/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2012-06-13 22:06:57 UTC
  • mto: This revision was merged to the branch mainline in revision 596.
  • Revision ID: teddy@recompile.se-20120613220657-qvq7c7nrndl3t413
* plugins.d/mandos-client.c (get_flags): Don't clobber errno.
  (up_interface): Removed; replaced with "interface_is_up".
  (interface_is_up, interface_is_running,
   lower_privileges_permanently, take_down_interface): New.
  (bring_up_interface): Return "error_t".  Use new functions
                        "interface_is_up", "get_flags", and
                        "interface_is_running".
  (main): Save all interfaces either autodetected or specified with
          --interface in argz vector "interfaces".  Save interfaces to
          take down on exit in argz vector "interfaces_to_take_down".
          Save interface names for DEVICE variable to network hooks as
          argz_vector "interfaces_hooks".  Bug fix: Be privileged
          while stopping network hooks.
* plugins.d/mandos-client.xml (SYNOPSIS): Changed --interface synopsis.
  (DESCRIPTION): Updated to document use of all interfaces.
  (OPTIONS): Updated description of "--interface".
* network-hooks.d/bridge: Parse comma-separated DEVICE environment
                          variable.
* network-hooks.d/openvpn: - '' -
* network-hooks.d/wireless: - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/mandos-client.xml
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2018-02-08">
 
5
<!ENTITY TIMESTAMP "2012-06-13">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
 
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
37
      <holder>Teddy Hogeborn</holder>
46
38
      <holder>Björn Påhlsson</holder>
47
39
    </copyright>
104
96
      </arg>
105
97
      <sbr/>
106
98
      <arg>
107
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
108
 
      </arg>
109
 
      <sbr/>
110
 
      <arg>
111
99
        <option>--delay <replaceable>SECONDS</replaceable></option>
112
100
      </arg>
113
101
      <sbr/>
230
218
            assumed to separate the address from the port number.
231
219
          </para>
232
220
          <para>
233
 
            Normally, Zeroconf would be used to locate Mandos servers,
234
 
            in which case this option would only be used when testing
235
 
            and debugging.
 
221
            This option is normally only useful for testing and
 
222
            debugging.
236
223
          </para>
237
224
        </listitem>
238
225
      </varlistentry>
239
226
      
240
227
      <varlistentry>
241
228
        <term><option>--interface=<replaceable
242
 
        >NAME</replaceable><arg rep='repeat'>,<replaceable
243
 
        >NAME</replaceable></arg></option></term>
 
229
        >NAME</replaceable></option></term>
244
230
        <term><option>-i
245
 
        <replaceable>NAME</replaceable><arg rep='repeat'>,<replaceable
246
 
        >NAME</replaceable></arg></option></term>
 
231
        <replaceable>NAME</replaceable></option></term>
247
232
        <listitem>
248
233
          <para>
249
234
            Comma separated list of network interfaces that will be
252
237
            use all appropriate interfaces.
253
238
          </para>
254
239
          <para>
255
 
            If the <option>--connect</option> option is used, and
256
 
            exactly one interface name is specified (except
257
 
            <quote><literal>none</literal></quote>), this specifies
258
 
            the interface to use to connect to the address given.
 
240
            If the <option>--connect</option> option is used, this
 
241
            specifies the interface to use to connect to the address
 
242
            given.
259
243
          </para>
260
244
          <para>
261
245
            Note that since this program will normally run in the
270
254
          </para>
271
255
          <para>
272
256
            <replaceable>NAME</replaceable> can be the string
273
 
            <quote><literal>none</literal></quote>; this will make
274
 
            <command>&COMMANDNAME;</command> only bring up interfaces
275
 
            specified <emphasis>before</emphasis> this string.  This
276
 
            is not recommended, and only meant for advanced users.
 
257
            <quote><literal>none</literal></quote>; this will not use
 
258
            any specific interface, and will not bring up an interface
 
259
            on startup.  This is not recommended, and only meant for
 
260
            advanced users.
277
261
          </para>
278
262
        </listitem>
279
263
      </varlistentry>
321
305
        <listitem>
322
306
          <para>
323
307
            Sets the number of bits to use for the prime number in the
324
 
            TLS Diffie-Hellman key exchange.  The default value is
325
 
            selected automatically based on the OpenPGP key.  Note
326
 
            that if the <option>--dh-params</option> option is used,
327
 
            the values from that file will be used instead.
328
 
          </para>
329
 
        </listitem>
330
 
      </varlistentry>
331
 
      
332
 
      <varlistentry>
333
 
        <term><option>--dh-params=<replaceable
334
 
        >FILE</replaceable></option></term>
335
 
        <listitem>
336
 
          <para>
337
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
338
 
            needed by the TLS Diffie-Hellman key exchange from.  If
339
 
            this option is not given, or if the file for some reason
340
 
            could not be used, the parameters will be generated on
341
 
            startup, which will take some time and processing power.
342
 
            Those using servers running under time, power or processor
343
 
            constraints may want to generate such a file in advance
344
 
            and use this option.
 
