/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2017-08-20 19:12:58 UTC
  • mto: This revision was merged to the branch mainline in revision 911.
  • Revision ID: teddy@recompile.se-20170820191258-9s80xonyan5vavbo
Tags: version-1.7.16-1
* Makefile (version): Change to 1.7.16.
* NEWS (Version 1.7.16): Add new entry.
* debian/changelog (1.7.16-1): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2009-01-04">
 
5
<!ENTITY TIMESTAMP "2017-02-23">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
19
19
        <firstname>Björn</firstname>
20
20
        <surname>Påhlsson</surname>
21
21
        <address>
22
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
23
23
        </address>
24
24
      </author>
25
25
      <author>
26
26
        <firstname>Teddy</firstname>
27
27
        <surname>Hogeborn</surname>
28
28
        <address>
29
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
30
30
        </address>
31
31
      </author>
32
32
    </authorgroup>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
36
44
      <holder>Teddy Hogeborn</holder>
37
45
      <holder>Björn Påhlsson</holder>
38
46
    </copyright>
85
93
      <replaceable>DIRECTORY</replaceable></option></arg>
86
94
      <sbr/>
87
95
      <arg><option>--debug</option></arg>
 
96
      <sbr/>
 
97
      <arg><option>--debuglevel
 
98
      <replaceable>LEVEL</replaceable></option></arg>
 
99
      <sbr/>
 
100
      <arg><option>--no-dbus</option></arg>
 
101
      <sbr/>
 
102
      <arg><option>--no-ipv6</option></arg>
 
103
      <sbr/>
 
104
      <arg><option>--no-restore</option></arg>
 
105
      <sbr/>
 
106
      <arg><option>--statedir
 
107
      <replaceable>DIRECTORY</replaceable></option></arg>
 
108
      <sbr/>
 
109
      <arg><option>--socket
 
110
      <replaceable>FD</replaceable></option></arg>
 
111
      <sbr/>
 
112
      <arg><option>--foreground</option></arg>
 
113
      <sbr/>
 
114
      <arg><option>--no-zeroconf</option></arg>
88
115
    </cmdsynopsis>
89
116
    <cmdsynopsis>
90
117
      <command>&COMMANDNAME;</command>
108
135
    <para>
109
136
      <command>&COMMANDNAME;</command> is a server daemon which
110
137
      handles incoming request for passwords for a pre-defined list of
111
 
      client host computers.  The Mandos server uses Zeroconf to
112
 
      announce itself on the local network, and uses TLS to
113
 
      communicate securely with and to authenticate the clients.  The
114
 
      Mandos server uses IPv6 to allow Mandos clients to use IPv6
115
 
      link-local addresses, since the clients will probably not have
116
 
      any other addresses configured (see <xref linkend="overview"/>).
117
 
      Any authenticated client is then given the stored pre-encrypted
118
 
      password for that specific client.
 
138
      client host computers. For an introduction, see
 
139
      <citerefentry><refentrytitle>intro</refentrytitle>
 
140
      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server
 
141
      uses Zeroconf to announce itself on the local network, and uses
 
142
      TLS to communicate securely with and to authenticate the
 
143
      clients.  The Mandos server uses IPv6 to allow Mandos clients to
 
144
      use IPv6 link-local addresses, since the clients will probably
 
145
      not have any other addresses configured (see <xref
 
146
      linkend="overview"/>).  Any authenticated client is then given
 
147
      the stored pre-encrypted password for that specific client.
119
148
    </para>
120
149
  </refsect1>
121
150
  
190
219
      </varlistentry>
191
220
      
192
221
      <varlistentry>
 
222
        <term><option>--debuglevel
 
223
        <replaceable>LEVEL</replaceable></option></term>
 
224
        <listitem>
 
225
          <para>
 
226
            Set the debugging log level.
 
227
            <replaceable>LEVEL</replaceable> is a string, one of
 
228
            <quote><literal>CRITICAL</literal></quote>,
 
229
            <quote><literal>ERROR</literal></quote>,
 
230
            <quote><literal>WARNING</literal></quote>,
 
231
            <quote><literal>INFO</literal></quote>, or
 
232
            <quote><literal>DEBUG</literal></quote>, in order of
 
233
            increasing verbosity.  The default level is
 
234
            <quote><literal>WARNING</literal></quote>.
 
