/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-04 12:38:35 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080904123835-hervuvv4pmpxl8r1
* README: Improved wording.

* initramfs-tools-hook: Do not copy auto-save files from
                        "/etc/mandos/plugins.d".  Do not create key
                        ring files.  Do not reset permissions on
                        things like "$DESTDIR/lib/mandos/plugins.d",
                        which should not be publicly accessible.

* plugin-runner.xml (DESCRIPTION, PLUGINS): Improved grammar.

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/password-request.xml
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2009-01-04">
6
 
<!ENTITY % common SYSTEM "../common.ent">
7
 
%common;
 
4
<!ENTITY VERSION "1.0">
 
5
<!ENTITY COMMANDNAME "password-request">
 
6
<!ENTITY TIMESTAMP "2008-09-03">
8
7
]>
9
8
 
10
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
10
  <refentryinfo>
12
11
    <title>Mandos Manual</title>
13
 
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
12
    <!-- Nwalsh’s docbook scripts use this to generate the footer: -->
14
13
    <productname>Mandos</productname>
15
 
    <productnumber>&version;</productnumber>
 
14
    <productnumber>&VERSION;</productnumber>
16
15
    <date>&TIMESTAMP;</date>
17
16
    <authorgroup>
18
17
      <author>
32
31
    </authorgroup>
33
32
    <copyright>
34
33
      <year>2008</year>
35
 
      <year>2009</year>
36
34
      <holder>Teddy Hogeborn</holder>
37
35
      <holder>Björn Påhlsson</holder>
38
36
    </copyright>
39
37
    <xi:include href="../legalnotice.xml"/>
40
38
  </refentryinfo>
41
 
  
 
39
 
42
40
  <refmeta>
43
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
44
42
    <manvolnum>8mandos</manvolnum>
47
45
  <refnamediv>
48
46
    <refname><command>&COMMANDNAME;</command></refname>
49
47
    <refpurpose>
50
 
      Client for <application>Mandos</application>
 
48
      Client for mandos
51
49
    </refpurpose>
52
50
  </refnamediv>
53
 
  
 
51
 
54
52
  <refsynopsisdiv>
55
53
    <cmdsynopsis>
56
54
      <command>&COMMANDNAME;</command>
57
55
      <group>
58
56
        <arg choice="plain"><option>--connect
59
 
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
57
        <replaceable>IPADDR</replaceable><literal>:</literal
60
58
        ><replaceable>PORT</replaceable></option></arg>
61
59
        <arg choice="plain"><option>-c
62
 
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
60
        <replaceable>IPADDR</replaceable><literal>:</literal
63
61
        ><replaceable>PORT</replaceable></option></arg>
64
62
      </group>
65
63
      <sbr/>
93
91
      </arg>
94
92
      <sbr/>
95
93
      <arg>
96
 
        <option>--delay <replaceable>SECONDS</replaceable></option>
97
 
      </arg>
98
 
      <sbr/>
99
 
      <arg>
100
94
        <option>--debug</option>
101
95
      </arg>
102
96
    </cmdsynopsis>
119
113
      </group>
120
114
    </cmdsynopsis>
121
115
  </refsynopsisdiv>
122
 
  
 
116
 
123
117
  <refsect1 id="description">
124
118
    <title>DESCRIPTION</title>
125
119
    <para>
130
124
      network connectivity, Zeroconf to find servers, and TLS with an
131
125
      OpenPGP key to ensure authenticity and confidentiality.  It
132
126
      keeps running, trying all servers on the network, until it
133
 
      receives a satisfactory reply or a TERM signal is received.
 
127
      receives a satisfactory reply or a TERM signal is recieved.
134
128
    </para>
135
129
    <para>
136
130
      This program is not meant to be run directly; it is really meant
221
215
          </para>
222
216
        </listitem>
223
217
      </varlistentry>
224
 
      
 
218
 
225
219
      <varlistentry>
226
220
        <term><option>--seckey=<replaceable
227
221
        >FILE</replaceable></option></term>
244
238
                      xpointer="priority"/>
245
239
        </listitem>
246
240
      </varlistentry>
247
 
      
 
241
 
248
242
      <varlistentry>
249
243
        <term><option>--dh-bits=<replaceable
250
244
        >BITS</replaceable></option></term>
255
249
          </para>
256
250
        </listitem>
257
251
      </varlistentry>
258
 
