/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/password-request.xml

• browse files at revision 24.1.89
• compare with another revision
• download diff
• download tarball
• view history from revision 24.1.89

• reverse the comparison (24.1.89 to 286)
• stop comparing with revision 286

Show diffs side-by-side

added

removed

plugins.d/password-request.xml

1

1

<?xml version="1.0" encoding="UTF-8"?>

2

2

<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"

3

3

        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [

4

 

<!ENTITY COMMANDNAME "mandos-client">

5

 

<!ENTITY TIMESTAMP "2009-01-24">

6

 

<!ENTITY % common SYSTEM "../common.ent">

7

 

%common;

 

4

<!ENTITY VERSION "1.0">

 

5

<!ENTITY COMMANDNAME "password-request">

 

6

<!ENTITY TIMESTAMP "2008-09-04">

8

7

]>

9

8

 

10

9

<refentry xmlns:xi="http://www.w3.org/2001/XInclude">

11

10

  <refentryinfo>

12

11

    <title>Mandos Manual</title>

13

 

    <!-- NWalsh’s docbook scripts use this to generate the footer: -->

 

12

    <!-- Nwalsh’s docbook scripts use this to generate the footer: -->

14

13

    <productname>Mandos</productname>

15

 

    <productnumber>&version;</productnumber>

 

14

    <productnumber>&VERSION;</productnumber>

16

15

    <date>&TIMESTAMP;</date>

17

16

    <authorgroup>

18

17

      <author>

32

31

    </authorgroup>

33

32

    <copyright>

34

33

      <year>2008</year>

35

 

      <year>2009</year>

36

34

      <holder>Teddy Hogeborn</holder>

37

35

      <holder>Björn Påhlsson</holder>

38

36

    </copyright>

39

37

    <xi:include href="../legalnotice.xml"/>

40

38

  </refentryinfo>

41

 

  

 

39

 

42

40

  <refmeta>

43

41

    <refentrytitle>&COMMANDNAME;</refentrytitle>

44

42

    <manvolnum>8mandos</manvolnum>

47

45

  <refnamediv>

48

46

    <refname><command>&COMMANDNAME;</command></refname>

49

47

    <refpurpose>

50

 

      Client for <application>Mandos</application>

 

48

      Client for mandos

51

49

    </refpurpose>

52

50

  </refnamediv>

53

 

  

 

51

 

54

52

  <refsynopsisdiv>

55

53

    <cmdsynopsis>

56

54

      <command>&COMMANDNAME;</command>

115

113

      </group>

116

114

    </cmdsynopsis>

117

115

  </refsynopsisdiv>

118

 

  

 

116

 

119

117

  <refsect1 id="description">

120

118

    <title>DESCRIPTION</title>

121

119

    <para>

122

120

      <command>&COMMANDNAME;</command> is a client program that

123

121

      communicates with <citerefentry><refentrytitle

124

122

      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>

125

 

      to get a password.  In slightly more detail, this client program

126

 

      brings up a network interface, uses the interface’s IPv6

127

 

      link-local address to get network connectivity, uses Zeroconf to

128

 

      find servers on the local network, and communicates with servers

129

 

      using TLS with an OpenPGP key to ensure authenticity and

130

 

      confidentiality.  This client program keeps running, trying all

131

 

      servers on the network, until it receives a satisfactory reply

132

 

      or a TERM signal is received.  If no servers are found, or after

133

 

      all servers have been tried, it waits indefinitely for new

134

 

      servers to appear.

 

123

      to get a password.  It uses IPv6 link-local addresses to get

 

124

      network connectivity, Zeroconf to find servers, and TLS with an

 

125

      OpenPGP key to ensure authenticity and confidentiality.  It

 

126

      keeps running, trying all servers on the network, until it

 

127

      receives a satisfactory reply or a TERM signal is received.

135

128

    </para>

136

129

    <para>

137

130

      This program is not meant to be run directly; it is really meant

206

199

            specifies the interface to use to connect to the address

207

200

            given.

208

201

          </para>

209

 

          <para>

210

 

            Note that since this program will normally run in the

211

 

            initial RAM disk environment, the interface must be an

212

 

            interface which exists at that stage.  Thus, the interface

213

 

            can not be a pseudo-interface such as <quote>br0</quote>

214

 

            or <quote>tun0</quote>; such interfaces will not exist

215

 

            until much later in the boot process, and can not be used

216

 

            by this program.

