/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

• browse files at revision 595
• compare with another revision
• download diff
• download tarball
• view history from revision 595

• reverse the comparison (595 to 964)
• stop comparing with revision 964

Show diffs side-by-side

added

removed

mandos.xml

2

2

<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"

3

3

"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [

4

4

<!ENTITY COMMANDNAME "mandos">

5

 

<!ENTITY TIMESTAMP "2019-02-09">

 

5

<!ENTITY TIMESTAMP "2012-05-26">

6

6

<!ENTITY % common SYSTEM "common.ent">

7

7

%common;

8

8

]>

36

36

      <year>2010</year>

37

37

      <year>2011</year>

38

38

      <year>2012</year>

39

 

      <year>2013</year>

40

 

      <year>2014</year>

41

 

      <year>2015</year>

42

 

      <year>2016</year>

43

 

      <year>2017</year>

44

 

      <year>2018</year>

45

39

      <holder>Teddy Hogeborn</holder>

46

40

      <holder>Björn Påhlsson</holder>

47

41

    </copyright>

109

103

      <sbr/>

110

104

      <arg><option>--socket

111

105

      <replaceable>FD</replaceable></option></arg>

112

 

      <sbr/>

113

 

      <arg><option>--foreground</option></arg>

114

 

      <sbr/>

115

 

      <arg><option>--no-zeroconf</option></arg>

116

106

    </cmdsynopsis>

117

107

    <cmdsynopsis>

118

108

      <command>&COMMANDNAME;</command>

321

311

        </listitem>

322

312

      </varlistentry>

323

313

      

324

 

      <varlistentry>

325

 

        <term><option>--foreground</option></term>

326

 

        <listitem>

327

 

          <xi:include href="mandos-options.xml"

328

 

                      xpointer="foreground"/>

329

 

        </listitem>

330

 

      </varlistentry>

331

 

      

332

 

      <varlistentry>

333

 

        <term><option>--no-zeroconf</option></term>

334

 

        <listitem>

335

 

          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>

336

 

        </listitem>

337

 

      </varlistentry>

338

 

      

339

314

    </variablelist>

340

315

  </refsect1>

341

316

  

361

336

      start a TLS protocol handshake with a slight quirk: the Mandos

362

337

      server program acts as a TLS <quote>client</quote> while the

363

338

      connecting Mandos client acts as a TLS <quote>server</quote>.

364

 

      The Mandos client must supply a TLS public key, and the key ID

365

 

      of this public key is used by the Mandos server to look up (in a

366

 

      list read from <filename>clients.conf</filename> at start time)

367

 

      which binary blob to give the client.  No other authentication

368

 

      or authorization is done by the server.

 

339

      The Mandos client must supply an OpenPGP certificate, and the

 

340

      fingerprint of this certificate is used by the Mandos server to

 

341

      look up (in a list read from <filename>clients.conf</filename>

 

342

      at start time) which binary blob to give the client.  No other

 

343

      authentication or authorization is done by the server.

369

344

    </para>

370

345

    <table>

371

346

      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>

391

366

        </emphasis></entry>

392

367

      </row>

393

368

      <row>

394

 

        <entry>Public key (part of TLS handshake)</entry>

 

369

        <entry>OpenPGP public key (part of TLS handshake)</entry>

395

370

        <entry>-><!-- &rarr; --></entry>

396

371

      </row>

397

372

      <row>

531

506

        </listitem>

532

507

      </varlistentry>

533

508

      <varlistentry>

534

 

        <term><filename>/run/mandos.pid</filename></term>

 

509

        <term><filename>/var/run/mandos.pid</filename></term>

535

510

        <listitem>

536

511

          <para>

537

512

            The file containing the process id of the

538

513

            <command>&COMMANDNAME;</command> process started last.

539

 

            <emphasis >Note:</emphasis> If the <filename

540

 

            class="directory">/run</filename> directory does not

541

 

            exist, <filename>/var/run/mandos.pid</filename> will be

542

 

            used instead.

543

514

          </para>

544

515

        </listitem>

545

516

      </varlistentry>

546

517

      <varlistentry>

 

518

        <term><filename class="devicefile">/dev/log</filename></term>

 

519

      </varlistentry>

 

520

      <varlistentry>

547

521

        <term><filename

548

522

        class="directory">/var/lib/mandos</filename></term>

549

523

        <listitem>

555

529

        </listitem>

556

530

      </varlistentry>

557

531

      <varlistentry>

558

 

        <term><filename class="devicefile">/dev/log</filename></term>

 

532

        <term><filename>/dev/log</filename></term>

559

533

        <listitem>

560

534

          <para>

561

535

            The Unix domain socket to where local syslog messages are

586

560

    <para>

587

561

      There is no fine-grained control over logging and debug output.

