/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Björn Påhlsson
  • Date: 2011-11-24 19:09:29 UTC
  • mto: (518.2.5 persistent-state-gpgme)
  • mto: This revision was merged to the branch mainline in revision 524.
  • Revision ID: belorn@fukt.bsnet.se-20111124190929-9gmyfy7tyzuztjzx
restructured logger
added documentation about NewRequest dbus signal

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2011-11-26">
 
5
<!ENTITY TIMESTAMP "2011-10-22">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
96
96
      <arg><option>--no-ipv6</option></arg>
97
97
      <sbr/>
98
98
      <arg><option>--no-restore</option></arg>
99
 
      <sbr/>
100
 
      <arg><option>--statedir
101
 
      <replaceable>DIRECTORY</replaceable></option></arg>
102
99
    </cmdsynopsis>
103
100
    <cmdsynopsis>
104
101
      <command>&COMMANDNAME;</command>
287
284
          <xi:include href="mandos-options.xml" xpointer="restore"/>
288
285
        </listitem>
289
286
      </varlistentry>
290
 
      
291
 
      <varlistentry>
292
 
        <term><option>--statedir
293
 
        <replaceable>DIRECTORY</replaceable></option></term>
294
 
        <listitem>
295
 
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
296
 
        </listitem>
297
 
      </varlistentry>
298
287
    </variablelist>
299
288
  </refsect1>
300
289
  
489
478
        </listitem>
490
479
      </varlistentry>
491
480
      <varlistentry>
492
 
        <term><filename
493
 
        class="directory">/var/lib/mandos</filename></term>
494
 
        <listitem>
495
 
          <para>
496
 
            Directory where persistent state will be saved.  Change
497
 
            this with the <option>--statedir</option> option.  See
498
 
            also the <option>--no-restore</option> option.
499
 
          </para>
500
 
        </listitem>
501
 
      </varlistentry>
502
 
      <varlistentry>
503
481
        <term><filename>/dev/log</filename></term>
504
482
        <listitem>
505
483
          <para>
529
507
      backtrace.  This could be considered a feature.
530
508
    </para>
531
509
    <para>
 
510
      Currently, if a client is disabled due to having timed out, the
 
511
      server does not record this fact onto permanent storage.  This
 
512
      has some security implications, see <xref linkend="clients"/>.
 
513
    </para>
 
514
    <para>
532
515
      There is no fine-grained control over logging and debug output.
533
516
    </para>
534
517
    <para>
553
536
    <informalexample>
554
537
      <para>
555
538
        Run the server in debug mode, read configuration files from
556
 
        the <filename class="directory">~/mandos</filename> directory,
557
 
        and use the Zeroconf service name <quote>Test</quote> to not
558
 
        collide with any other official Mandos server on this host:
 
539
        the <filename>~/mandos</filename> directory, and use the
 
540
        Zeroconf service name <quote>Test</quote> to not collide with
 
541
        any other official Mandos server on this host:
559
542
      </para>
560
543
      <para>
561
544
 
610
593
        compromised if they are gone for too long.
611
594
      </para>
612
595
      <para>
 
596
        If a client is compromised, its downtime should be duly noted
 
597
        by the server which would therefore disable the client.  But
 
598
        if the server was ever restarted, it would re-read its client
 
599
        list from its configuration file and again regard all clients
 
600
        therein as enabled, and hence eligible to receive their
 
601
        passwords.  Therefore, be careful when restarting servers if
 
602
        it is suspected that a client has, in fact, been compromised
 
603
        by parties who may now be running a fake Mandos client with
 
604
        the keys from the non-encrypted initial <acronym>RAM</acronym>
 
605
        image of the client host.  What should be done in that case
 
606
        (if restarting the server program really is necessary) is to
 
607
        stop the server program, edit the configuration file to omit
 
608
        any suspect clients, and restart the server program.
 
609
      </para>
 
610
      <para>
613
611
        For more details on client-side security, see
614
612
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
615
613
        <manvolnum>8mandos</manvolnum></citerefentry>.