/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2012-06-13 22:06:57 UTC
  • mto: This revision was merged to the branch mainline in revision 596.
  • Revision ID: teddy@recompile.se-20120613220657-qvq7c7nrndl3t413
* plugins.d/mandos-client.c (get_flags): Don't clobber errno.
  (up_interface): Removed; replaced with "interface_is_up".
  (interface_is_up, interface_is_running,
   lower_privileges_permanently, take_down_interface): New.
  (bring_up_interface): Return "error_t".  Use new functions
                        "interface_is_up", "get_flags", and
                        "interface_is_running".
  (main): Save all interfaces either autodetected or specified with
          --interface in argz vector "interfaces".  Save interfaces to
          take down on exit in argz vector "interfaces_to_take_down".
          Save interface names for DEVICE variable to network hooks as
          argz_vector "interfaces_hooks".  Bug fix: Be privileged
          while stopping network hooks.
* plugins.d/mandos-client.xml (SYNOPSIS): Changed --interface synopsis.
  (DESCRIPTION): Updated to document use of all interfaces.
  (OPTIONS): Updated description of "--interface".
* network-hooks.d/bridge: Parse comma-separated DEVICE environment
                          variable.
* network-hooks.d/openvpn: - '' -
* network-hooks.d/wireless: - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/mandos-client.xml
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2017-02-23">
 
5
<!ENTITY TIMESTAMP "2012-06-13">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
 
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
37
      <holder>Teddy Hogeborn</holder>
45
38
      <holder>Björn Påhlsson</holder>
46
39
    </copyright>
103
96
      </arg>
104
97
      <sbr/>
105
98
      <arg>
106
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
107
 
      </arg>
108
 
      <sbr/>
109
 
      <arg>
110
99
        <option>--delay <replaceable>SECONDS</replaceable></option>
111
100
      </arg>
112
101
      <sbr/>
229
218
            assumed to separate the address from the port number.
230
219
          </para>
231
220
          <para>
232
 
            Normally, Zeroconf would be used to locate Mandos servers,
233
 
            in which case this option would only be used when testing
234
 
            and debugging.
 
221
            This option is normally only useful for testing and
 
222
            debugging.
235
223
          </para>
236
224
        </listitem>
237
225
      </varlistentry>
238
226
      
239
227
      <varlistentry>
240
228
        <term><option>--interface=<replaceable
241
 
        >NAME</replaceable><arg rep='repeat'>,<replaceable
242
 
        >NAME</replaceable></arg></option></term>
 
229
        >NAME</replaceable></option></term>
243
230
        <term><option>-i
244
 
        <replaceable>NAME</replaceable><arg rep='repeat'>,<replaceable
245
 
        >NAME</replaceable></arg></option></term>
 
231
        <replaceable>NAME</replaceable></option></term>
246
232
        <listitem>
247
233
          <para>
248
234
            Comma separated list of network interfaces that will be
251
237
            use all appropriate interfaces.
252
238
          </para>
253
239
          <para>
254
 
            If the <option>--connect</option> option is used, and
255
 
            exactly one interface name is specified (except
256
 
            <quote><literal>none</literal></quote>), this specifies
257
 
            the interface to use to connect to the address given.
 
240
            If the <option>--connect</option> option is used, this
 
241
            specifies the interface to use to connect to the address
 
242
            given.
258
243
          </para>
259
244
          <para>
260
245
            Note that since this program will normally run in the
269
254
          </para>
270
255
          <para>
271
256
            <replaceable>NAME</replaceable> can be the string
272
 
            <quote><literal>none</literal></quote>; this will make
273
 
            <command>&COMMANDNAME;</command> only bring up interfaces
274
 
            specified <emphasis>before</emphasis> this string.  This
275
 
            is not recommended, and only meant for advanced users.
 
257
            <quote><literal>none</literal></quote>; this will not use
 
258
            any specific interface, and will not bring up an interface
 
259
            on startup.  This is not recommended, and only meant for
 
260
            advanced users.
276
261
          </para>
277
262
        </listitem>
278
263
      </varlistentry>
320
305
        <listitem>
321
306
          <para>
322
307
            Sets the number of bits to use for the prime number in the
323
 
            TLS Diffie-Hellman key exchange.  The default value is
324
 
            selected automatically based on the OpenPGP key.  Note
325
 
            that if the <option>--dh-params</option> option is used,
326
 
            the values from that file will be used instead.
327
 
          </para>
328
 
        </listitem>
329
 
      </varlistentry>
330
 
      
331
 
      <varlistentry>
332
 
        <term><option>--dh-params=<replaceable
333
 
        >FILE</replaceable></option></term>
334
 
        <listitem>
335
 
          <para>
336
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
337
 
            needed by the TLS Diffie-Hellman key exchange from.  If
338
 
            this option is not given, or if the file for some reason
339
 
            could not be used, the parameters will be generated on
340
 
            startup, which will take some time and processing power.
341
 
            Those using servers running under time, power or processor
342
 
            constraints may want to generate such a file in advance
343
 
            and use this option.
 
