/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-05-22 20:23:46 UTC
  • Revision ID: teddy@recompile.se-20150522202346-taccq232srbszyd9
mandos-keygen: Bug fix: Only use one SSH key from ssh-keyscan

If ssh-keyscan found keys of more than one type, the generated output
would be incorrect.  Restrict the output to one type of key.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2019-02-09">
 
5
<!ENTITY TIMESTAMP "2015-03-08">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
37
      <year>2013</year>
40
38
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
 
      <year>2018</year>
45
39
      <holder>Teddy Hogeborn</holder>
46
40
      <holder>Björn Påhlsson</holder>
47
41
    </copyright>
95
89
        <replaceable>FILE</replaceable></option></arg>
96
90
      </group>
97
91
      <sbr/>
98
 
      <group>
99
 
        <arg choice="plain"><option>--tls-privkey
100
 
        <replaceable>FILE</replaceable></option></arg>
101
 
        <arg choice="plain"><option>-t
102
 
        <replaceable>FILE</replaceable></option></arg>
103
 
      </group>
104
 
      <sbr/>
105
 
      <group>
106
 
        <arg choice="plain"><option>--tls-pubkey
107
 
        <replaceable>FILE</replaceable></option></arg>
108
 
        <arg choice="plain"><option>-T
109
 
        <replaceable>FILE</replaceable></option></arg>
110
 
      </group>
111
 
      <sbr/>
112
92
      <arg>
113
93
        <option>--priority <replaceable>STRING</replaceable></option>
114
94
      </arg>
118
98
      </arg>
119
99
      <sbr/>
120
100
      <arg>
121
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
122
 
      </arg>
123
 
      <sbr/>
124
 
      <arg>
125
101
        <option>--delay <replaceable>SECONDS</replaceable></option>
126
102
      </arg>
127
103
      <sbr/>
168
144
      brings up network interfaces, uses the interfaces’ IPv6
169
145
      link-local addresses to get network connectivity, uses Zeroconf
170
146
      to find servers on the local network, and communicates with
171
 
      servers using TLS with a raw public key to ensure authenticity
172
 
      and confidentiality.  This client program keeps running, trying
173
 
      all servers on the network, until it receives a satisfactory
174
 
      reply or a TERM signal.  After all servers have been tried, all
 
147
      servers using TLS with an OpenPGP key to ensure authenticity and
 
148
      confidentiality.  This client program keeps running, trying all
 
149
      servers on the network, until it receives a satisfactory reply
 
150
      or a TERM signal.  After all servers have been tried, all
175
151
      servers are periodically retried.  If no servers are found it
176
152
      will wait indefinitely for new servers to appear.
177
153
    </para>
321
297
      </varlistentry>
322
298
      
323
299
      <varlistentry>
324
 
        <term><option>--tls-pubkey=<replaceable
325
 
        >FILE</replaceable></option></term>
326
 
        <term><option>-T
327
 
        <replaceable>FILE</replaceable></option></term>
328
 
        <listitem>
329
 
          <para>
330
 
            TLS raw public key file name.  The default name is
331
 
            <quote><filename>/conf/conf.d/mandos/tls-pubkey.pem</filename
332
 
            ></quote>.
333
 
          </para>
334
 
        </listitem>
335
 
      </varlistentry>
336
 
 
337
 
      <varlistentry>
338
 
        <term><option>--tls-privkey=<replaceable
339
 
        >FILE</replaceable></option></term>
340
 
        <term><option>-t
341
 
        <replaceable>FILE</replaceable></option></term>
342
 
        <listitem>
343
 
          <para>
344
 
            TLS secret key file name.  The default name is
345
 
            <quote><filename>/conf/conf.d/mandos/tls-privkey.pem</filename
346
 
            ></quote>.
347
 
          </para>
348
 
        </listitem>
349
 
      </varlistentry>
350
 
 
351
 
      <varlistentry>
352
300
        <term><option>--priority=<replaceable
353
301
        >STRING</replaceable></option></term>
354
302
        <listitem>
364
312
          <para>
365
313
            Sets the number of bits to use for the prime number in the
366
314
            TLS Diffie-Hellman key exchange.  The default value is
367
 
