/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-clients.conf.xml

  • Committer: Teddy Hogeborn
  • Date: 2014-06-22 02:19:30 UTC
  • Revision ID: teddy@recompile.se-20140622021930-icl7h4cm97blhjml
mandos-keygen: Generate "checker" option to use SSH fingerprints.

To turn this off, use a new "--no-ssh" option to mandos-keygen.

* INSTALL (Mandos Server, Mandos Client): Document new suggested
                                          installation of SSH.
* Makefile (confdir/clients.conf): Use new "--no-ssh" option to
                                   "mandos-keygen".
* debian/control (mandos/Depends): Changed to "fping | ssh-client".
  (mandos-client/Recommends): New; set to "ssh".
* intro.xml (FREQUENTLY ASKED QUESTIONS): Rename and rewrite section
                                          called "Faking ping
                                          replies?" to address new
                                          default behavior.
* mandos-clients.conf.xml (OPTIONS/checker): Briefly discuss new
                                             behavior of
                                             mandos-keygen.
* mandos-keygen: Bug fix: Suppress failure output of "shred" to remove
                 "sec*", since no such files may exist.
 (password mode): Scan for SSH key fingerprints and output as new
                  "checker" and "ssh_fingerprint" options, unless new
                  "--no-ssh" option is given.
* mandos-keygen.xml (SYNOPSIS/--force): Bug fix: Document short form.
  (OPTIONS/--no-ssh): New.
  (SEE ALSO): Add reference "ssh-keyscan(1)".
* plugins.d/mandos-client.xml (SECURITY): Briefly mention the
                                          possibility of using SSH key
                                          fingerprints for checking.

Show diffs side-by-side

added added

removed removed

Lines of Context:
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY CONFNAME "mandos-clients.conf">
5
5
<!ENTITY CONFPATH "<filename>/etc/mandos/clients.conf</filename>">
6
 
<!ENTITY TIMESTAMP "2010-09-26">
 
6
<!ENTITY TIMESTAMP "2014-06-22">
7
7
<!ENTITY % common SYSTEM "common.ent">
8
8
%common;
9
9
]>
20
20
        <firstname>Björn</firstname>
21
21
        <surname>Påhlsson</surname>
22
22
        <address>
23
 
          <email>belorn@fukt.bsnet.se</email>
 
23
          <email>belorn@recompile.se</email>
24
24
        </address>
25
25
      </author>
26
26
      <author>
27
27
        <firstname>Teddy</firstname>
28
28
        <surname>Hogeborn</surname>
29
29
        <address>
30
 
          <email>teddy@fukt.bsnet.se</email>
 
30
          <email>teddy@recompile.se</email>
31
31
        </address>
32
32
      </author>
33
33
    </authorgroup>
35
35
      <year>2008</year>
36
36
      <year>2009</year>
37
37
      <year>2010</year>
 
38
      <year>2011</year>
 
39
      <year>2012</year>
38
40
      <holder>Teddy Hogeborn</holder>
39
41
      <holder>Björn Påhlsson</holder>
40
42
    </copyright>
64
66
      ><refentrytitle>mandos</refentrytitle>
65
67
      <manvolnum>8</manvolnum></citerefentry>, read by it at startup.
66
68
      The file needs to list all clients that should be able to use
67
 
      the service.  All clients listed will be regarded as enabled,
68
 
      even if a client was disabled in a previous run of the server.
 
69
      the service.  The settings in this file can be overridden by
 
70
      runtime changes to the server, which it saves across restarts.
 
71
      (See the section called <quote>PERSISTENT STATE</quote> in
 
72
      <citerefentry><refentrytitle>mandos</refentrytitle><manvolnum
 
73
      >8</manvolnum></citerefentry>.)  However, any <emphasis
 
74
      >changes</emphasis> to this file (including adding and removing
 
75
      clients) will, at startup, override changes done during runtime.
69
76
    </para>
70
77
    <para>
71
78
      The format starts with a <literal>[<replaceable>section
110
117
          <para>
111
118
            How long to wait for external approval before resorting to
112
119
            use the <option>approved_by_default</option> value.  The
113
 
            default is <quote>0s</quote>, i.e. not to wait.
 