308
            TLS Diffie-Hellman key exchange.  Default is 1024.
344
309
          </para>
345
310
        </listitem>
346
311
      </varlistentry>
473
438
  
474
439
  <refsect1 id="environment">
475
440
    <title>ENVIRONMENT</title>
476
 
    <variablelist>
477
 
      <varlistentry>
478
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
479
 
        <listitem>
480
 
          <para>
481
 
            This environment variable will be assumed to contain the
482
 
            directory containing any helper executables.  The use and
483
 
            nature of these helper executables, if any, is
484
 
            purposefully not documented.
485
 
        </para>
486
 
        </listitem>
487
 
      </varlistentry>
488
 
    </variablelist>
489
441
    <para>
490
 
      This program does not use any other environment variables, not
491
 
      even the ones provided by <citerefentry><refentrytitle
 
442
      This program does not use any environment variables, not even
 
443
      the ones provided by <citerefentry><refentrytitle
492
444
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
493
445
    </citerefentry>.
494
446
    </para>
556
508
              It is not necessary to print any non-executable files
557
509
              already in the network hook directory, these will be
558
510
              copied implicitly if they otherwise satisfy the name
559
 
              requirements.
 
511
              requirement.
560
512
            </para>
561
513
          </listitem>
562
514
        </varlistentry>
694
646
    </variablelist>
695
647
  </refsect1>
696
648
  
697
 
  <refsect1 id="bugs">
698
 
    <title>BUGS</title>
699
 
    <xi:include href="../bugs.xml"/>
700
 
  </refsect1>
 
649
<!--   <refsect1 id="bugs"> -->
 
650
<!--     <title>BUGS</title> -->
 
651
<!--     <para> -->
 
652
<!--     </para> -->
 
653
<!--   </refsect1> -->
701
654
  
702
655
  <refsect1 id="example">
703
656
    <title>EXAMPLE</title>
709
662
    </para>
710
663
    <informalexample>
711
664
      <para>
712
 
        Normal invocation needs no options, if the network interfaces
 
665
        Normal invocation needs no options, if the network interface
713
666
        can be automatically determined:
714
667
      </para>
715
668
      <para>
718
671
    </informalexample>
719
672
    <informalexample>
720
673
      <para>
721
 
        Search for Mandos servers (and connect to them) using one
722
 
        specific interface:
 
674
        Search for Mandos servers (and connect to them) using another
 
675
        interface:
723
676
      </para>
724
677
      <para>
725
678
        <!-- do not wrap this line -->
789
742
    <para>
790
743
      It will also help if the checker program on the server is
791
744
      configured to request something from the client which can not be
792
 
      spoofed by someone else on the network, like SSH server key
793
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
794
 
      echo (<quote>ping</quote>) replies.
 
745
      spoofed by someone else on the network, unlike unencrypted
 
746
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
795
747
    </para>
796
748
    <para>
797
749
      <emphasis>Note</emphasis>: This makes it completely insecure to
843
795
      </varlistentry>
844
796
      <varlistentry>
845
797
        <term>
846
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
798
          <ulink url="http://www.gnu.org/software/gnutls/"
 
799
          >GnuTLS</ulink>
847
800
        </term>
848
801
      <listitem>
849
802
        <para>
855
808
      </varlistentry>
856
809
      <varlistentry>
857
810
        <term>
858
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
811
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
859
812
                 >GPGME</ulink>
860
813
        </term>
861
814
        <listitem>
889
842
              <para>
890
843
                This client uses IPv6 link-local addresses, which are
891
844
                immediately usable since a link-local addresses is
892
 
                automatically assigned to a network interface when it
 
845
                automatically assigned to a network interfaces when it
893
846
                is brought up.
894
847
              </para>
895
848
            </listitem>
899
852
      </varlistentry>
900
853
      <varlistentry>
901
854
        <term>
902
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
903
 
          Protocol Version 1.2</citetitle>
 
855
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
856
          Protocol Version 1.1</citetitle>
904
857
        </term>
905
858
      <listitem>
906
859
        <para>
907
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
860
          TLS 1.1 is the protocol implemented by GnuTLS.
908
861
        </para>
909
862
      </listitem>
910
863
      </varlistentry>
921
874
      </varlistentry>
922
875
      <varlistentry>
923
876
        <term>
924
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
877
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
925
878
          Security</citetitle>
926
879
        </term>
927
880
      <listitem>