/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2013-10-22 19:46:35 UTC
  • Revision ID: teddy@recompile.se-20131022194635-ll6jyg1snrxwe94o
* TODO

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2018-02-08">
 
5
<!ENTITY TIMESTAMP "2013-10-20">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
37
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
38
      <holder>Teddy Hogeborn</holder>
46
39
      <holder>Björn Påhlsson</holder>
47
40
    </copyright>
104
97
      </arg>
105
98
      <sbr/>
106
99
      <arg>
107
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
108
 
      </arg>
109
 
      <sbr/>
110
 
      <arg>
111
100
        <option>--delay <replaceable>SECONDS</replaceable></option>
112
101
      </arg>
113
102
      <sbr/>
230
219
            assumed to separate the address from the port number.
231
220
          </para>
232
221
          <para>
233
 
            Normally, Zeroconf would be used to locate Mandos servers,
234
 
            in which case this option would only be used when testing
235
 
            and debugging.
 
222
            This option is normally only useful for testing and
 
223
            debugging.
236
224
          </para>
237
225
        </listitem>
238
226
      </varlistentry>
271
259
          <para>
272
260
            <replaceable>NAME</replaceable> can be the string
273
261
            <quote><literal>none</literal></quote>; this will make
274
 
            <command>&COMMANDNAME;</command> only bring up interfaces
275
 
            specified <emphasis>before</emphasis> this string.  This
276
 
            is not recommended, and only meant for advanced users.
 
262
            <command>&COMMANDNAME;</command> not bring up
 
263
            <emphasis>any</emphasis> interfaces specified
 
264
            <emphasis>after</emphasis> this string.  This is not
 
265
            recommended, and only meant for advanced users.
277
266
          </para>
278
267
        </listitem>
279
268
      </varlistentry>
321
310
        <listitem>
322
311
          <para>
323
312
            Sets the number of bits to use for the prime number in the
324
 
            TLS Diffie-Hellman key exchange.  The default value is
325
 
            selected automatically based on the OpenPGP key.  Note
326
 
            that if the <option>--dh-params</option> option is used,
327
 
            the values from that file will be used instead.
328
 
          </para>
329
 
        </listitem>
330
 
      </varlistentry>
331
 
      
332
 
      <varlistentry>
333
 
        <term><option>--dh-params=<replaceable
334
 
        >FILE</replaceable></option></term>
335
 
        <listitem>
336
 
          <para>
337
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
338
 
            needed by the TLS Diffie-Hellman key exchange from.  If
339
 
            this option is not given, or if the file for some reason
340
 
            could not be used, the parameters will be generated on
341
 
            startup, which will take some time and processing power.
342
 
            Those using servers running under time, power or processor
343
 
            constraints may want to generate such a file in advance
344
 
            and use this option.
 
313
            TLS Diffie-Hellman key exchange.  Default is 1024.
345
314
          </para>
346
315
        </listitem>
347
316
      </varlistentry>
474
443
  
475
444
  <refsect1 id="environment">
476
445
    <title>ENVIRONMENT</title>
477
 
    <variablelist>
478
 
      <varlistentry>
479
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
480
 
        <listitem>
481
 
          <para>
482
 
            This environment variable will be assumed to contain the
483
 
            directory containing any helper executables.  The use and
484
 
            nature of these helper executables, if any, is
485
 
            purposefully not documented.
486
 
        </para>
487
 
        </listitem>
488
 
      </varlistentry>
489
 
    </variablelist>
490
446
    <para>
491
 
      This program does not use any other environment variables, not
492
 
      even the ones provided by <citerefentry><refentrytitle
 
447
      This program does not use any environment variables, not even
 
448
      the ones provided by <citerefentry><refentrytitle
493
449
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
494
450
    </citerefentry>.
495
451
    </para>
695
651
    </variablelist>
696
652
  </refsect1>
697
653
  
698
 
  <refsect1 id="bugs">
699
 
    <title>BUGS</title>
700
 
    <xi:include href="../bugs.xml"/>
701
 
  </refsect1>
 
654
<!--   <refsect1 id="bugs"> -->
 
655
<!--     <title>BUGS</title> -->
 
656
<!--     <para> -->
 
657
<!--     </para> -->
 
658
<!--   </refsect1> -->
702
659
  
703
660
  <refsect1 id="example">
704
661
    <title>EXAMPLE</title>
790
747
    <para>
791
748
      It will also help if the checker program on the server is
792
749
      configured to request something from the client which can not be
793
 
      spoofed by someone else on the network, like SSH server key
794
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
795
 
      echo (<quote>ping</quote>) replies.
 
750
      spoofed by someone else on the network, unlike unencrypted
 
751
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
796
752
    </para>
797
753
    <para>
798
754
      <emphasis>Note</emphasis>: This makes it completely insecure to
844
800
      </varlistentry>
845
801
      <varlistentry>
846
802
        <term>
847
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
803
          <ulink url="http://www.gnu.org/software/gnutls/"
 
804
          >GnuTLS</ulink>
848
805
        </term>
849
806
      <listitem>
850
807
        <para>
856
813
      </varlistentry>
857
814
      <varlistentry>
858
815
        <term>
859
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
816
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
860
817
                 >GPGME</ulink>
861
818
        </term>
862
819
        <listitem>
900
857
      </varlistentry>
901
858
      <varlistentry>
902
859
        <term>
903
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
904
 
          Protocol Version 1.2</citetitle>
 
860
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
861
          Protocol Version 1.1</citetitle>
905
862
        </term>
906
863
      <listitem>
907
864
        <para>
908
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
865
          TLS 1.1 is the protocol implemented by GnuTLS.
909
866
        </para>
910
867
      </listitem>
911
868
      </varlistentry>
922
879
      </varlistentry>
923
880
      <varlistentry>
924
881
        <term>
925
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
882
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
926
883
          Security</citetitle>
927
884
        </term>
928
885
      <listitem>