/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2013-10-24 20:21:45 UTC
  • Revision ID: teddy@recompile.se-20131024202145-456a9y6x910a2vhb
* debian/control (Build-Depends): Changed debhelper version to (>= 9)
                                  to match debian/compat.
* mandos-options.xml (priority): Changed back to normal priority.
  (priority_compat): New option; for the server which needs to a
                     priority string compatible with old keys.
* mandos-conf.xml (OPTIONS/priority): Include "priority_compat".
* mandos.xml (OPTIONS/priority): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2019-02-09">
 
5
<!ENTITY TIMESTAMP "2013-10-20">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
37
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
38
      <holder>Teddy Hogeborn</holder>
46
39
      <holder>Björn Påhlsson</holder>
47
40
    </copyright>
95
88
        <replaceable>FILE</replaceable></option></arg>
96
89
      </group>
97
90
      <sbr/>
98
 
      <group>
99
 
        <arg choice="plain"><option>--tls-privkey
100
 
        <replaceable>FILE</replaceable></option></arg>
101
 
        <arg choice="plain"><option>-t
102
 
        <replaceable>FILE</replaceable></option></arg>
103
 
      </group>
104
 
      <sbr/>
105
 
      <group>
106
 
        <arg choice="plain"><option>--tls-pubkey
107
 
        <replaceable>FILE</replaceable></option></arg>
108
 
        <arg choice="plain"><option>-T
109
 
        <replaceable>FILE</replaceable></option></arg>
110
 
      </group>
111
 
      <sbr/>
112
91
      <arg>
113
92
        <option>--priority <replaceable>STRING</replaceable></option>
114
93
      </arg>
118
97
      </arg>
119
98
      <sbr/>
120
99
      <arg>
121
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
122
 
      </arg>
123
 
      <sbr/>
124
 
      <arg>
125
100
        <option>--delay <replaceable>SECONDS</replaceable></option>
126
101
      </arg>
127
102
      <sbr/>
168
143
      brings up network interfaces, uses the interfaces’ IPv6
169
144
      link-local addresses to get network connectivity, uses Zeroconf
170
145
      to find servers on the local network, and communicates with
171
 
      servers using TLS with a raw public key to ensure authenticity
172
 
      and confidentiality.  This client program keeps running, trying
173
 
      all servers on the network, until it receives a satisfactory
174
 
      reply or a TERM signal.  After all servers have been tried, all
 
146
      servers using TLS with an OpenPGP key to ensure authenticity and
 
147
      confidentiality.  This client program keeps running, trying all
 
148
      servers on the network, until it receives a satisfactory reply
 
149
      or a TERM signal.  After all servers have been tried, all
175
150
      servers are periodically retried.  If no servers are found it
176
151
      will wait indefinitely for new servers to appear.
177
152
    </para>
244
219
            assumed to separate the address from the port number.
245
220
          </para>
246
221
          <para>
247
 
            Normally, Zeroconf would be used to locate Mandos servers,
248
 
            in which case this option would only be used when testing
249
 
            and debugging.
 
222
            This option is normally only useful for testing and
 
223
            debugging.
250
224
          </para>
251
225
        </listitem>
252
226
      </varlistentry>
285
259
          <para>
286
260
            <replaceable>NAME</replaceable> can be the string
287
261
            <quote><literal>none</literal></quote>; this will make
288
 
            <command>&COMMANDNAME;</command> only bring up interfaces
289
 
            specified <emphasis>before</emphasis> this string.  This
290
 
            is not recommended, and only meant for advanced users.
 
262
            <command>&COMMANDNAME;</command> not bring up
 
263
            <emphasis>any</emphasis> interfaces specified
 
264
            <emphasis>after</emphasis> this string.  This is not
 
265
            recommended, and only meant for advanced users.
291
266
          </para>
292
267
        </listitem>
293
268
      </varlistentry>
321
296
      </varlistentry>
322
297
      
