/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-05 16:24:33 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080905162433-58fgx91ae9foxlh1
* Makefile (PIDDIR, USER, GROUP): Removed.
  (install-server): Do not create $(PIDDIR).
  (uninstall-server): Do not remove $(PIDDIR).

* init.d-mandos (PIDFILE): Changed to "/var/run/$NAME.pid".

* mandos (IPv6_TCPServer.enabled): New attribute.
  (IPv6_TCPServer.server_activate): Only call method of superclass if
                                    "self.enabled".
  (IPv6_TCPServer.enable): Set "self.enabled" to True.
  (main): Create client Set() early.  Create IPv6_TCPServer object
          early.  Switch to user and group "mandos", "nobody" or
          65534, if possible.  Enable IPv6_TCPServer *after* switching
          user.

* mandos-keygen (KEYDIR): Changed to "/etc/keys/mandos".

* mandos.xml (FILES): Changed PID file.
  (SECURITY): The server does need to be privileged, but switches to a
              non-privileged user.

* plugin-runner.xml (EXAMPLE): Changed long example to something more
                               realistic.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY VERSION "1.0">
5
 
<!ENTITY COMMANDNAME "mandos-client">
6
 
<!ENTITY TIMESTAMP "2008-09-30">
 
5
<!ENTITY COMMANDNAME "password-request">
 
6
<!ENTITY TIMESTAMP "2008-09-04">
7
7
]>
8
8
 
9
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
36
36
    </copyright>
37
37
    <xi:include href="../legalnotice.xml"/>
38
38
  </refentryinfo>
39
 
  
 
39
 
40
40
  <refmeta>
41
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
42
42
    <manvolnum>8mandos</manvolnum>
45
45
  <refnamediv>
46
46
    <refname><command>&COMMANDNAME;</command></refname>
47
47
    <refpurpose>
48
 
      Client for <application>Mandos</application>
 
48
      Client for mandos
49
49
    </refpurpose>
50
50
  </refnamediv>
51
 
  
 
51
 
52
52
  <refsynopsisdiv>
53
53
    <cmdsynopsis>
54
54
      <command>&COMMANDNAME;</command>
113
113
      </group>
114
114
    </cmdsynopsis>
115
115
  </refsynopsisdiv>
116
 
  
 
116
 
117
117
  <refsect1 id="description">
118
118
    <title>DESCRIPTION</title>
119
119
    <para>
215
215
          </para>
216
216
        </listitem>
217
217
      </varlistentry>
218
 
      
 
218
 
219
219
      <varlistentry>
220
220
        <term><option>--seckey=<replaceable
221
221
        >FILE</replaceable></option></term>
238
238
                      xpointer="priority"/>
239
239
        </listitem>
240
240
      </varlistentry>
241
 
      
 
241
 
242
242
      <varlistentry>
243
243
        <term><option>--dh-bits=<replaceable
244
244
        >BITS</replaceable></option></term>
284
284
          </para>
285
285
        </listitem>
286
286
      </varlistentry>
287
 
      
 
287
 
288
288
      <varlistentry>
289
289
        <term><option>--version</option></term>
290
290
        <term><option>-V</option></term>
296
296
      </varlistentry>
297
297
    </variablelist>
298
298
  </refsect1>
299
 
  
 
299
 
300
300
  <refsect1 id="overview">
301
301
    <title>OVERVIEW</title>
302
302
    <xi:include href="../overview.xml"/>
311
311
      <filename>/etc/crypttab</filename>, but it would then be
312
312
      impossible to enter a password for the encrypted root disk at
313
313
      the console, since this program does not read from the console
314
 
      at all.  This is why a separate plugin runner (<citerefentry>
315
 
      <refentrytitle>plugin-runner</refentrytitle>
316
 
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
317
 
      both this program and others in in parallel,
318
 
      <emphasis>one</emphasis> of which will prompt for passwords on
319
 
      the system console.
 
314
      at all.  This is why a separate plugin (<citerefentry>
 
315
      <refentrytitle>password-prompt</refentrytitle>
 
316
      <manvolnum>8mandos</manvolnum></citerefentry>) does that, which
 
317
      will be run in parallel to this one by the plugin runner.
320
318
    </para>
321
319
  </refsect1>
322
320
  
329
327
      program will exit with a non-zero exit status only if a critical
330
328
      error occurs.  Otherwise, it will forever connect to new
331
329
      <application>Mandos</application> servers as they appear, trying
332
 
      to get a decryptable password and print it.
 
330
      to get a decryptable password.
333
331
    </para>
334
332
  </refsect1>
335
333
  
368
366
<!--     <para> -->
369
367
<!--     </para> -->
370
368
<!--   </refsect1> -->
371
 
  
 
369
 
372
370
  <refsect1 id="example">
373
371
    <title>EXAMPLE</title>
374
372
    <para>
423
421
      </para>
424
422
    </informalexample>
425
423
  </refsect1>
426
 
  
 
424
 
427
425
  <refsect1 id="security">
428
426
    <title>SECURITY</title>
429
427
    <para>
449
447
      The only remaining weak point is that someone with physical
450
448
      access to the client hard drive might turn off the client
451
449
      computer, read the OpenPGP keys directly from the hard drive,
452
 
      and communicate with the server.  To safeguard against this, the
453
 
      server is supposed to notice the client disappearing and stop
454
 
      giving out the encrypted data.  Therefore, it is important to
455
 
      set the timeout and checker interval values tightly on the
456
 
      server.  See <citerefentry><refentrytitle
 
450
      and communicate with the server.  The defense against this is
 
451
      that the server is supposed to notice the client disappearing
 
452
      and will stop giving out the encrypted data.  Therefore, it is
 
453
      important to set the timeout and checker interval values tightly
 
454
      on the server.  See <citerefentry><refentrytitle
457
455
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
458
456
    </para>
459
457
    <para>
470
468
      confidential.
471
469
    </para>
472
470
  </refsect1>
473
 
  
 
471
 
474
472
  <refsect1 id="see_also">
475
473
    <title>SEE ALSO</title>
476
474
    <para>
601
599
      </varlistentry>
602
600
    </variablelist>
603
601
  </refsect1>
 
602
 
604
603
</refentry>
605
 
 
606
604
<!-- Local Variables: -->
607
605
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
608
606
<!-- time-stamp-end: "[\"']>" -->