do not wrap this line -->
580
 
<userinput>&COMMANDNAME;  --config-file=/etc/mandos/plugin-runner.conf --plugin-dir /usr/lib/mandos/plugins.d --options-for=password-request:--pubkey=/etc/keys/mandos/pubkey.txt,--seckey=/etc/keys/mandos/seckey.txt</userinput>
581
 
 
582
 
      </para>
583
 
    </informalexample>
 
366
    <para>
 
367
    </para>
584
368
  </refsect1>
 
369
 
585
370
  <refsect1 id="security">
586
371
    <title>SECURITY</title>
587
372
    <para>
588
 
      This program will, when starting, try to switch to another user.
589
 
      If it is started as root, it will succeed, and will by default
590
 
      switch to user and group 65534, which are assumed to be
591
 
      non-privileged.  This user and group is then what all plugins
592
 
      will be started as.  Therefore, the only way to run a plugin as
593
 
      a privileged user is to have the set-user-ID or set-group-ID bit
594
 
      set on the plugin executable file (see <citerefentry>
595
 
      <refentrytitle>execve</refentrytitle><manvolnum>2</manvolnum>
596
 
      </citerefentry>).
597
 
    </para>
598
 
    <para>
599
 
      If this program is used as a keyscript in <citerefentry
600
 
      ><refentrytitle>crypttab</refentrytitle><manvolnum>5</manvolnum>
601
 
      </citerefentry>, there is a slight risk that if this program
602
 
      fails to work, there might be no way to boot the system except
603
 
      for booting from another media and editing the initial RAM disk
604
 
      image to not run this program.  This is, however, unlikely,
605
 
      since the <citerefentry><refentrytitle
606
 
      >password-prompt</refentrytitle><manvolnum>8mandos</manvolnum>
607
 
      </citerefentry> plugin will read a password from the console in
608
 
      case of failure of the other plugins, and this plugin runner
609
 
      will also, in case of catastrophic failure, itself fall back to
610
 
      asking and outputting a password on the console (see <xref
611
 
      linkend="fallback"/>).
612
373
    </para>
613
374
  </refsect1>
614
 
  
 
375
 
615
376
  <refsect1 id="see_also">
616
377
    <title>SEE ALSO</title>
617
378
    <para>
618
379
      <citerefentry><refentrytitle>cryptsetup</refentrytitle>
619
380
      <manvolnum>8</manvolnum></citerefentry>,
620
 
      <citerefentry><refentrytitle>crypttab</refentrytitle>
621
 
      <manvolnum>5</manvolnum></citerefentry>,
622
 
      <citerefentry><refentrytitle>execve</refentrytitle>
623
 
      <manvolnum>2</manvolnum></citerefentry>,
624
381
      <citerefentry><refentrytitle>mandos</refentrytitle>
625
382
      <manvolnum>8</manvolnum></citerefentry>,
626
383
      <citerefentry><refentrytitle>password-prompt</refentrytitle>
629
386
      <manvolnum>8mandos</manvolnum></citerefentry>
630
387
    </para>
631
388
  </refsect1>
632
 
  
 
389
 
633
390
</refentry>
634
391
<!-- Local Variables: -->
635
392
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->