/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

  • Committer: Teddy Hogeborn
  • Date: 2013-10-20 21:04:35 UTC
  • Revision ID: teddy@recompile.se-20131020210435-jc94ovr5i4sve16r
* Makefile (install-client-nokey): Install "mandos-change-keytype".
  (uninstall-client): Uninstall "mandos-change-keytype".
* mandos (priority): Changed back default GnuTLS priority string to
                     "SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP".
* mandos-change-keytype: New script which, assuming the Mandos server
                         is responding, will generate a new key with
                         the new mandos-keygen default parameters
                         (currently 4096-bit RSA), and output a
                         replacement section for clients.conf on the
                         Mandos server.
* mandos-keygen: Bug fix: output password prompt even when redirecting
                 stdout.
* mandos-options.xml (priority): Document new default value.
* mandos.conf (priority): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos">
5
 
<!ENTITY TIMESTAMP "2010-09-26">
 
5
<!ENTITY TIMESTAMP "2013-10-20">
6
6
<!ENTITY % common SYSTEM "common.ent">
7
7
%common;
8
8
]>
19
19
        <firstname>Björn</firstname>
20
20
        <surname>Påhlsson</surname>
21
21
        <address>
22
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
23
23
        </address>
24
24
      </author>
25
25
      <author>
26
26
        <firstname>Teddy</firstname>
27
27
        <surname>Hogeborn</surname>
28
28
        <address>
29
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
30
30
        </address>
31
31
      </author>
32
32
    </authorgroup>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
37
40
      <holder>Teddy Hogeborn</holder>
38
41
      <holder>Björn Påhlsson</holder>
39
42
    </copyright>
87
90
      <sbr/>
88
91
      <arg><option>--debug</option></arg>
89
92
      <sbr/>
 
93
      <arg><option>--debuglevel
 
94
      <replaceable>LEVEL</replaceable></option></arg>
 
95
      <sbr/>
90
96
      <arg><option>--no-dbus</option></arg>
91
97
      <sbr/>
92
98
      <arg><option>--no-ipv6</option></arg>
 
99
      <sbr/>
 
100
      <arg><option>--no-restore</option></arg>
 
101
      <sbr/>
 
102
      <arg><option>--statedir
 
103
      <replaceable>DIRECTORY</replaceable></option></arg>
 
104
      <sbr/>
 
105
      <arg><option>--socket
 
106
      <replaceable>FD</replaceable></option></arg>
 
107
      <sbr/>
 
108
      <arg><option>--foreground</option></arg>
93
109
    </cmdsynopsis>
94
110
    <cmdsynopsis>
95
111
      <command>&COMMANDNAME;</command>
113
129
    <para>
114
130
      <command>&COMMANDNAME;</command> is a server daemon which
115
131
      handles incoming request for passwords for a pre-defined list of
116
 
      client host computers.  The Mandos server uses Zeroconf to
117
 
      announce itself on the local network, and uses TLS to
118
 
      communicate securely with and to authenticate the clients.  The
119
 
      Mandos server uses IPv6 to allow Mandos clients to use IPv6
120
 
      link-local addresses, since the clients will probably not have
121
 
      any other addresses configured (see <xref linkend="overview"/>).
122
 
      Any authenticated client is then given the stored pre-encrypted
123
 
      password for that specific client.
 
132
      client host computers. For an introduction, see
 
133
      <citerefentry><refentrytitle>intro</refentrytitle>
 
134
      <manvolnum>8mandos</manvolnum></citerefentry>. The Mandos server
 
135
      uses Zeroconf to announce itself on the local network, and uses
 
136
      TLS to communicate securely with and to authenticate the
 
137
      clients.  The Mandos server uses IPv6 to allow Mandos clients to
 
138
      use IPv6 link-local addresses, since the clients will probably
 
139
      not have any other addresses configured (see <xref
 
140
      linkend="overview"/>).  Any authenticated client is then given
 
141
      the stored pre-encrypted password for that specific client.
124
142
    </para>
125
143
  </refsect1>
126
144
  
195
213
      </varlistentry>
196
214
      
197
215
      <varlistentry>
 
216
        <term><option>--debuglevel
 
217
        <replaceable>LEVEL</replaceable></option></term>
 
218
        <listitem>
 
219
          <para>
 
220
            Set the debugging log level.
 
221
            <replaceable>LEVEL</replaceable> is a string, one of
 
222
            <quote><literal>CRITICAL</literal></quote>,
 
223
            <quote><literal>ERROR</literal></quote>,
 
224
            <quote><literal>WARNING</literal></quote>,
 
225
            <quote><literal>INFO</literal></quote>, or
 
226
            <quote><literal>DEBUG</literal></quote>, in order of
 
227
            increasing verbosity.  The default level is
 
228
            <quote><literal>WARNING</literal></quote>.
 