 
259
 
      <varlistentry>
260
 
        <term><option>--delay=<replaceable
261
 
        >SECONDS</replaceable></option></term>
262
 
        <listitem>
263
 
          <para>
264
 
            After bringing the network interface up, the program waits
265
 
            for the interface to arrive in a <quote>running</quote>
266
 
            state before proceeding.  During this time, the kernel log
267
 
            level will be lowered to reduce clutter on the system
268
 
            console, alleviating any other plugins which might be
269
 
            using the system console.  This option sets the upper
270
 
            limit of seconds to wait.  The default is 2.5 seconds.
271
 
          </para>
272
 
        </listitem>
273
 
      </varlistentry>
274
252
      
275
253
      <varlistentry>
276
254
        <term><option>--debug</option></term>
306
284
          </para>
307
285
        </listitem>
308
286
      </varlistentry>
309
 
      
 
287
 
310
288
      <varlistentry>
311
289
        <term><option>--version</option></term>
312
290
        <term><option>-V</option></term>
318
296
      </varlistentry>
319
297
    </variablelist>
320
298
  </refsect1>
321
 
  
 
299
 
322
300
  <refsect1 id="overview">
323
301
    <title>OVERVIEW</title>
324
302
    <xi:include href="../overview.xml"/>
333
311
      <filename>/etc/crypttab</filename>, but it would then be
334
312
      impossible to enter a password for the encrypted root disk at
335
313
      the console, since this program does not read from the console
336
 
      at all.  This is why a separate plugin runner (<citerefentry>
337
 
      <refentrytitle>plugin-runner</refentrytitle>
338
 
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
339
 
      both this program and others in in parallel,
340
 
      <emphasis>one</emphasis> of which will prompt for passwords on
341
 
      the system console.
 
314
      at all.  This is why a separate plugin (<citerefentry>
 
315
      <refentrytitle>password-prompt</refentrytitle>
 
316
      <manvolnum>8mandos</manvolnum></citerefentry>) does that, which
 
317
      will be run in parallell to this one by the plugin runner.
342
318
    </para>
343
319
  </refsect1>
344
320
  
351
327
      program will exit with a non-zero exit status only if a critical
352
328
      error occurs.  Otherwise, it will forever connect to new
353
329
      <application>Mandos</application> servers as they appear, trying
354
 
      to get a decryptable password and print it.
 
330
      to get a decryptable password.
355
331
    </para>
356
332
  </refsect1>
357
333
  
365
341
    </para>
366
342
  </refsect1>
367
343
  
368
 
  <refsect1 id="files">
 
344
  <refsect1 id="file">
369
345
    <title>FILES</title>
370
346
    <variablelist>
371
347
      <varlistentry>
390
366
<!--     <para> -->
391
367
<!--     </para> -->
392
368
<!--   </refsect1> -->
393
 
  
 
369
 
394
370
  <refsect1 id="example">
395
371
    <title>EXAMPLE</title>
396
372
    <para>
410
386
    </informalexample>
411
387
    <informalexample>
412
388
      <para>
413
 
        Search for Mandos servers (and connect to them) using another
414
 
        interface:
 
389
        Search for Mandos servers on another interface:
415
390
      </para>
416
391
      <para>
417
392
        <!-- do not wrap this line -->
445
420
      </para>
446
421
    </informalexample>
447
422
  </refsect1>
448
 
  
 
423
 
449
424
  <refsect1 id="security">
450
425
    <title>SECURITY</title>
451
426
    <para>
471
446
      The only remaining weak point is that someone with physical
472
447
      access to the client hard drive might turn off the client
473
448
      computer, read the OpenPGP keys directly from the hard drive,
474
 
      and communicate with the server.  To safeguard against this, the
475
 
      server is supposed to notice the client disappearing and stop
476
 
      giving out the encrypted data.  Therefore, it is important to
477
 
      set the timeout and checker interval values tightly on the
478
 
      server.  See <citerefentry><refentrytitle
 
449
      and communicate with the server.  The defense against this is
 
450
      that the server is supposed to notice the client disappearing
 
451
      and will stop giving out the encrypted data.  Therefore, it is
 
452
      important to set the timeout and checker interval values tightly
 
453
      on the server.  See <citerefentry><refentrytitle
479
454
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
480
455
    </para>
481
456
    <para>
492
467
      confidential.
493
468
    </para>
494
469
  </refsect1>
495
 
  
 
470
 
496
471
  <refsect1 id="see_also">
497
472
    <title>SEE ALSO</title>
498
473
    <para>
623
598
      </varlistentry>
624
599
    </variablelist>
625
600
  </refsect1>
 
601
 
626
602
</refentry>
627
 
 
628
603
<!-- Local Variables: -->
629
604
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
630
605
<!-- time-stamp-end: "[\"']>" -->