/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2008-09-21 13:42:34 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080921134234-jo8p4rwtm50yb4xj
* clients.conf ([bar]/secfile): Do not imply armored format.

* debian/control: Build-Depend on pkg-config.

* debian/mandos.prerm (remove): Bug fix; check for
                                "/etc/init.d/mandos", not
                                "/etc/init.d/ssh".

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY VERSION "1.0">
5
5
<!ENTITY COMMANDNAME "mandos">
6
 
<!ENTITY TIMESTAMP "2008-08-31">
 
6
<!ENTITY TIMESTAMP "2008-09-21">
7
7
]>
8
8
 
9
9
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
36
36
    </copyright>
37
37
    <xi:include href="legalnotice.xml"/>
38
38
  </refentryinfo>
39
 
 
 
39
  
40
40
  <refmeta>
41
41
    <refentrytitle>&COMMANDNAME;</refentrytitle>
42
42
    <manvolnum>8</manvolnum>
48
48
      Gives encrypted passwords to authenticated Mandos clients
49
49
    </refpurpose>
50
50
  </refnamediv>
51
 
 
 
51
  
52
52
  <refsynopsisdiv>
53
53
    <cmdsynopsis>
54
54
      <command>&COMMANDNAME;</command>
100
100
      <arg choice="plain"><option>--check</option></arg>
101
101
    </cmdsynopsis>
102
102
  </refsynopsisdiv>
103
 
 
 
103
  
104
104
  <refsect1 id="description">
105
105
    <title>DESCRIPTION</title>
106
106
    <para>
115
115
      Any authenticated client is then given the stored pre-encrypted
116
116
      password for that specific client.
117
117
    </para>
118
 
 
119
118
  </refsect1>
120
119
  
121
120
  <refsect1 id="purpose">
122
121
    <title>PURPOSE</title>
123
 
 
124
122
    <para>
125
123
      The purpose of this is to enable <emphasis>remote and unattended
126
124
      rebooting</emphasis> of client host computer with an
127
125
      <emphasis>encrypted root file system</emphasis>.  See <xref
128
126
      linkend="overview"/> for details.
129
127
    </para>
130
 
    
131
128
  </refsect1>
132
129
  
133
130
  <refsect1 id="options">
134
131
    <title>OPTIONS</title>
135
 
    
136
132
    <variablelist>
137
133
      <varlistentry>
138
134
        <term><option>--help</option></term>
190
186
          <xi:include href="mandos-options.xml" xpointer="debug"/>
191
187
        </listitem>
192
188
      </varlistentry>
193
 
 
 
189
      
194
190
      <varlistentry>
195
191
        <term><option>--priority <replaceable>
196
192
        PRIORITY</replaceable></option></term>
198
194
          <xi:include href="mandos-options.xml" xpointer="priority"/>
199
195
        </listitem>
200
196
      </varlistentry>
201
 
 
 
197
      
202
198
      <varlistentry>
203
199
        <term><option>--servicename
204
200
        <replaceable>NAME</replaceable></option></term>
207
203
                      xpointer="servicename"/>
208
204
        </listitem>
209
205
      </varlistentry>
210
 
 
 
206
      
211
207
      <varlistentry>
212
208
        <term><option>--configdir
213
209
        <replaceable>DIRECTORY</replaceable></option></term>
222
218
          </para>
223
219
        </listitem>
224
220
      </varlistentry>
225
 
 
 
221
      
226
222
      <varlistentry>
227
223
        <term><option>--version</option></term>
228
224
        <listitem>
233
229
      </varlistentry>
234
230
    </variablelist>
235
231
  </refsect1>
236
 
 
 
232
  
237
233
  <refsect1 id="overview">
238
234
    <title>OVERVIEW</title>
239
235
    <xi:include href="overview.xml"/>
240
236
    <para>
241
237
      This program is the server part.  It is a normal server program
242
238
      and will run in a normal system environment, not in an initial
243
 
      RAM disk environment.
 
