/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-05 16:24:33 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080905162433-58fgx91ae9foxlh1
* Makefile (PIDDIR, USER, GROUP): Removed.
  (install-server): Do not create $(PIDDIR).
  (uninstall-server): Do not remove $(PIDDIR).

* init.d-mandos (PIDFILE): Changed to "/var/run/$NAME.pid".

* mandos (IPv6_TCPServer.enabled): New attribute.
  (IPv6_TCPServer.server_activate): Only call method of superclass if
                                    "self.enabled".
  (IPv6_TCPServer.enable): Set "self.enabled" to True.
  (main): Create client Set() early.  Create IPv6_TCPServer object
          early.  Switch to user and group "mandos", "nobody" or
          65534, if possible.  Enable IPv6_TCPServer *after* switching
          user.

* mandos-keygen (KEYDIR): Changed to "/etc/keys/mandos".

* mandos.xml (FILES): Changed PID file.
  (SECURITY): The server does need to be privileged, but switches to a
              non-privileged user.

* plugin-runner.xml (EXAMPLE): Changed long example to something more
                               realistic.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
<?xml version="1.0" encoding="UTF-8"?>
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
 
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2008-10-03">
6
 
<!ENTITY % common SYSTEM "../common.ent">
7
 
%common;
 
4
<!ENTITY VERSION "1.0">
 
5
<!ENTITY COMMANDNAME "password-request">
 
6
<!ENTITY TIMESTAMP "2008-09-04">
8
7
]>
9
8
 
10
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
10
  <refentryinfo>
12
11
    <title>Mandos Manual</title>
13
 
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
12
    <!-- Nwalsh’s docbook scripts use this to generate the footer: -->
14
13
    <productname>Mandos</productname>
15
 
    <productnumber>&version;</productnumber>
 
14
    <productnumber>&VERSION;</productnumber>
16
15
    <date>&TIMESTAMP;</date>
17
16
    <authorgroup>
18
17
      <author>
37
36
    </copyright>
38
37
    <xi:include href="../legalnotice.xml"/>
39
38
  </refentryinfo>
40
 
  
 
39
 
41
40
  <refmeta>
42
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
43
42
    <manvolnum>8mandos</manvolnum>
46
45
  <refnamediv>
47
46
    <refname><command>&COMMANDNAME;</command></refname>
48
47
    <refpurpose>
49
 
      Client for <application>Mandos</application>
 
48
      Client for mandos
50
49
    </refpurpose>
51
50
  </refnamediv>
52
 
  
 
51
 
53
52
  <refsynopsisdiv>
54
53
    <cmdsynopsis>
55
54
      <command>&COMMANDNAME;</command>
114
113
      </group>
115
114
    </cmdsynopsis>
116
115
  </refsynopsisdiv>
117
 
  
 
116
 
118
117
  <refsect1 id="description">
119
118
    <title>DESCRIPTION</title>
120
119
    <para>
216
215
          </para>
217
216
        </listitem>
218
217
      </varlistentry>
219
 
      
 
218
 
220
219
      <varlistentry>
221
220
        <term><option>--seckey=<replaceable
222
221
        >FILE</replaceable></option></term>
239
238
                      xpointer="priority"/>
240
239
        </listitem>
241
240
      </varlistentry>
242
 
      
 
241
 
243
242
      <varlistentry>
244
243
        <term><option>--dh-bits=<replaceable
245
244
        >BITS</replaceable></option></term>
285
284
          </para>
286
285
        </listitem>
287
286
      </varlistentry>
288
 
      
 
287
 
289
288
      <varlistentry>
290
289
        <term><option>--version</option></term>
291
290
        <term><option>-V</option></term>
297
296
      </varlistentry>
298
297
    </variablelist>
299
298
  </refsect1>
300
 
  
 
299
 
301
300
  <refsect1 id="overview">
302
301
    <title>OVERVIEW</title>
303
302
    <xi:include href="../overview.xml"/>
312
311
      <filename>/etc/crypttab</filename>, but it would then be
313
312
      impossible to enter a password for the encrypted root disk at
314
313
      the console, since this program does not read from the console
315
 
      at all.  This is why a separate plugin runner (<citerefentry>
316
 
      <refentrytitle>plugin-runner</refentrytitle>
317
 
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
318
 
      both this program and others in in parallel,
319
 
      <emphasis>one</emphasis> of which will prompt for passwords on
320
 
      the system console.
 
314
      at all.  This is why a separate plugin (<citerefentry>
 
315
      <refentrytitle>password-prompt</refentrytitle>
 
316
      <manvolnum>8mandos</manvolnum></citerefentry>) does that, which
 
317
      will be run in parallel to this one by the plugin runner.
321
318
    </para>
322
319
  </refsect1>
323
320
  
330
327
      program will exit with a non-zero exit status only if a critical
331
328
      error occurs.  Otherwise, it will forever connect to new
332
329
      <application>Mandos</application> servers as they appear, trying
333
 
      to get a decryptable password and print it.
 
330
      to get a decryptable password.
334
331
    </para>
335
332
  </refsect1>
336
333
  
344
341
    </para>
345
342
  </refsect1>
346
343
  
347
 
  <refsect1 id="files">
 
344
  <refsect1 id="file">
348
345
    <title>FILES</title>
349
346
    <variablelist>
350
347
      <varlistentry>
369
366
<!--     <para> -->
370
367
<!--     </para> -->
371
368
<!--   </refsect1> -->
372
 
  
 
369
 
373
370
  <refsect1 id="example">
374
371
    <title>EXAMPLE</title>
375
372
    <para>
424
421
      </para>
425
422
    </informalexample>
426
423
  </refsect1>
427
 
  
 
424
 
428
425
  <refsect1 id="security">
429
426
    <title>SECURITY</title>
430
427
    <para>
450
447
      The only remaining weak point is that someone with physical
451
448
      access to the client hard drive might turn off the client
452
449
      computer, read the OpenPGP keys directly from the hard drive,
453
 
      and communicate with the server.  To safeguard against this, the
454
 
      server is supposed to notice the client disappearing and stop
455
 
      giving out the encrypted data.  Therefore, it is important to
456
 
      set the timeout and checker interval values tightly on the
457
 
      server.  See <citerefentry><refentrytitle
 
450
      and communicate with the server.  The defense against this is
 
451
      that the server is supposed to notice the client disappearing
 
452
      and will stop giving out the encrypted data.  Therefore, it is
 
453
      important to set the timeout and checker interval values tightly
 
454
      on the server.  See <citerefentry><refentrytitle
458
455
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
459
456
    </para>
460
457
    <para>
471
468
      confidential.
472
469
    </para>
473
470
  </refsect1>
474
 
  
 
471
 
475
472
  <refsect1 id="see_also">
476
473
    <title>SEE ALSO</title>
477
474
    <para>
602
599
      </varlistentry>
603
600
    </variablelist>
604
601
  </refsect1>
 
602
 
605
603
</refentry>
606
 
 
607
604
<!-- Local Variables: -->
608
605
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
609
606
<!-- time-stamp-end: "[\"']>" -->