120
            default is <quote>PT0S</quote>, i.e. not to wait.
114
121
          </para>
115
122
          <para>
116
123
            The format of <replaceable>TIME</replaceable> is the same
160
167
            This option is <emphasis>optional</emphasis>.
161
168
          </para>
162
169
          <para>
163
 
            This option allows you to override the default shell
164
 
            command that the server will use to check if the client is
165
 
            still up.  Any output of the command will be ignored, only
166
 
            the exit code is checked:  If the exit code of the command
167
 
            is zero, the client is considered up.  The command will be
168
 
            run using <quote><command><filename>/bin/sh</filename>
 
170
            This option overrides the default shell command that the
 
171
            server will use to check if the client is still up.  Any
 
172
            output of the command will be ignored, only the exit code
 
173
            is checked:  If the exit code of the command is zero, the
 
174
            client is considered up.  The command will be run using
 
175
            <quote><command><filename>/bin/sh</filename>
169
176
            <option>-c</option></command></quote>, so
170
177
            <varname>PATH</varname> will be searched.  The default
171
178
            value for the checker command is <quote><literal
172
179
            ><command>fping</command> <option>-q</option> <option
173
 
            >--</option> %%(host)s</literal></quote>.
 
180
            >--</option> %%(host)s</literal></quote>.  Note that
 
181
            <command>mandos-keygen</command>, when generating output
 
182
            to be inserted into this file, normally looks for an SSH
 
183
            server on the Mandos client, and, if it find one, outputs
 
184
            a <option>checker</option> option to check for the
 
185
            client’s key fingerprint – this is more secure against
 
186
            spoofing.
174
187
          </para>
175
188
          <para>
176
189
            In addition to normal start time expansion, this option
181
194
      </varlistentry>
182
195
      
183
196
      <varlistentry>
 
197
        <term><option>extended_timeout<literal> = </literal><replaceable
 
198
        >TIME</replaceable></option></term>
 
199
        <listitem>
 
200
          <para>
 
201
            This option is <emphasis>optional</emphasis>.
 
202
          </para>
 
203
          <para>
 
204
            Extended timeout is an added timeout that is given once
 
205
            after a password has been sent successfully to a client.
 
206
            The timeout is by default longer than the normal timeout,
 
207
            and is used for handling the extra long downtime while a
 
208
            machine is booting up.  Time to take into consideration
 
209
            when changing this value is file system checks and quota
 
210
            checks.  The default value is 15 minutes.
 
211
          </para>
 
212
          <para>
 
213
            The format of <replaceable>TIME</replaceable> is the same
 
214
            as for <varname>timeout</varname> below.
 
215
          </para>
 
216
        </listitem>
 
217
      </varlistentry>
 
218
      
 
219
      <varlistentry>
184
220
        <term><option>fingerprint<literal> = </literal
185
221
        ><replaceable>HEXSTRING</replaceable></option></term>
186
222
        <listitem>
228
264
            will wait for a checker to complete until the below
229
265
            <quote><varname>timeout</varname></quote> occurs, at which
230
266
            time the client will be disabled, and any running checker
231
 
            killed.  The default interval is 5 minutes.
 
267
            killed.  The default interval is 2 minutes.
232
268
          </para>
233
269
          <para>
234
270
            The format of <replaceable>TIME</replaceable> is the same
298
334
            This option is <emphasis>optional</emphasis>.
299
335
          </para>
300
336
          <para>
301
 
            The timeout is how long the server will wait (for either a
302
 
            successful checker run or a client receiving its secret)
303
 
            until a client is disabled and not allowed to get the data
304
 
            this server holds.  By default Mandos will use 1 hour.
305
 
          </para>
306
 
          <para>
307
 
            The <replaceable>TIME</replaceable> is specified as a
308
 
            space-separated number of values, each of which is a
309
 
            number and a one-character suffix.  The suffix must be one
310
 
            of <quote>d</quote>, <quote>s</quote>, <quote>m</quote>,
311
 
            <quote>h</quote>, and <quote>w</quote> for days, seconds,
312
 
            minutes, hours, and weeks, respectively.  The values are
313
 
            added together to give the total time value, so all of
314
 
            <quote><literal>330s</literal></quote>,
315
 
            <quote><literal>110s 110s 110s</literal></quote>, and
316
 
            <quote><literal>5m 30s</literal></quote> will give a value
317
 
            of five minutes and thirty seconds.
 
