/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2014-06-14 22:55:11 UTC
  • Revision ID: teddy@recompile.se-20140614225511-0ge6tce2esulf65t
In plugin-runner, do scandirat() or scandir() instead of readdir().

* plugin-runner.c (set_cloexec_flag): Only define if O_CLOEXEC is not
                                      defined, it is not called
                                      otherwise.
  (main): Remove variables "dir" and "dirst"; new variable "dir_fd".
          Use scandirat() if available, scandir() otherwise, both
          using new filter function "good_name".  Removed checking of
          plugin file name patterns; this is now done by "good_name".
          Do not set FD_CLOEXEC flag on plugin_fd, since fexecve()
          will not work with it.  Use pipe2() to set O_CLOEXEC on pipe
          FD's (if possible).
  (main/good_name): New filter function for scandirat() or scandir().

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2018-02-08">
 
5
<!ENTITY TIMESTAMP "2014-03-05">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
37
      <year>2013</year>
40
38
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
39
      <holder>Teddy Hogeborn</holder>
46
40
      <holder>Björn Påhlsson</holder>
47
41
    </copyright>
104
98
      </arg>
105
99
      <sbr/>
106
100
      <arg>
107
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
108
 
      </arg>
109
 
      <sbr/>
110
 
      <arg>
111
101
        <option>--delay <replaceable>SECONDS</replaceable></option>
112
102
      </arg>
113
103
      <sbr/>
321
311
        <listitem>
322
312
          <para>
323
313
            Sets the number of bits to use for the prime number in the
324
 
            TLS Diffie-Hellman key exchange.  The default value is
325
 
            selected automatically based on the OpenPGP key.  Note
326
 
            that if the <option>--dh-params</option> option is used,
327
 
            the values from that file will be used instead.
328
 
          </para>
329
 
        </listitem>
330
 
      </varlistentry>
331
 
      
332
 
      <varlistentry>
333
 
        <term><option>--dh-params=<replaceable
334
 
        >FILE</replaceable></option></term>
335
 
        <listitem>
336
 
          <para>
337
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
338
 
            needed by the TLS Diffie-Hellman key exchange from.  If
339
 
            this option is not given, or if the file for some reason
340
 
            could not be used, the parameters will be generated on
341
 
            startup, which will take some time and processing power.
342
 
            Those using servers running under time, power or processor
343
 
            constraints may want to generate such a file in advance
344
 
            and use this option.
 
314
            TLS Diffie-Hellman key exchange.  Default is 1024.
345
315
          </para>
346
316
        </listitem>
347
317
      </varlistentry>
474
444
  
475
445
  <refsect1 id="environment">
476
446
    <title>ENVIRONMENT</title>
477
 
    <variablelist>
478
 
      <varlistentry>
479
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
480
 
        <listitem>
481
 
          <para>
482
 
            This environment variable will be assumed to contain the
483
 
            directory containing any helper executables.  The use and
484
 
            nature of these helper executables, if any, is
485
 
            purposefully not documented.
486
 
        </para>
487
 
        </listitem>
488
 
      </varlistentry>
489
 
    </variablelist>
490
447
    <para>
491
 
      This program does not use any other environment variables, not
492
 
      even the ones provided by <citerefentry><refentrytitle
 
448
      This program does not use any environment variables, not even
 
449
      the ones provided by <citerefentry><refentrytitle
493
450
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
494
451
    </citerefentry>.
495
452
    </para>
695
652
    </variablelist>
696
653
  </refsect1>
697
654
  
698
 
  <refsect1 id="bugs">
699
 
    <title>BUGS</title>
700
 
    <xi:include href="../bugs.xml"/>
701
 
  </refsect1>
 
655
<!--   <refsect1 id="bugs"> -->
 
656
<!--     <title>BUGS</title> -->
 
657
<!--     <para> -->
 
658
<!--     </para> -->
 
659
<!--   </refsect1> -->
702
660
  
703
661
  <refsect1 id="example">
704
662
    <title>EXAMPLE</title>
790
748
    <para>
791
749
      It will also help if the checker program on the server is
792
750
      configured to request something from the client which can not be
793
 
      spoofed by someone else on the network, like SSH server key
794
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
795
 
      echo (<quote>ping</quote>) replies.
 
751
      spoofed by someone else on the network, unlike unencrypted
 
752
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
796
753
    </para>
797
754
    <para>
798
755
      <emphasis>Note</emphasis>: This makes it completely insecure to
844
801
      </varlistentry>
845
802
      <varlistentry>
846
803
        <term>
847
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
804
          <ulink url="http://www.gnu.org/software/gnutls/"
 
805
          >GnuTLS</ulink>
848
806
        </term>
849
807
      <listitem>
850
808
        <para>
856
814
      </varlistentry>
857
815
      <varlistentry>
858
816
        <term>
859
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
817
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
860
818
                 >GPGME</ulink>
861
819
        </term>
862
820
        <listitem>
900
858
      </varlistentry>
901
859
      <varlistentry>
902
860
        <term>
903
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
904
 
          Protocol Version 1.2</citetitle>
 
861
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
862
          Protocol Version 1.1</citetitle>
905
863
        </term>
906
864
      <listitem>
907
865
        <para>
908
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
866
          TLS 1.1 is the protocol implemented by GnuTLS.
909
867
        </para>
910
868
      </listitem>
911
869
      </varlistentry>
922
880
      </varlistentry>
923
881
      <varlistentry>
924
882
        <term>
925
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
883
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
926
884
          Security</citetitle>
927
885
        </term>
928
886
      <listitem>