308
            TLS Diffie-Hellman key exchange.  Default is 1024.
345
309
          </para>
346
310
        </listitem>
347
311
      </varlistentry>
474
438
  
475
439
  <refsect1 id="environment">
476
440
    <title>ENVIRONMENT</title>
477
 
    <variablelist>
478
 
      <varlistentry>
479
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
480
 
        <listitem>
481
 
          <para>
482
 
            This environment variable will be assumed to contain the
483
 
            directory containing any helper executables.  The use and
484
 
            nature of these helper executables, if any, is
485
 
            purposefully not documented.
486
 
        </para>
487
 
        </listitem>
488
 
      </varlistentry>
489
 
    </variablelist>
490
441
    <para>
491
 
      This program does not use any other environment variables, not
492
 
      even the ones provided by <citerefentry><refentrytitle
 
442
      This program does not use any environment variables, not even
 
443
      the ones provided by <citerefentry><refentrytitle
493
444
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
494
445
    </citerefentry>.
495
446
    </para>
557
508
              It is not necessary to print any non-executable files
558
509
              already in the network hook directory, these will be
559
510
              copied implicitly if they otherwise satisfy the name
560
 
              requirements.
 
511
              requirement.
561
512
            </para>
562
513
          </listitem>
563
514
        </varlistentry>
695
646
    </variablelist>
696
647
  </refsect1>
697
648
  
698
 
  <refsect1 id="bugs">
699
 
    <title>BUGS</title>
700
 
    <xi:include href="../bugs.xml"/>
701
 
  </refsect1>
 
649
<!--   <refsect1 id="bugs"> -->
 
650
<!--     <title>BUGS</title> -->
 
651
<!--     <para> -->
 
652
<!--     </para> -->
 
653
<!--   </refsect1> -->
702
654
  
703
655
  <refsect1 id="example">
704
656
    <title>EXAMPLE</title>
710
662
    </para>
711
663
    <informalexample>
712
664
      <para>
713
 
        Normal invocation needs no options, if the network interfaces
 
665
        Normal invocation needs no options, if the network interface
714
666
        can be automatically determined:
715
667
      </para>
716
668
      <para>
719
671
    </informalexample>
720
672
    <informalexample>
721
673
      <para>
722
 
        Search for Mandos servers (and connect to them) using one
723
 
        specific interface:
 
674
        Search for Mandos servers (and connect to them) using another
 
675
        interface:
724
676
      </para>
725
677
      <para>
726
678
        <!-- do not wrap this line -->
790
742
    <para>
791
743
      It will also help if the checker program on the server is
792
744
      configured to request something from the client which can not be
793
 
      spoofed by someone else on the network, like SSH server key
794
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
795
 
      echo (<quote>ping</quote>) replies.
 
745
      spoofed by someone else on the network, unlike unencrypted
 
746
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
796
747
    </para>
797
748
    <para>
798
749
      <emphasis>Note</emphasis>: This makes it completely insecure to
844
795
      </varlistentry>
845
796
      <varlistentry>
846
797
        <term>
847
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
798
          <ulink url="http://www.gnu.org/software/gnutls/"
 
799
          >GnuTLS</ulink>
848
800
        </term>
849
801
      <listitem>
850
802
        <para>
856
808
      </varlistentry>
857
809
      <varlistentry>
858
810
        <term>
859
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
811
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
860
812
                 >GPGME</ulink>
861
813
        </term>
862
814
        <listitem>
890
842
              <para>
891
843
                This client uses IPv6 link-local addresses, which are
892
844
                immediately usable since a link-local addresses is
893
 
                automatically assigned to a network interface when it
 
845
                automatically assigned to a network interfaces when it
894
846
                is brought up.
895
847
              </para>
896
848
            </listitem>
900
852
      </varlistentry>
901
853
      <varlistentry>
902
854
        <term>
903
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
904
 
          Protocol Version 1.2</citetitle>
 
855
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
856
          Protocol Version 1.1</citetitle>
905
857
        </term>
906
858
      <listitem>
907
859
        <para>
908
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
860
          TLS 1.1 is the protocol implemented by GnuTLS.
909
861
        </para>
910
862
      </listitem>
911
863
      </varlistentry>
922
874
      </varlistentry>
923
875
      <varlistentry>
924
876
        <term>
925
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
877
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
926
878
          Security</citetitle>
927
879
        </term>
928
880
      <listitem>