337
            The timeout is how long the server will wait, after a
 
338
            successful checker run, until a client is disabled and not
 
339
            allowed to get the data this server holds.  By default
 
340
            Mandos will use 5 minutes.  See also the
 
341
            <option>extended_timeout</option> option.
 
342
          </para>
 
343
          <para>
 
344
            The <replaceable>TIME</replaceable> is specified as an RFC
 
345
            3339 duration; for example
 
346
            <quote><literal>P1Y2M3DT4H5M6S</literal></quote> meaning
 
347
            one year, two months, three days, four hours, five
 
348
            minutes, and six seconds.  Some values can be omitted, see
 
349
            RFC 3339 Appendix A for details.
 
350
          </para>
 
351
        </listitem>
 
352
      </varlistentry>
 
353
      
 
354
      <varlistentry>
 
355
        <term><option>enabled<literal> = </literal>{ <literal
 
356
        >1</literal> | <literal>yes</literal> | <literal>true</literal
 
357
        > | <literal >on</literal> | <literal>0</literal> | <literal
 
358
        >no</literal> | <literal>false</literal> | <literal
 
359
        >off</literal> }</option></term>
 
360
        <listitem>
 
361
          <para>
 
362
            Whether this client should be enabled by default.  The
 
363
            default is <quote>true</quote>.
318
364
          </para>
319
365
        </listitem>
320
366
      </varlistentry>
364
410
        <quote><literal>approval_duration</literal></quote>,
365
411
        <quote><literal>created</literal></quote>,
366
412
        <quote><literal>enabled</literal></quote>,
 
413
        <quote><literal>expires</literal></quote>,
367
414
        <quote><literal>fingerprint</literal></quote>,
368
415
        <quote><literal>host</literal></quote>,
369
416
        <quote><literal>interval</literal></quote>,
419
466
    <informalexample>
420
467
      <programlisting>
421
468
[DEFAULT]
422
 
timeout = 1h
423
 
interval = 5m
 
469
timeout = PT5M
 
470
interval = PT2M
424
471
checker = fping -q -- %%(host)s
425
472
 
426
473
# Client "foo"
443
490
        4T2zw4dxS5NswXWU0sVEXxjs6PYxuIiCTL7vdpx8QjBkrPWDrAbcMyBr2O
444
491
        QlnHIvPzEArRQLo=
445
492
host = foo.example.org
446
 
interval = 1m
 
493
interval = PT1M
447
494
 
448
495
# Client "bar"
449
496
[bar]
450
497
fingerprint = 3e393aeaefb84c7e89e2f547b3a107558fca3a27
451
498
secfile = /etc/mandos/bar-secret
452
 
timeout = 15m
 
499
timeout = PT15M
453
500
approved_by_default = False
454
 
approval_delay = 30s
 
501
approval_delay = PT30S
455
502
      </programlisting>
456
503
    </informalexample>
457
504
  </refsect1>
459
506
  <refsect1 id="see_also">
460
507
    <title>SEE ALSO</title>
461
508
    <para>
 
509
      <citerefentry><refentrytitle>intro</refentrytitle>
 
510
      <manvolnum>8mandos</manvolnum></citerefentry>,
462
511
      <citerefentry><refentrytitle>mandos-keygen</refentrytitle>
463
512
      <manvolnum>8</manvolnum></citerefentry>,
464
513
      <citerefentry><refentrytitle>mandos.conf</refentrytitle>
465
514
      <manvolnum>5</manvolnum></citerefentry>,
466
515
      <citerefentry><refentrytitle>mandos</refentrytitle>
 
516
      <manvolnum>8</manvolnum></citerefentry>,
 
517
      <citerefentry><refentrytitle>fping</refentrytitle>
467
518
      <manvolnum>8</manvolnum></citerefentry>
468
519
    </para>
 
520
    <variablelist>
 
521
      <varlistentry>
 
522
        <term>
 
523
          RFC 3339: <citetitle>Date and Time on the Internet:
 
524
          Timestamps</citetitle>
 
525
        </term>
 
526
      <listitem>
 
527
        <para>
 
528
          The time intervals are in the "duration" format, as
 
529
          specified in ABNF in Appendix A of RFC 3339.
 
530
        </para>
 
531
      </listitem>
 
532
      </varlistentry>
 
533
    </variablelist>
469
534
  </refsect1>
470
535
</refentry>
471
536
<!-- Local Variables: -->