            selected automatically based on the GnuTLS security
368
 
            profile set in its priority string.  Note that if the
369
 
            <option>--dh-params</option> option is used, the values
370
 
            from that file will be used instead.
371
 
          </para>
372
 
        </listitem>
373
 
      </varlistentry>
374
 
      
375
 
      <varlistentry>
376
 
        <term><option>--dh-params=<replaceable
377
 
        >FILE</replaceable></option></term>
378
 
        <listitem>
379
 
          <para>
380
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
381
 
            needed by the TLS Diffie-Hellman key exchange from.  If
382
 
            this option is not given, or if the file for some reason
383
 
            could not be used, the parameters will be generated on
384
 
            startup, which will take some time and processing power.
385
 
            Those using servers running under time, power or processor
386
 
            constraints may want to generate such a file in advance
387
 
            and use this option.
 
315
            selected automatically based on the OpenPGP key.
388
316
          </para>
389
317
        </listitem>
390
318
      </varlistentry>
517
445
  
518
446
  <refsect1 id="environment">
519
447
    <title>ENVIRONMENT</title>
520
 
    <variablelist>
521
 
      <varlistentry>
522
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
523
 
        <listitem>
524
 
          <para>
525
 
            This environment variable will be assumed to contain the
526
 
            directory containing any helper executables.  The use and
527
 
            nature of these helper executables, if any, is
528
 
            purposefully not documented.
529
 
        </para>
530
 
        </listitem>
531
 
      </varlistentry>
532
 
    </variablelist>
533
448
    <para>
534
 
      This program does not use any other environment variables, not
535
 
      even the ones provided by <citerefentry><refentrytitle
 
449
      This program does not use any environment variables, not even
 
450
      the ones provided by <citerefentry><refentrytitle
536
451
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
537
452
    </citerefentry>.
538
453
    </para>
725
640
        </listitem>
726
641
      </varlistentry>
727
642
      <varlistentry>
728
 
        <term><filename>/conf/conf.d/mandos/tls-pubkey.pem</filename
729
 
        ></term>
730
 
        <term><filename>/conf/conf.d/mandos/tls-privkey.pem</filename
731
 
        ></term>
732
 
        <listitem>
733
 
          <para>
734
 
            Public and private raw key files, in <quote>PEM</quote>
735
 
            format.  These are the default file names, they can be
736
 
            changed with the <option>--tls-pubkey</option> and
737
 
            <option>--tls-privkey</option> options.
738
 
          </para>
739
 
        </listitem>
740
 
      </varlistentry>
741
 
      <varlistentry>
742
643
        <term><filename
743
644
        class="directory">/lib/mandos/network-hooks.d</filename></term>
744
645
        <listitem>
752
653
    </variablelist>
753
654
  </refsect1>
754
655
  
755
 
  <refsect1 id="bugs">
756
 
    <title>BUGS</title>
757
 
    <xi:include href="../bugs.xml"/>
758
 
  </refsect1>
 
656
<!--   <refsect1 id="bugs"> -->
 
657
<!--     <title>BUGS</title> -->
 
658
<!--     <para> -->
 
659
<!--     </para> -->
 
660
<!--   </refsect1> -->
759
661
  
760
662
  <refsect1 id="example">
761
663
    <title>EXAMPLE</title>
786
688
    </informalexample>
787
689
    <informalexample>
788
690
      <para>
789
 
        Run in debug mode, and use custom keys:
 
691
        Run in debug mode, and use a custom key:
790
692
      </para>
791
693
      <para>
792
694
 
793
695
<!-- do not wrap this line -->
794
 
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --tls-pubkey keydir/tls-pubkey.pem --tls-privkey keydir/tls-privkey.pem</userinput>
 
696
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt</userinput>
795
697
 
796
698
      </para>
797
699
    </informalexample>
798
700
    <informalexample>
799
701
      <para>
800
 
