/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-01 08:29:23 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080901082923-i2liq6t7warmu9xe
* mandos.xml: Enclose "RAM" with <acronym>.
* overview.xml: - '' -

* plugin-runner.xml (DESCRIPTION): Improved wording.
  (PURPOSE): New section.
  (OPTIONS): Improved wording.
  (OVERVIEW, PLUGINS): New section.
  (FALLBACK): New empty placeholder section.

* plugins.d/password-prompt.xml: Enclose "RAM" with <acronym>.

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/password-request.xml
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY VERSION "1.0">
5
5
<!ENTITY COMMANDNAME "password-request">
6
 
<!ENTITY TIMESTAMP "2008-09-03">
 
6
<!ENTITY TIMESTAMP "2008-08-31">
7
7
]>
8
8
 
9
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
124
124
  <refsect1 id="description">
125
125
    <title>DESCRIPTION</title>
126
126
    <para>
127
 
      <command>&COMMANDNAME;</command> is a client program that
128
 
      communicates with <citerefentry><refentrytitle
129
 
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>
130
 
      to get a password.  It uses IPv6 link-local addresses to get
131
 
      network connectivity, Zeroconf to find servers, and TLS with an
132
 
      OpenPGP key to ensure authenticity and confidentiality.  It
133
 
      keeps running, trying all servers on the network, until it
134
 
      receives a satisfactory reply or a TERM signal is recieved.
135
 
    </para>
136
 
    <para>
137
 
      This program is not meant to be run directly; it is really meant
138
 
      to run as a plugin of the <application>Mandos</application>
139
 
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
140
 
      <manvolnum>8mandos</manvolnum></citerefentry>, which runs in the
141
 
      initial <acronym>RAM</acronym> disk environment because it is
142
 
      specified as a <quote>keyscript</quote> in the <citerefentry>
143
 
      <refentrytitle>crypttab</refentrytitle><manvolnum>5</manvolnum>
144
 
      </citerefentry> file.
145
 
    </para>
146
 
  </refsect1>
147
 
  
148
 
  <refsect1 id="purpose">
149
 
    <title>PURPOSE</title>
150
 
    <para>
151
 
      The purpose of this is to enable <emphasis>remote and unattended
152
 
      rebooting</emphasis> of client host computer with an
153
 
      <emphasis>encrypted root file system</emphasis>.  See <xref
154
 
      linkend="overview"/> for details.
 
127
      <command>&COMMANDNAME;</command> is a mandos plugin that works
 
128
      like a client program that through avahi detects mandos servers,
 
129
      sets up a gnutls connect and request a encrypted password. Any
 
130
      passwords given is automaticly decrypted and passed to
 
131
      cryptsetup.
155
132
    </para>
156
133
  </refsect1>
157
134
  
158
135
  <refsect1 id="options">
159
136
    <title>OPTIONS</title>
160
137
    <para>
161
 
      This program is commonly not invoked from the command line; it
162
 
      is normally started by the <application>Mandos</application>
163
 
      plugin runner, see <citerefentry><refentrytitle
164
 
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
165
 
      </citerefentry>.  Any command line options this program accepts
166
 
      are therefore normally provided by the plugin runner, and not
167
 
      directly.
 
138
      Commonly not invoked as command lines but from configuration
 
139
      file of plugin runner.
168
140
    </para>
169
 
    
 
141
 
170
142
    <variablelist>
171
143
      <varlistentry>
172
144
        <term><option>--connect=<replaceable
173
 
        >ADDRESS</replaceable><literal>:</literal><replaceable
 
145
        >IPADDR</replaceable><literal>:</literal><replaceable
174
146
        >PORT</replaceable></option></term>
175
147
        <term><option>-c
176
 
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
148
        <replaceable>IPADDR</replaceable><literal>:</literal
177
149
        ><replaceable>PORT</replaceable></option></term>
178
150
        <listitem>
179
151
          <para>
180
 
            Do not use Zeroconf to locate servers.  Connect directly
181
 
            to only one specified <application>Mandos</application>
182
 
            server.  Note that an IPv6 address has colon characters in
183
 
            it, so the <emphasis>last</emphasis> colon character is
184
 
            assumed to separate the address from the port number.
185
 
          </para>
186
 
          <para>
187
 
            This option is normally only useful for testing and
188
 
            debugging.
 
152
            Connect directly to a specified mandos server
189
153
          </para>
190
154
        </listitem>
191
155
      </varlistentry>
192
 
      
 
156
 
193
157
      <varlistentry>
194
158
        <term><option>--keydir=<replaceable
195
159
        >DIRECTORY</replaceable></option></term>
197
161
        <replaceable>DIRECTORY</replaceable></option></term>
198
162
        <listitem>
199
163
          <para>
200
 
            Directory to read the OpenPGP key files
201
 
            <filename>pubkey.txt</filename> and
202
 
            <filename>seckey.txt</filename> from.  The default is
203
 
            <filename>/conf/conf.d/mandos</filename> (in the initial
204
 
            <acronym>RAM</acronym> disk environment).
 