323
298
      <varlistentry>
324
 
        <term><option>--tls-pubkey=<replaceable
325
 
        >FILE</replaceable></option></term>
326
 
        <term><option>-T
327
 
        <replaceable>FILE</replaceable></option></term>
328
 
        <listitem>
329
 
          <para>
330
 
            TLS raw public key file name.  The default name is
331
 
            <quote><filename>/conf/conf.d/mandos/tls-pubkey.pem</filename
332
 
            ></quote>.
333
 
          </para>
334
 
        </listitem>
335
 
      </varlistentry>
336
 
 
337
 
      <varlistentry>
338
 
        <term><option>--tls-privkey=<replaceable
339
 
        >FILE</replaceable></option></term>
340
 
        <term><option>-t
341
 
        <replaceable>FILE</replaceable></option></term>
342
 
        <listitem>
343
 
          <para>
344
 
            TLS secret key file name.  The default name is
345
 
            <quote><filename>/conf/conf.d/mandos/tls-privkey.pem</filename
346
 
            ></quote>.
347
 
          </para>
348
 
        </listitem>
349
 
      </varlistentry>
350
 
 
351
 
      <varlistentry>
352
299
        <term><option>--priority=<replaceable
353
300
        >STRING</replaceable></option></term>
354
301
        <listitem>
363
310
        <listitem>
364
311
          <para>
365
312
            Sets the number of bits to use for the prime number in the
366
 
            TLS Diffie-Hellman key exchange.  The default value is
367
 
            selected automatically based on the GnuTLS security
368
 
            profile set in its priority string.  Note that if the
369
 
            <option>--dh-params</option> option is used, the values
370
 
            from that file will be used instead.
371
 
          </para>
372
 
        </listitem>
373
 
      </varlistentry>
374
 
      
375
 
      <varlistentry>
376
 
        <term><option>--dh-params=<replaceable
377
 
        >FILE</replaceable></option></term>
378
 
        <listitem>
379
 
          <para>
380
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
381
 
            needed by the TLS Diffie-Hellman key exchange from.  If
382
 
            this option is not given, or if the file for some reason
383
 
            could not be used, the parameters will be generated on
384
 
            startup, which will take some time and processing power.
385
 
            Those using servers running under time, power or processor
386
 
            constraints may want to generate such a file in advance
387
 
            and use this option.
 
313
            TLS Diffie-Hellman key exchange.  Default is 1024.
388
314
          </para>
389
315
        </listitem>
390
316
      </varlistentry>
517
443
  
518
444
  <refsect1 id="environment">
519
445
    <title>ENVIRONMENT</title>
520
 
    <variablelist>
521
 
      <varlistentry>
522
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
523
 
        <listitem>
524
 
          <para>
525
 
            This environment variable will be assumed to contain the
526
 
            directory containing any helper executables.  The use and
527
 
            nature of these helper executables, if any, is
528
 
            purposefully not documented.
529
 
        </para>
530
 
        </listitem>
531
 
      </varlistentry>
532
 
    </variablelist>
533
446
    <para>
534
 
      This program does not use any other environment variables, not
535
 
      even the ones provided by <citerefentry><refentrytitle
 
447
      This program does not use any environment variables, not even
 
448
      the ones provided by <citerefentry><refentrytitle
536
449
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
537
450
    </citerefentry>.
538
451
    </para>
725
638
        </listitem>
726
639
      </varlistentry>
727
640
      <varlistentry>
728
 
        <term><filename>/conf/conf.d/mandos/tls-pubkey.pem</filename
729
 
        ></term>
730
 
        <term><filename>/conf/conf.d/mandos/tls-privkey.pem</filename
731
 
        ></term>
732
 
        <listitem>
733
 
          <para>
734
 
            Public and private raw key files, in <quote>PEM</quote>
735
 
            format.  These are the default file names, they can be
736
 
            changed with the <option>--tls-pubkey</option> and
737
 
            <option>--tls-privkey</option> options.
738
 
          </para>
739
 
        </listitem>
740
 
      </varlistentry>
741
 
      <varlistentry>
742
641
        <term><filename
743
642
        class="directory">/lib/mandos/network-hooks.d</filename></term>
744
643
        <listitem>
752
651
    </variablelist>
753
652
  </refsect1>
754
653
  
755
 
  <refsect1 id="bugs">
756
 
    <title>BUGS</title>
757
 
    <xi:include href="../bugs.xml"/>
758
 
  </refsect1>
 
654
<!--   <refsect1 id="bugs"> -->
 
655
<!--     <title>BUGS</title> -->
 
656
<!--     <para> -->
 
657
<!--     </para> -->
 
658
<!--   </refsect1> -->
759
659
  
760
660
  <refsect1 id="example">
761
661
    <title>EXAMPLE</title>
786
686
    </informalexample>
787
687
    <informalexample>
788
688
      <para>
789
 
        Run in debug mode, and use custom keys:
 
689
        Run in debug mode, and use a custom key:
790
690
      </para>
791
691
      <para>
792
692
 
793
693
<!-- do not wrap this line -->
794
 
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --tls-pubkey keydir/tls-pubkey.pem --tls-privkey keydir/tls-privkey.pem</userinput>
 