229
          </para>
 
230
        </listitem>
 
231
      </varlistentry>
 
232
      
 
233
      <varlistentry>
198
234
        <term><option>--priority <replaceable>
199
235
        PRIORITY</replaceable></option></term>
200
236
        <listitem>
251
287
          <xi:include href="mandos-options.xml" xpointer="ipv6"/>
252
288
        </listitem>
253
289
      </varlistentry>
 
290
      
 
291
      <varlistentry>
 
292
        <term><option>--no-restore</option></term>
 
293
        <listitem>
 
294
          <xi:include href="mandos-options.xml" xpointer="restore"/>
 
295
          <para>
 
296
            See also <xref linkend="persistent_state"/>.
 
297
          </para>
 
298
        </listitem>
 
299
      </varlistentry>
 
300
      
 
301
      <varlistentry>
 
302
        <term><option>--statedir
 
303
        <replaceable>DIRECTORY</replaceable></option></term>
 
304
        <listitem>
 
305
          <xi:include href="mandos-options.xml" xpointer="statedir"/>
 
306
        </listitem>
 
307
      </varlistentry>
 
308
      
 
309
      <varlistentry>
 
310
        <term><option>--socket
 
311
        <replaceable>FD</replaceable></option></term>
 
312
        <listitem>
 
313
          <xi:include href="mandos-options.xml" xpointer="socket"/>
 
314
        </listitem>
 
315
      </varlistentry>
 
316
      
 
317
      <varlistentry>
 
318
        <term><option>--foreground</option></term>
 
319
        <listitem>
 
320
          <xi:include href="mandos-options.xml"
 
321
                      xpointer="foreground"/>
 
322
        </listitem>
 
323
      </varlistentry>
 
324
      
254
325
    </variablelist>
255
326
  </refsect1>
256
327
  
330
401
      for some time, the client is assumed to be compromised and is no
331
402
      longer eligible to receive the encrypted password.  (Manual
332
403
      intervention is required to re-enable a client.)  The timeout,
333
 
      checker program, and interval between checks can be configured
334
 
      both globally and per client; see <citerefentry>
335
 
      <refentrytitle>mandos-clients.conf</refentrytitle>
336
 
      <manvolnum>5</manvolnum></citerefentry>.  A client successfully
337
 
      receiving its password will also be treated as a successful
338
 
      checker run.
 
404
      extended timeout, checker program, and interval between checks
 
405
      can be configured both globally and per client; see
 
406
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
407
      <manvolnum>5</manvolnum></citerefentry>.
339
408
    </para>
340
409
  </refsect1>
341
410
  
363
432
    <title>LOGGING</title>
364
433
    <para>
365
434
      The server will send log message with various severity levels to
366
 
      <filename>/dev/log</filename>.  With the
 
435
      <filename class="devicefile">/dev/log</filename>.  With the
367
436
      <option>--debug</option> option, it will log even more messages,
368
437
      and also show them on the console.
369
438
    </para>
370
439
  </refsect1>
371
440
  
 
441
  <refsect1 id="persistent_state">
 
442
    <title>PERSISTENT STATE</title>
 
443
    <para>
 
444
      Client settings, initially read from
 
445
      <filename>clients.conf</filename>, are persistent across
 
446
      restarts, and run-time changes will override settings in
 
447
      <filename>clients.conf</filename>.  However, if a setting is
 
448
      <emphasis>changed</emphasis> (or a client added, or removed) in
 
449
      <filename>clients.conf</filename>, this will take precedence.
 