164
            Directory where the openpgp keyring is
205
165
          </para>
206
166
        </listitem>
207
167
      </varlistentry>
213
173
        <replaceable>NAME</replaceable></option></term>
214
174
        <listitem>
215
175
          <para>
216
 
            Network interface that will be brought up and scanned for
217
 
            Mandos servers to connect to.  The default it
218
 
            <quote><literal>eth0</literal></quote>.
219
 
          </para>
220
 
          <para>
221
 
            If the <option>--connect</option> option is used, this
222
 
            specifies the interface to use to connect to the address
223
 
            given.
 
176
            Interface that Avahi will connect through
224
177
          </para>
225
178
        </listitem>
226
179
      </varlistentry>
227
 
      
 
180
 
228
181
      <varlistentry>
229
182
        <term><option>--pubkey=<replaceable
230
183
        >FILE</replaceable></option></term>
232
185
        <replaceable>FILE</replaceable></option></term>
233
186
        <listitem>
234
187
          <para>
235
 
            OpenPGP public key file base name.  This will be combined
236
 
            with the directory from the <option>--keydir</option>
237
 
            option to form an absolute file name.  The default name is
238
 
            <quote><literal>pubkey.txt</literal></quote>.
 
188
            Public openpgp key for gnutls authentication
239
189
          </para>
240
190
        </listitem>
241
191
      </varlistentry>
247
197
        <replaceable>FILE</replaceable></option></term>
248
198
        <listitem>
249
199
          <para>
250
 
            OpenPGP secret key file base name.  This will be combined
251
 
            with the directory from the <option>--keydir</option>
252
 
            option to form an absolute file name.  The default name is
253
 
            <quote><literal>seckey.txt</literal></quote>.
 
200
            Secret OpenPGP key for GnuTLS authentication
254
201
          </para>
255
202
        </listitem>
256
203
      </varlistentry>
259
206
        <term><option>--priority=<replaceable
260
207
        >STRING</replaceable></option></term>
261
208
        <listitem>
262
 
          <xi:include href="../mandos-options.xml"
263
 
                      xpointer="priority"/>
 
209
          <para>
 
210
            GnuTLS priority
 
211
          </para>
264
212
        </listitem>
265
213
      </varlistentry>
266
214
 
269
217
        >BITS</replaceable></option></term>
270
218
        <listitem>
271
219
          <para>
272
 
            Sets the number of bits to use for the prime number in the
273
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
220
            DH bits to use in gnutls communication
274
221
          </para>
275
222
        </listitem>
276
223
      </varlistentry>
279
226
        <term><option>--debug</option></term>
280
227
        <listitem>
281
228
          <para>
282
 
            Enable debug mode.  This will enable a lot of output to
283
 
            standard error about what the program is doing.  The
284
 
            program will still perform all other functions normally.
285
 
          </para>
286
 
          <para>
287
 
            It will also enable debug mode in the Avahi and GnuTLS
288
 
            libraries, making them print large amounts of debugging
289
 
            output.
 
229
            Debug mode
290
230
          </para>
291
231
        </listitem>
292
232
      </varlistentry>
296
236
        <term><option>-?</option></term>
297
237
        <listitem>
298
238
          <para>
299
 
            Gives a help message about options and their meanings.
 
239
            Gives a help message
300
240
          </para>
301
241
        </listitem>
302
242
      </varlistentry>
305
245
        <term><option>--usage</option></term>
306
246
        <listitem>
307
247
          <para>
308
 
            Gives a short usage message.
 
248
            Gives a short usage message
309
249
          </para>
310
250
        </listitem>
311
251
      </varlistentry>
315
255
        <term><option>-V</option></term>
316
256
        <listitem>
317
257
          <para>
318
 
            Prints the program version.
 
258
            Prints the program version
319
259
          </para>
320
260
        </listitem>
321
261
      </varlistentry>
322
262
    </variablelist>
323
263
  </refsect1>
324
264
 
325
 
  <refsect1 id="overview">
326
 
    <title>OVERVIEW</title>
327
 
    <xi:include href="../overview.xml"/>
328
 
    <para>
329
 
      This program is the client part.  It is a plugin started by
330
 
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
331
 
      <manvolnum>8mandos</manvolnum></citerefentry> which will run in
332
 
      an initial <acronym>RAM</acronym> disk environment.
333
 
    </para>
334
 
    <para>
335
 
      This program could, theoretically, be used as a keyscript in
336
 
      <filename>/etc/crypttab</filename>, but it would then be
337
 
      impossible to enter a password for the encrypted root disk at
338
 
      the console, since this program does not read from the console
339
 
      at all.  This is why a separate plugin does that, which will be
340
 
      run in parallell to this one by the plugin runner.
341
 
    </para>
342
 
  </refsect1>
343
 
  
344
265
  <refsect1 id="exit_status">
345
266
    <title>EXIT STATUS</title>
346
267
    <para>
347
 