235
          </para>
 
236
        </listitem>
 
237
      </varlistentry>
 
238
      
 
239
      <varlistentry>
193
240
        <term><option>--priority <replaceable>
194
241
        PRIORITY</replaceable></option></term>
195
242
        <listitem>
229
276
          </para>
230
277
        </listitem>
231
278
      </varlistentry>
 
279
      
 
280
      <varlistentry>
 
281
        <term><option>--no-dbus</option></term>
 
282
        <listitem>
 
283
          <xi:include href="mandos-options.xml" xpointer="dbus"/>
 
284
          <para>
 
285
            See also <xref linkend="dbus_interface"/>.
 
286
          </para>
 
287
        </listitem>
 
288
      </varlistentry>
 
289
      
 
290
      <varlistentry>
 
291
        <term><option>--no-ipv6</option></term>
 
292
        <listitem>
 
293
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
 
294
        </listitem>
 
295
      </varlistentry>
 
296
      
 
297
      <varlistentry>
 
298
        <term><option>--no-restore</option></term>
 
299
        <listitem>
 
300
          <xi:include href="mandos-options.xml" xpointer="restore"/>
 
301
          <para>
 
302
            See also <xref linkend="persistent_state"/>.
 
303
          </para>
 
304
        </listitem>
 
305
      </varlistentry>
 
306
      
 
307
      <varlistentry>
 
308
        <term><option>--statedir
 
309
        <replaceable>DIRECTORY</replaceable></option></term>
 
310
        <listitem>
 
311
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
 
312
        </listitem>
 
313
      </varlistentry>
 
314
      
 
315
      <varlistentry>
 
316
        <term><option>--socket
 
317
        <replaceable>FD</replaceable></option></term>
 
318
        <listitem>
 
319
          <xi:include href="mandos-options.xml" xpointer="socket"/>
 
320
        </listitem>
 
321
      </varlistentry>
 
322
      
 
323
      <varlistentry>
 
324
        <term><option>--foreground</option></term>
 
325
        <listitem>
 
326
          <xi:include href="mandos-options.xml"
 
327
                      xpointer="foreground"/>
 
328
        </listitem>
 
329
      </varlistentry>
 
330
      
 
331
      <varlistentry>
 
332
        <term><option>--no-zeroconf</option></term>
 
333
        <listitem>
 
334
          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>
 
335
        </listitem>
 
336
      </varlistentry>
 
337
      
232
338
    </variablelist>
233
339
  </refsect1>
234
340
  
306
412
      The server will, by default, continually check that the clients
307
413
      are still up.  If a client has not been confirmed as being up
308
414
      for some time, the client is assumed to be compromised and is no
309
 
      longer eligible to receive the encrypted password.  The timeout,
310
 
      checker program, and interval between checks can be configured
311
 
      both globally and per client; see <citerefentry>
 
415
      longer eligible to receive the encrypted password.  (Manual
 
416
      intervention is required to re-enable a client.)  The timeout,
 
417
      extended timeout, checker program, and interval between checks
 
418
      can be configured both globally and per client; see
 
419
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
420
      <manvolnum>5</manvolnum></citerefentry>.
 
421
    </para>
 
422
  </refsect1>
 
423
  
 
424
  <refsect1 id="approval">
 
425
    <title>APPROVAL</title>
 
426
    <para>
 
427
      The server can be configured to require manual approval for a
 
428
      client before it is sent its secret.  The delay to wait for such
 
429
      approval and the default action (approve or deny) can be
 
430
      configured both globally and per client; see <citerefentry>
312
431
      <refentrytitle>mandos-clients.conf</refentrytitle>
313
 
      <manvolnum>5</manvolnum></citerefentry>.
314
 
    </para>
 
432
      <manvolnum>5</manvolnum></citerefentry>.  By default all clients
 
433
      will be approved immediately without delay.
 
434
    </para>
 
435
    <para>
 
436
      This can be used to deny a client its secret if not manually
 
437
      approved within a specified time.  It can also be used to make
 
438
      the server delay before giving a client its secret, allowing
 
439
      optional manual denying of this specific client.
 
