/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-07-06 20:29:34 UTC
  • mfrom: (738.1.6 route-external)
  • Revision ID: teddy@recompile.se-20150706202934-09j06jm2fiw1bn80
Merge change to add local route when network is "unreachable".

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/mandos-client.xml
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2012-06-13">
 
5
<!ENTITY TIMESTAMP "2015-07-06">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
36
      <year>2012</year>
 
37
      <year>2013</year>
 
38
      <year>2014</year>
 
39
      <year>2015</year>
37
40
      <holder>Teddy Hogeborn</holder>
38
41
      <holder>Björn Påhlsson</holder>
39
42
    </copyright>
218
221
            assumed to separate the address from the port number.
219
222
          </para>
220
223
          <para>
221
 
            This option is normally only useful for testing and
222
 
            debugging.
 
224
            Normally, Zeroconf would be used to locate Mandos servers,
 
225
            in which case this option would only be used when testing
 
226
            and debugging.
223
227
          </para>
224
228
        </listitem>
225
229
      </varlistentry>
226
230
      
227
231
      <varlistentry>
228
232
        <term><option>--interface=<replaceable
229
 
        >NAME</replaceable></option></term>
 
233
        >NAME</replaceable><arg rep='repeat'>,<replaceable
 
234
        >NAME</replaceable></arg></option></term>
230
235
        <term><option>-i
231
 
        <replaceable>NAME</replaceable></option></term>
 
236
        <replaceable>NAME</replaceable><arg rep='repeat'>,<replaceable
 
237
        >NAME</replaceable></arg></option></term>
232
238
        <listitem>
233
239
          <para>
234
240
            Comma separated list of network interfaces that will be
237
243
            use all appropriate interfaces.
238
244
          </para>
239
245
          <para>
240
 
            If the <option>--connect</option> option is used, this
241
 
            specifies the interface to use to connect to the address
242
 
            given.
 
246
            If the <option>--connect</option> option is used, and
 
247
            exactly one interface name is specified (except
 
248
            <quote><literal>none</literal></quote>), this specifies
 
249
            the interface to use to connect to the address given.
243
250
          </para>
244
251
          <para>
245
252
            Note that since this program will normally run in the
254
261
          </para>
255
262
          <para>
256
263
            <replaceable>NAME</replaceable> can be the string
257
 
            <quote><literal>none</literal></quote>; this will not use
258
 
            any specific interface, and will not bring up an interface
259
 
            on startup.  This is not recommended, and only meant for
260
 
            advanced users.
 
264
            <quote><literal>none</literal></quote>; this will make
 
265
            <command>&COMMANDNAME;</command> only bring up interfaces
 
266
            specified <emphasis>before</emphasis> this string.  This
 
267
            is not recommended, and only meant for advanced users.
261
268
          </para>
262
269
        </listitem>
263
270
      </varlistentry>
305
312
        <listitem>
306
313
          <para>
307
314
            Sets the number of bits to use for the prime number in the
308
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
315
            TLS Diffie-Hellman key exchange.  The default value is
 
316
            selected automatically based on the OpenPGP key.
309
317
          </para>
310
318
        </listitem>
311
319
      </varlistentry>
438
446
  
439
447
  <refsect1 id="environment">
440
448
    <title>ENVIRONMENT</title>
 
449
    <variablelist>
 
450
      <varlistentry>
 
451
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
 
452
        <listitem>
 
453
          <para>
 
454
            This environment variable will be assumed to contain the
 
455
            directory containing any helper executables.  The use and
 
456
            nature of these helper executables, if any, is
 
457
            purposefully not documented.
 
458
        </para>
 
459
        </listitem>
 
460
      </varlistentry>
 
461
    </variablelist>
441
462
    <para>
442
 
      This program does not use any environment variables, not even
443
 
      the ones provided by <citerefentry><refentrytitle
 
463
      This program does not use any other environment variables, not
 
464
      even the ones provided by <citerefentry><refentrytitle
444
465
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
445
466
    </citerefentry>.
446
467
    </para>
508
529
              It is not necessary to print any non-executable files
509
530
              already in the network hook directory, these will be
510
531
              copied implicitly if they otherwise satisfy the name
511
 
              requirement.
 
532
              requirements.
512
533
            </para>
513
534
          </listitem>
514
535
        </varlistentry>
662
683
    </para>
663
684
    <informalexample>
664
685
      <para>
665
 
        Normal invocation needs no options, if the network interface
 
686
        Normal invocation needs no options, if the network interfaces
666
687
        can be automatically determined:
667
688
      </para>
668
689
      <para>
671
692
    </informalexample>
672
693
    <informalexample>
673
694
      <para>
674
 
        Search for Mandos servers (and connect to them) using another
675
 
        interface:
 
695
        Search for Mandos servers (and connect to them) using one
 
696
        specific interface:
676
697
      </para>
677
698
      <para>
678
699
        <!-- do not wrap this line -->
742
763
    <para>
743
764
      It will also help if the checker program on the server is
744
765
      configured to request something from the client which can not be
745
 
      spoofed by someone else on the network, unlike unencrypted
746
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
766
      spoofed by someone else on the network, like SSH server key
 
767
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
768
      echo (<quote>ping</quote>) replies.
747
769
    </para>
748
770
    <para>
749
771
      <emphasis>Note</emphasis>: This makes it completely insecure to
842
864
              <para>
843
865
                This client uses IPv6 link-local addresses, which are
844
866
                immediately usable since a link-local addresses is
845
 
                automatically assigned to a network interfaces when it
 
867
                automatically assigned to a network interface when it
846
868
                is brought up.
847
869
              </para>
848
870
            </listitem>