      This program will exit with a successful (zero) exit status if a
348
 
      server could be found and the password received from it could be
349
 
      successfully decrypted and output on standard output.  The
350
 
      program will exit with a non-zero exit status only if a critical
351
 
      error occurs.  Otherwise, it will forever connect to new
352
 
      <application>Mandos</application> servers as they appear, trying
353
 
      to get a decryptable password.
354
268
    </para>
355
269
  </refsect1>
356
 
  
 
270
 
357
271
  <refsect1 id="environment">
358
272
    <title>ENVIRONMENT</title>
359
273
    <para>
360
 
      This program does not use any environment variables, not even
361
 
      the ones provided by <citerefentry><refentrytitle
362
 
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
363
 
    </citerefentry>.
364
274
    </para>
365
275
  </refsect1>
366
 
  
 
276
 
367
277
  <refsect1 id="file">
368
278
    <title>FILES</title>
369
 
    <variablelist>
370
 
      <varlistentry>
371
 
        <term><filename>/conf/conf.d/mandos/pubkey.txt</filename
372
 
        ></term>
373
 
        <term><filename>/conf/conf.d/mandos/seckey.txt</filename
374
 
        ></term>
375
 
        <listitem>
376
 
          <para>
377
 
            OpenPGP public and private key files, in <quote>ASCII
378
 
            Armor</quote> format.  These are the default file names,
379
 
            they can be changed with the <option>--pubkey</option> and
380
 
            <option>--seckey</option> options.
381
 
          </para>
382
 
        </listitem>
383
 
      </varlistentry>
384
 
    </variablelist>
 
279
    <para>
 
280
    </para>
385
281
  </refsect1>
386
282
  
387
 
<!--   <refsect1 id="bugs"> -->
388
 
<!--     <title>BUGS</title> -->
389
 
<!--     <para> -->
390
 
<!--     </para> -->
391
 
<!--   </refsect1> -->
 
283
  <refsect1 id="bugs">
 
284
    <title>BUGS</title>
 
285
    <para>
 
286
    </para>
 
287
  </refsect1>
392
288
 
393
289
  <refsect1 id="example">
394
290
    <title>EXAMPLE</title>
395
291
    <para>
396
 
      Note that normally, command line options will not be given
397
 
      directly, but via options for the Mandos <citerefentry
398
 
      ><refentrytitle>plugin-runner</refentrytitle>
399
 
      <manvolnum>8mandos</manvolnum></citerefentry>.
400
292
    </para>
401
 
    <informalexample>
402
 
      <para>
403
 
        Normal invocation needs no options, if the network interface
404
 
        is <quote>eth0</quote>:
405
 
      </para>
406
 
      <para>
407
 
        <userinput>&COMMANDNAME;</userinput>
408
 
      </para>
409
 
    </informalexample>
410
 
    <informalexample>
411
 
      <para>
412
 
        Search for Mandos servers on another interface:
413
 
      </para>
414
 
      <para>
415
 
        <!-- do not wrap this line -->
416
 
        <userinput>&COMMANDNAME; --interface eth1</userinput>
417
 
      </para>
418
 
    </informalexample>
419
 
    <informalexample>
420
 
      <para>
421
 
        Run in debug mode, and use a custom key directory:
422
 
      </para>
423
 
      <para>
424
 
        <!-- do not wrap this line -->
425
 
        <userinput>&COMMANDNAME; --debug --keydir keydir</userinput>
426
 
      </para>
427
 
    </informalexample>
428
 
    <informalexample>
429
 
      <para>
430
 
        Run in debug mode, with a custom key directory, and do not use
431
 
        Zeroconf to locate a server; connect directly to the IPv6
432
 
        address <quote><systemitem class="ipaddress"
433
 
        >2001:db8:f983:bd0b:30de:ae4a:71f2:f672</systemitem></quote>,
434
 
        port 4711, using interface eth2:
435
 
      </para>
436
 
      <para>
437
 
 
438
 
<!-- do not wrap this line -->
439
 
<userinput>&COMMANDNAME; --debug --keydir keydir --connect 2001:db8:f983:bd0b:30de:ae4a:71f2:f672:4711 --interface eth2</userinput>
440
 
 
441
 
      </para>
442
 
    </informalexample>
443
293
  </refsect1>
444
294
 
445
295
  <refsect1 id="security">
474
324
      
475
325
      <listitem><para>
476
326
        <ulink
477
 
        url="http://www.gnupg.org/related_software/gpgme/"
478
 
        >GPGME</ulink>
 
327
        url="http://www.gnupg.org/related_software/gpgme/">
 
328
        GPGME</ulink>
479
329
      </para></listitem>
480
330
      
481
331
      <listitem><para>