217

 

          </para>

218

202

        </listitem>

219

203

      </varlistentry>

220

204

      

231

215

          </para>

232

216

        </listitem>

233

217

      </varlistentry>

234

 

      

 

218

 

235

219

      <varlistentry>

236

220

        <term><option>--seckey=<replaceable

237

221

        >FILE</replaceable></option></term>

254

238

                      xpointer="priority"/>

255

239

        </listitem>

256

240

      </varlistentry>

257

 

      

 

241

 

258

242

      <varlistentry>

259

243

        <term><option>--dh-bits=<replaceable

260

244

        >BITS</replaceable></option></term>

300

284

          </para>

301

285

        </listitem>

302

286

      </varlistentry>

303

 

      

 

287

 

304

288

      <varlistentry>

305

289

        <term><option>--version</option></term>

306

290

        <term><option>-V</option></term>

312

296

      </varlistentry>

313

297

    </variablelist>

314

298

  </refsect1>

315

 

  

 

299

 

316

300

  <refsect1 id="overview">

317

301

    <title>OVERVIEW</title>

318

302

    <xi:include href="../overview.xml"/>

327

311

      <filename>/etc/crypttab</filename>, but it would then be

328

312

      impossible to enter a password for the encrypted root disk at

329

313

      the console, since this program does not read from the console

330

 

      at all.  This is why a separate plugin runner (<citerefentry>

331

 

      <refentrytitle>plugin-runner</refentrytitle>

332

 

      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run

333

 

      both this program and others in in parallel,

334

 

      <emphasis>one</emphasis> of which will prompt for passwords on

335

 

      the system console.

 

314

      at all.  This is why a separate plugin (<citerefentry>

 

315

      <refentrytitle>password-prompt</refentrytitle>

 

316

      <manvolnum>8mandos</manvolnum></citerefentry>) does that, which

 

317

      will be run in parallel to this one by the plugin runner.

336

318

    </para>

337

319

  </refsect1>

338

320

  

345

327

      program will exit with a non-zero exit status only if a critical

346

328

      error occurs.  Otherwise, it will forever connect to new

347

329

      <application>Mandos</application> servers as they appear, trying

348

 

      to get a decryptable password and print it.

 

330

      to get a decryptable password.

349

331

    </para>

350

332

  </refsect1>

351

333

  

359

341

    </para>

360

342

  </refsect1>

361

343

  

362

 

  <refsect1 id="files">

 

344

  <refsect1 id="file">

363

345

    <title>FILES</title>

364

346

    <variablelist>

365

347

      <varlistentry>

384

366

<!--     <para> -->

385

367

<!--     </para> -->

386

368

<!--   </refsect1> -->

387

 

  

 

369

 

388

370

  <refsect1 id="example">

389

371

    <title>EXAMPLE</title>

390

372

    <para>

404

386

    </informalexample>

405

387

    <informalexample>

406

388

      <para>

407

 

        Search for Mandos servers (and connect to them) using another

408

 

        interface:

 

389

        Search for Mandos servers on another interface:

409

390

      </para>

410

391

      <para>

411

392

        <!-- do not wrap this line -->

439

420

      </para>

440

421

    </informalexample>

441

422

  </refsect1>

442

 

  

 

423

 

443

424

  <refsect1 id="security">

444

425

    <title>SECURITY</title>

445

426

    <para>

465

446

      The only remaining weak point is that someone with physical

466

447

      access to the client hard drive might turn off the client

467

448

      computer, read the OpenPGP keys directly from the hard drive,

468

 

      and communicate with the server.  To safeguard against this, the

469

 

      server is supposed to notice the client disappearing and stop

470

 

      giving out the encrypted data.  Therefore, it is important to

471

 

      set the timeout and checker interval values tightly on the

472

 

      server.  See <citerefentry><refentrytitle

 

449

      and communicate with the server.  The defense against this is

 

450

      that the server is supposed to notice the client disappearing

 

451

      and will stop giving out the encrypted data.  Therefore, it is

 

452

      important to set the timeout and checker interval values tightly

 

453

      on the server.  See <citerefentry><refentrytitle

473

454

      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.

474

455

    </para>

475

456

    <para>

486

467

      confidential.

487

468

    </para>

488

469

  </refsect1>

489

 

  

 

470

 

490

471

  <refsect1 id="see_also">

491

472

    <title>SEE ALSO</title>

492

473

    <para>

617

598

      </varlistentry>

618

599

    </variablelist>

619

600

  </refsect1>

 

601

 

620

602

</refentry>

621

 

 

622

603

<!-- Local Variables: -->

623

604

<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->

624

605

<!-- time-stamp-end: "[\"']>" -->

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.2.dev0