450
    </para>
 
451
  </refsect1>
 
452
  
372
453
  <refsect1 id="dbus_interface">
373
454
    <title>D-BUS INTERFACE</title>
374
455
    <para>
436
517
        </listitem>
437
518
      </varlistentry>
438
519
      <varlistentry>
439
 
        <term><filename>/var/run/mandos.pid</filename></term>
 
520
        <term><filename>/run/mandos.pid</filename></term>
440
521
        <listitem>
441
522
          <para>
442
523
            The file containing the process id of the
445
526
        </listitem>
446
527
      </varlistentry>
447
528
      <varlistentry>
 
529
        <term><filename class="devicefile">/dev/log</filename></term>
 
530
      </varlistentry>
 
531
      <varlistentry>
 
532
        <term><filename
 
533
        class="directory">/var/lib/mandos</filename></term>
 
534
        <listitem>
 
535
          <para>
 
536
            Directory where persistent state will be saved.  Change
 
537
            this with the <option>--statedir</option> option.  See
 
538
            also the <option>--no-restore</option> option.
 
539
          </para>
 
540
        </listitem>
 
541
      </varlistentry>
 
542
      <varlistentry>
448
543
        <term><filename>/dev/log</filename></term>
449
544
        <listitem>
450
545
          <para>
474
569
      backtrace.  This could be considered a feature.
475
570
    </para>
476
571
    <para>
477
 
      Currently, if a client is disabled due to having timed out, the
478
 
      server does not record this fact onto permanent storage.  This
479
 
      has some security implications, see <xref linkend="clients"/>.
480
 
    </para>
481
 
    <para>
482
572
      There is no fine-grained control over logging and debug output.
483
573
    </para>
484
574
    <para>
485
 
      Debug mode is conflated with running in the foreground.
486
 
    </para>
487
 
    <para>
488
 
      The console log messages do not show a time stamp.
489
 
    </para>
490
 
    <para>
491
575
      This server does not check the expire time of clients’ OpenPGP
492
576
      keys.
493
577
    </para>
506
590
    <informalexample>
507
591
      <para>
508
592
        Run the server in debug mode, read configuration files from
509
 
        the <filename>~/mandos</filename> directory, and use the
510
 
        Zeroconf service name <quote>Test</quote> to not collide with
511
 
        any other official Mandos server on this host:
 
593
        the <filename class="directory">~/mandos</filename> directory,
 
594
        and use the Zeroconf service name <quote>Test</quote> to not
 
595
        collide with any other official Mandos server on this host:
512
596
      </para>
513
597
      <para>
514
598
 
563
647
        compromised if they are gone for too long.
564
648
      </para>
565
649
      <para>
566
 
        If a client is compromised, its downtime should be duly noted
567
 
        by the server which would therefore disable the client.  But
568
 
        if the server was ever restarted, it would re-read its client
569
 
        list from its configuration file and again regard all clients
570
 
        therein as enabled, and hence eligible to receive their
571
 
        passwords.  Therefore, be careful when restarting servers if
572
 
        it is suspected that a client has, in fact, been compromised
573
 
        by parties who may now be running a fake Mandos client with
574
 
        the keys from the non-encrypted initial <acronym>RAM</acronym>
575
 
        image of the client host.  What should be done in that case
576
 
        (if restarting the server program really is necessary) is to
577
 
        stop the server program, edit the configuration file to omit
578
 
        any suspect clients, and restart the server program.
579
 
      </para>
580
 
      <para>
581
650
        For more details on client-side security, see
582
651
        <citerefentry><refentrytitle>mandos-client</refentrytitle>
583
652
        <manvolnum>8mandos</manvolnum></citerefentry>.
588
657
  <refsect1 id="see_also">
589
658
    <title>SEE ALSO</title>
590
659
    <para>
591
 
      <citerefentry>
592
 
        <refentrytitle>mandos-clients.conf</refentrytitle>
593
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
594
 
        <refentrytitle>mandos.conf</refentrytitle>
595
 
        <manvolnum>5</manvolnum></citerefentry>, <citerefentry>
596
 
        <refentrytitle>mandos-client</refentrytitle>
597
 
        <manvolnum>8mandos</manvolnum></citerefentry>, <citerefentry>
598
 
        <refentrytitle>sh</refentrytitle><manvolnum>1</manvolnum>
599
 
      </citerefentry>
 
660
      <citerefentry><refentrytitle>intro</refentrytitle>
 
661
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
662
      <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>
 
663
      <manvolnum>5</manvolnum></citerefentry>,
 
664
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
 
665
      <manvolnum>5</manvolnum></citerefentry>,
 
666
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
667
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
668
      <citerefentry><refentrytitle>sh</refentrytitle>
 
669
      <manvolnum>1</manvolnum></citerefentry>
600
670
    </para>
601
671
    <variablelist>
602
672
      <varlistentry>