440
    </para>
 
441
    
315
442
  </refsect1>
316
443
  
317
444
  <refsect1 id="logging">
318
445
    <title>LOGGING</title>
319
446
    <para>
320
447
      The server will send log message with various severity levels to
321
 
      <filename>/dev/log</filename>.  With the
 
448
      <filename class="devicefile">/dev/log</filename>.  With the
322
449
      <option>--debug</option> option, it will log even more messages,
323
450
      and also show them on the console.
324
451
    </para>
325
452
  </refsect1>
326
453
  
 
454
  <refsect1 id="persistent_state">
 
455
    <title>PERSISTENT STATE</title>
 
456
    <para>
 
457
      Client settings, initially read from
 
458
      <filename>clients.conf</filename>, are persistent across
 
459
      restarts, and run-time changes will override settings in
 
460
      <filename>clients.conf</filename>.  However, if a setting is
 
461
      <emphasis>changed</emphasis> (or a client added, or removed) in
 
462
      <filename>clients.conf</filename>, this will take precedence.
 
463
    </para>
 
464
  </refsect1>
 
465
  
 
466
  <refsect1 id="dbus_interface">
 
467
    <title>D-BUS INTERFACE</title>
 
468
    <para>
 
469
      The server will by default provide a D-Bus system bus interface.
 
470
      This interface will only be accessible by the root user or a
 
471
      Mandos-specific user, if such a user exists.  For documentation
 
472
      of the D-Bus API, see the file <filename>DBUS-API</filename>.
 
473
    </para>
 
474
  </refsect1>
 
475
  
327
476
  <refsect1 id="exit_status">
328
477
    <title>EXIT STATUS</title>
329
478
    <para>
381
530
        </listitem>
382
531
      </varlistentry>
383
532
      <varlistentry>
384
 
        <term><filename>/var/run/mandos.pid</filename></term>
385
 
        <listitem>
386
 
          <para>
387
 
            The file containing the process id of
388
 
            <command>&COMMANDNAME;</command>.
389
 
          </para>
390
 
        </listitem>
391
 
      </varlistentry>
392
 
      <varlistentry>
393
 
        <term><filename>/dev/log</filename></term>
 
533
        <term><filename>/run/mandos.pid</filename></term>
 
534
        <listitem>
 
535
          <para>
 
536
            The file containing the process id of the
 
537
            <command>&COMMANDNAME;</command> process started last.
 
538
            <emphasis >Note:</emphasis> If the <filename
 
539
            class="directory">/run</filename> directory does not
 
540
            exist, <filename>/var/run/mandos.pid</filename> will be
 
541
            used instead.
 
542
          </para>
 
543
        </listitem>
 
544
      </varlistentry>
 
545
      <varlistentry>
 
546
        <term><filename
 
547
        class="directory">/var/lib/mandos</filename></term>
 
548
        <listitem>
 
549
          <para>
 
550
            Directory where persistent state will be saved.  Change
 
551
            this with the <option>--statedir</option> option.  See
 
552
            also the <option>--no-restore</option> option.
 
553
          </para>
 
554
        </listitem>
 
555
      </varlistentry>
 
556
      <varlistentry>
 
557
        <term><filename class="devicefile">/dev/log</filename></term>
394
558
        <listitem>
395
559
          <para>
396
560
            The Unix domain socket to where local syslog messages are
419
583
      backtrace.  This could be considered a feature.
420
584
    </para>
421
585
    <para>
422
 
      Currently, if a client is declared <quote>invalid</quote> due to
423
 
      having timed out, the server does not record this fact onto
424
 
      permanent storage.  This has some security implications, see
425
 
      <xref linkend="clients"/>.
426
 
    </para>
427
 
    <para>
428
 
      There is currently no way of querying the server of the current
429
 
      status of clients, other than analyzing its <systemitem
430
 
      class="service">syslog</systemitem> output.
431
 
    </para>
432
 
    <para>
433
586
      There is no fine-grained control over logging and debug output.
434
587
    </para>
435
588
    <para>
436
 