239
      <acronym>RAM</acronym> disk environment.
244
240
    </para>
245
241
  </refsect1>
246
 
 
 
242
  
247
243
  <refsect1 id="protocol">
248
244
    <title>NETWORK PROTOCOL</title>
249
245
    <para>
301
297
      </row>
302
298
    </tbody></tgroup></table>
303
299
  </refsect1>
304
 
 
 
300
  
305
301
  <refsect1 id="checking">
306
302
    <title>CHECKING</title>
307
303
    <para>
315
311
      <manvolnum>5</manvolnum></citerefentry>.
316
312
    </para>
317
313
  </refsect1>
318
 
 
 
314
  
319
315
  <refsect1 id="logging">
320
316
    <title>LOGGING</title>
321
317
    <para>
325
321
      and also show them on the console.
326
322
    </para>
327
323
  </refsect1>
328
 
 
 
324
  
329
325
  <refsect1 id="exit_status">
330
326
    <title>EXIT STATUS</title>
331
327
    <para>
333
329
      critical error is encountered.
334
330
    </para>
335
331
  </refsect1>
336
 
 
 
332
  
337
333
  <refsect1 id="environment">
338
334
    <title>ENVIRONMENT</title>
339
335
    <variablelist>
353
349
      </varlistentry>
354
350
    </variablelist>
355
351
  </refsect1>
356
 
 
 
352
  
357
353
  <refsect1 id="file">
358
354
    <title>FILES</title>
359
355
    <para>
383
379
        </listitem>
384
380
      </varlistentry>
385
381
      <varlistentry>
386
 
        <term><filename>/var/run/mandos/mandos.pid</filename></term>
 
382
        <term><filename>/var/run/mandos.pid</filename></term>
387
383
        <listitem>
388
384
          <para>
389
385
            The file containing the process id of
438
434
      Debug mode is conflated with running in the foreground.
439
435
    </para>
440
436
    <para>
441
 
      The console log messages does not show a timestamp.
 
437
      The console log messages does not show a time stamp.
 
438
    </para>
 
439
    <para>
 
440
      This server does not check the expire time of clients’ OpenPGP
 
441
      keys.
442
442
    </para>
443
443
  </refsect1>
444
444
  
479
479
      </para>
480
480
    </informalexample>
481
481
  </refsect1>
482
 
 
 
482
  
483
483
  <refsect1 id="security">
484
484
    <title>SECURITY</title>
485
485
    <refsect2 id="SERVER">
487
487
      <para>
488
488
        Running this <command>&COMMANDNAME;</command> server program
489
489
        should not in itself present any security risk to the host
490
 
        computer running it.  The program does not need any special
491
 
        privileges to run, and is designed to run as a non-root user.
 
490
        computer running it.  The program switches to a non-root user
 
491
        soon after startup.
492
492
      </para>
493
493
    </refsect2>
494
494
    <refsect2 id="CLIENTS">
504
504
        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
505
505
        <manvolnum>5</manvolnum></citerefentry>)
506
506
        <emphasis>must</emphasis> be made non-readable by anyone
507
 
        except the user running the server.
 
507
        except the user starting the server (usually root).
508
508
      </para>
509
509
      <para>
510
510
        As detailed in <xref linkend="checking"/>, the status of all
521
521
        restarting servers if it is suspected that a client has, in
522
522
        fact, been compromised by parties who may now be running a
523
523
        fake Mandos client with the keys from the non-encrypted
524
 
        initial RAM image of the client host.  What should be done in
525
 
        that case (if restarting the server program really is
526
 
        necessary) is to stop the server program, edit the
 
524
        initial <acronym>RAM</acronym> image of the client host.  What
 
525
        should be done in that case (if restarting the server program
 
526
        really is necessary) is to stop the server program, edit the
527
527
        configuration file to omit any suspect clients, and restart
528
528
        the server program.
529
529
      </para>
530
530
      <para>
531
531
        For more details on client-side security, see
532
 
        <citerefentry><refentrytitle>password-request</refentrytitle>
 
532
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
533
533
        <manvolnum>8mandos</manvolnum></citerefentry>.
534
534
      </para>
535
535
    </refsect2>
536
536
  </refsect1>
537
 
 
 
537
  
538
538
  <refsect1 id="see_also">
539
539
    <title>SEE ALSO</title>
540
540
    <para>
543
543
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
544
544
        <refentrytitle>mandos.conf</refentrytitle>
545
545
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
546
 
        <refentrytitle>password-request</refentrytitle>
 
546
        <refentrytitle>mandos-client</refentrytitle>
547
547
        <manvolnum>8mandos</manvolnum></citerefentry>, <citerefentry>
548
548
        <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
549
549
      </citerefentry>