694
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt</userinput>
795
695
 
796
696
      </para>
797
697
    </informalexample>
798
698
    <informalexample>
799
699
      <para>
800
 
        Run in debug mode, with custom keys, and do not use Zeroconf
 
700
        Run in debug mode, with a custom key, and do not use Zeroconf
801
701
        to locate a server; connect directly to the IPv6 link-local
802
702
        address <quote><systemitem class="ipaddress"
803
703
        >fe80::aede:48ff:fe71:f6f2</systemitem></quote>, port 4711,
806
706
      <para>
807
707
 
808
708
<!-- do not wrap this line -->
809
 
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --tls-pubkey keydir/tls-pubkey.pem --tls-privkey keydir/tls-privkey.pem --connect fe80::aede:48ff:fe71:f6f2:4711 --interface eth2</userinput>
 
709
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --connect fe80::aede:48ff:fe71:f6f2:4711 --interface eth2</userinput>
810
710
 
811
711
      </para>
812
712
    </informalexample>
836
736
    <para>
837
737
      The only remaining weak point is that someone with physical
838
738
      access to the client hard drive might turn off the client
839
 
      computer, read the OpenPGP and TLS keys directly from the hard
840
 
      drive, and communicate with the server.  To safeguard against
841
 
      this, the server is supposed to notice the client disappearing
842
 
      and stop giving out the encrypted data.  Therefore, it is
843
 
      important to set the timeout and checker interval values tightly
844
 
      on the server.  See <citerefentry><refentrytitle
 
739
      computer, read the OpenPGP keys directly from the hard drive,
 
740
      and communicate with the server.  To safeguard against this, the
 
741
      server is supposed to notice the client disappearing and stop
 
742
      giving out the encrypted data.  Therefore, it is important to
 
743
      set the timeout and checker interval values tightly on the
 
744
      server.  See <citerefentry><refentrytitle
845
745
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
846
746
    </para>
847
747
    <para>
848
748
      It will also help if the checker program on the server is
849
749
      configured to request something from the client which can not be
850
 
      spoofed by someone else on the network, like SSH server key
851
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
852
 
      echo (<quote>ping</quote>) replies.
 
750
      spoofed by someone else on the network, unlike unencrypted
 
751
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
853
752
    </para>
854
753
    <para>
855
754
      <emphasis>Note</emphasis>: This makes it completely insecure to
901
800
      </varlistentry>
902
801
      <varlistentry>
903
802
        <term>
904
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
803
          <ulink url="http://www.gnu.org/software/gnutls/"
 
804
          >GnuTLS</ulink>
905
805
        </term>
906
806
      <listitem>
907
807
        <para>
908
808
          GnuTLS is the library this client uses to implement TLS for
909
809
          communicating securely with the server, and at the same time
910
 
          send the public key to the server.
 
810
          send the public OpenPGP key to the server.
911
811
        </para>
912
812
      </listitem>
913
813
      </varlistentry>
914
814
      <varlistentry>
915
815
        <term>
916
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
816
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
917
817
                 >GPGME</ulink>
918
818
        </term>
919
819
        <listitem>
957
857
      </varlistentry>
958
858
      <varlistentry>
959
859
        <term>
960
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
961
 
          Protocol Version 1.2</citetitle>
 
860
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
861
          Protocol Version 1.1</citetitle>
962
862
        </term>
963
863
      <listitem>
964
864
        <para>
965
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
865
          TLS 1.1 is the protocol implemented by GnuTLS.
966
866
        </para>
967
867
      </listitem>
968
868
      </varlistentry>
979
879
      </varlistentry>
980
880
      <varlistentry>
981
881
        <term>
982
 
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
983
 
          Layer Security (TLS) and Datagram Transport Layer Security
984
 
          (DTLS)</citetitle>
985
 
        </term>
986
 
      <listitem>
987
 
        <para>
988
 
          This is implemented by GnuTLS in version 3.6.6 and is, if
989
 
          present, used by this program so that raw public keys can be
990
 
          used.
991
 
        </para>
992
 
      </listitem>
993
 
      </varlistentry>
994
 
      <varlistentry>
995
 
        <term>
996
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
882
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
997
883
          Security</citetitle>
998
884
        </term>
999
885
      <listitem>
1000
886
        <para>
1001
 
          This is implemented by GnuTLS before version 3.6.0 and is,
1002
 
          if present, used by this program so that OpenPGP keys can be
1003
 
          used.
 
887
          This is implemented by GnuTLS and used by this program so
 
888
          that OpenPGP keys can be used.
1004
889
        </para>
1005
890
      </listitem>
1006
891
      </varlistentry>