      Debug mode is conflated with running in the foreground.
437
 
    </para>
438
 
    <para>
439
 
      The console log messages does not show a time stamp.
440
 
    </para>
441
 
    <para>
442
589
      This server does not check the expire time of clients’ OpenPGP
443
590
      keys.
444
591
    </para>
 
592
    <xi:include href="bugs.xml"/>
445
593
  </refsect1>
446
594
  
447
595
  <refsect1 id="example">
457
605
    <informalexample>
458
606
      <para>
459
607
        Run the server in debug mode, read configuration files from
460
 
        the <filename>~/mandos</filename> directory, and use the
461
 
        Zeroconf service name <quote>Test</quote> to not collide with
462
 
        any other official Mandos server on this host:
 
608
        the <filename class="directory">~/mandos</filename> directory,
 
609
        and use the Zeroconf service name <quote>Test</quote> to not
 
610
        collide with any other official Mandos server on this host:
463
611
      </para>
464
612
      <para>
465
613
 
514
662
        compromised if they are gone for too long.
515
663
      </para>
516
664
      <para>
517
 
        If a client is compromised, its downtime should be duly noted
518
 
        by the server which would therefore declare the client
519
 
        invalid.  But if the server was ever restarted, it would
520
 
        re-read its client list from its configuration file and again
521
 
        regard all clients therein as valid, and hence eligible to
522
 
        receive their passwords.  Therefore, be careful when
523
 
        restarting servers if it is suspected that a client has, in
524
 
        fact, been compromised by parties who may now be running a
525
 
        fake Mandos client with the keys from the non-encrypted
526
 
        initial <acronym>RAM</acronym> image of the client host.  What
527
 
        should be done in that case (if restarting the server program
528
 
        really is necessary) is to stop the server program, edit the
529
 
        configuration file to omit any suspect clients, and restart
530
 
        the server program.
531
 
      </para>
532
 
      <para>
533
665
        For more details on client-side security, see
534
666
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
535
667
        <manvolnum>8mandos</manvolnum></citerefentry>.
540
672
  <refsect1 id="see_also">
541
673
    <title>SEE ALSO</title>
542
674
    <para>
543
 
      <citerefentry>
544
 
        <refentrytitle>mandos-clients.conf</refentrytitle>
545
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
546
 
        <refentrytitle>mandos.conf</refentrytitle>
547
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
548
 
        <refentrytitle>mandos-client</refentrytitle>
549
 
        <manvolnum>8mandos</manvolnum></citerefentry>, <citerefentry>
550
 
        <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
551
 
      </citerefentry>
 
675
      <citerefentry><refentrytitle>intro</refentrytitle>
 
676
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
677
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
678
      <manvolnum>5</manvolnum></citerefentry>,
 
679
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
 
680
      <manvolnum>5</manvolnum></citerefentry>,
 
681
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
682
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
683
      <citerefentry><refentrytitle>sh</refentrytitle>
 
684
      <manvolnum>1</manvolnum></citerefentry>
552
685
    </para>
553
686
    <variablelist>
554
687
      <varlistentry>
575
708
      </varlistentry>
576
709
      <varlistentry>
577
710
        <term>
578
 
          <ulink url="http://www.gnu.org/software/gnutls/"
579
 
          >GnuTLS</ulink>
 
711
          <ulink url="https://gnutls.org/">GnuTLS</ulink>
580
712
        </term>
581
713
      <listitem>
582
714
        <para>
620
752
      </varlistentry>
621
753
      <varlistentry>
622
754
        <term>
623
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
624
 
          Protocol Version 1.1</citetitle>
 
755
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
756
          Protocol Version 1.2</citetitle>
625
757
        </term>
626
758
      <listitem>
627
759
        <para>
628
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
760
          TLS 1.2 is the protocol implemented by GnuTLS.
629
761
        </para>
630
762
      </listitem>
631
763
      </varlistentry>
641
773
      </varlistentry>
642
774
      <varlistentry>
643
775
        <term>
644
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
645
 
          Security</citetitle>
 
776
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
777
          Security (TLS) Authentication</citetitle>
646
778
        </term>
647
779
      <listitem>
648
780
        <para>