588

562

    </para>

589

 

    <xi:include href="bugs.xml"/>

 

563

    <para>

 

564

      Debug mode is conflated with running in the foreground.

 

565

    </para>

 

566

    <para>

 

567

      This server does not check the expire time of clients’ OpenPGP

 

568

      keys.

 

569

    </para>

590

570

  </refsect1>

591

571

  

592

572

  <refsect1 id="example">

642

622

      <title>CLIENTS</title>

643

623

      <para>

644

624

        The server only gives out its stored data to clients which

645

 

        does have the correct key ID of the stored key ID.  This is

646

 

        guaranteed by the fact that the client sends its public key in

647

 

        the TLS handshake; this ensures it to be genuine.  The server

648

 

        computes the key ID of the key itself and looks up the key ID

649

 

        in its list of clients. The <filename>clients.conf</filename>

650

 

        file (see

 

625

        does have the OpenPGP key of the stored fingerprint.  This is

 

626

        guaranteed by the fact that the client sends its OpenPGP

 

627

        public key in the TLS handshake; this ensures it to be

 

628

        genuine.  The server computes the fingerprint of the key

 

629

        itself and looks up the fingerprint in its list of

 

630

        clients. The <filename>clients.conf</filename> file (see

651

631

        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>

652

632

        <manvolnum>5</manvolnum></citerefentry>)

653

633

        <emphasis>must</emphasis> be made non-readable by anyone

705

685

      </varlistentry>

706

686

      <varlistentry>

707

687

        <term>

708

 

          <ulink url="https://gnutls.org/">GnuTLS</ulink>

 

688

          <ulink url="http://www.gnu.org/software/gnutls/"

 

689

          >GnuTLS</ulink>

709

690

        </term>

710

691

      <listitem>

711

692

        <para>

712

693

          GnuTLS is the library this server uses to implement TLS for

713

694

          communicating securely with the client, and at the same time

714

 

          confidently get the client’s public key.

 

695

          confidently get the client’s public OpenPGP key.

715

696

        </para>

716

697

      </listitem>

717

698

      </varlistentry>

749

730

      </varlistentry>

750

731

      <varlistentry>

751

732

        <term>

752

 

          RFC 5246: <citetitle>The Transport Layer Security (TLS)

753

 

          Protocol Version 1.2</citetitle>

 

733

          RFC 4346: <citetitle>The Transport Layer Security (TLS)

 

734

          Protocol Version 1.1</citetitle>

754

735

        </term>

755

736

      <listitem>

756

737

        <para>

757

 

          TLS 1.2 is the protocol implemented by GnuTLS.

 

738

          TLS 1.1 is the protocol implemented by GnuTLS.

758

739

        </para>

759

740

      </listitem>

760

741

      </varlistentry>

770

751

      </varlistentry>

771

752

      <varlistentry>

772

753

        <term>

773

 

          RFC 7250: <citetitle>Using Raw Public Keys in Transport

774

 

          Layer Security (TLS) and Datagram Transport Layer Security

775

 

          (DTLS)</citetitle>

776

 

        </term>

777

 

      <listitem>

778

 

        <para>

779

 

          This is implemented by GnuTLS version 3.6.6 and is, if

780

 

          present, used by this server so that raw public keys can be

781

 

          used.

782

 

        </para>

783

 

      </listitem>

784

 

      </varlistentry>

785

 

      <varlistentry>

786

 

        <term>

787

 

          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer

788

 

          Security (TLS) Authentication</citetitle>

789

 

        </term>

790

 

      <listitem>

791

 

        <para>

792

 

          This is implemented by GnuTLS before version 3.6.0 and is,

793

 

          if present, used by this server so that OpenPGP keys can be

794

 

          used.

 

754

          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer

 

755

          Security</citetitle>

 

756

        </term>

 

757

      <listitem>

 

758

        <para>

 

759

          This is implemented by GnuTLS and used by this server so

 

760

          that OpenPGP keys can be used.

795

761

        </para>

796

762

      </listitem>

797

763

      </varlistentry>

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.2.dev0