        Run in debug mode, with custom keys, and do not use Zeroconf
 
702
        Run in debug mode, with a custom key, and do not use Zeroconf
801
703
        to locate a server; connect directly to the IPv6 link-local
802
704
        address <quote><systemitem class="ipaddress"
803
705
        >fe80::aede:48ff:fe71:f6f2</systemitem></quote>, port 4711,
806
708
      <para>
807
709
 
808
710
<!-- do not wrap this line -->
809
 
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --tls-pubkey keydir/tls-pubkey.pem --tls-privkey keydir/tls-privkey.pem --connect fe80::aede:48ff:fe71:f6f2:4711 --interface eth2</userinput>
 
711
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --connect fe80::aede:48ff:fe71:f6f2:4711 --interface eth2</userinput>
810
712
 
811
713
      </para>
812
714
    </informalexample>
836
738
    <para>
837
739
      The only remaining weak point is that someone with physical
838
740
      access to the client hard drive might turn off the client
839
 
      computer, read the OpenPGP and TLS keys directly from the hard
840
 
      drive, and communicate with the server.  To safeguard against
841
 
      this, the server is supposed to notice the client disappearing
842
 
      and stop giving out the encrypted data.  Therefore, it is
843
 
      important to set the timeout and checker interval values tightly
844
 
      on the server.  See <citerefentry><refentrytitle
 
741
      computer, read the OpenPGP keys directly from the hard drive,
 
742
      and communicate with the server.  To safeguard against this, the
 
743
      server is supposed to notice the client disappearing and stop
 
744
      giving out the encrypted data.  Therefore, it is important to
 
745
      set the timeout and checker interval values tightly on the
 
746
      server.  See <citerefentry><refentrytitle
845
747
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
846
748
    </para>
847
749
    <para>
901
803
      </varlistentry>
902
804
      <varlistentry>
903
805
        <term>
904
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
806
          <ulink url="http://www.gnu.org/software/gnutls/"
 
807
          >GnuTLS</ulink>
905
808
        </term>
906
809
      <listitem>
907
810
        <para>
908
811
          GnuTLS is the library this client uses to implement TLS for
909
812
          communicating securely with the server, and at the same time
910
 
          send the public key to the server.
 
813
          send the public OpenPGP key to the server.
911
814
        </para>
912
815
      </listitem>
913
816
      </varlistentry>
914
817
      <varlistentry>
915
818
        <term>
916
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
819
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
917
820
                 >GPGME</ulink>
918
821
        </term>
919
822
        <listitem>
957
860
      </varlistentry>
958
861
      <varlistentry>
959
862
        <term>
960
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
961
 
          Protocol Version 1.2</citetitle>
 
863
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
864
          Protocol Version 1.1</citetitle>
962
865
        </term>
963
866
      <listitem>
964
867
        <para>
965
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
868
          TLS 1.1 is the protocol implemented by GnuTLS.
966
869
        </para>
967
870
      </listitem>
968
871
      </varlistentry>
979
882
      </varlistentry>
980
883
      <varlistentry>
981
884
        <term>
982
 
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
983
 
          Layer Security (TLS) and Datagram Transport Layer Security
984
 
          (DTLS)</citetitle>
985
 
        </term>
986
 
      <listitem>
987
 
        <para>
988
 
          This is implemented by GnuTLS in version 3.6.6 and is, if
989
 
          present, used by this program so that raw public keys can be
990
 
          used.
991
 
        </para>
992
 
      </listitem>
993
 
      </varlistentry>
994
 
      <varlistentry>
995
 
        <term>
996
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
885
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
997
886
          Security</citetitle>
998
887
        </term>
999
888
      <listitem>
1000
889
        <para>
1001
 
          This is implemented by GnuTLS before version 3.6.0 and is,
1002
 
          if present, used by this program so that OpenPGP keys can be
1003
 
          used.
 
890
          This is implemented by GnuTLS and used by this program so
 
891
          that OpenPGP keys can be used.
1004
892
        </para>
1005
893
      </listitem>
1006
894
      </varlistentry>