/mandos/trunk

<!ENTITY TIMESTAMP "2015-06-28">

<!ENTITY % common SYSTEM "common.ent">

%common;

    <productnumber>&version;</productnumber>

          <email>belorn@recompile.se</email>

          <email>teddy@recompile.se</email>

      <year>2009</year>

      <year>2012</year>

  

      Run Mandos plugins, pass data from first to succeed.

  

        >ENV</replaceable><literal>=</literal><replaceable

        <arg choice="plain"><option>-G

        <replaceable>ENV</replaceable><literal>=</literal><replaceable

        <arg choice="plain"><option>-E<replaceable>

        <arg choice="plain"><option>-o<replaceable>

      <group rep="repeat">

        <arg choice="plain"><option>--enable=<replaceable

        >PLUGIN</replaceable></option></arg>

        <arg choice="plain"><option>-e

        <replaceable>PLUGIN</replaceable> </option></arg>

      </group>

      <sbr/>

      <arg><option>--plugin-helper-dir=<replaceable

      >DIRECTORY</replaceable></option></arg>

      <sbr/>

      <arg><option>--config-file=<replaceable

      >FILE</replaceable></option></arg>

      <sbr/>

      be specified as a <quote>keyscript</quote> for the root disk in

      <citerefentry><refentrytitle>crypttab</refentrytitle>

      <manvolnum>5</manvolnum></citerefentry>.  The aim of this

      program is therefore to output a password, which then

      <citerefentry><refentrytitle>cryptsetup</refentrytitle>

      <manvolnum>8</manvolnum></citerefentry> will use to unlock the

      root disk.

        <replaceable>ENV</replaceable><literal>=</literal><replaceable

        <term><option>-G

        <replaceable>ENV</replaceable><literal>=</literal><replaceable

        <term><option>-E

            option to all plugins.

            <userinput>--options-for=foo:--bar,baz</userinput>.  Using

            <userinput>--options-for="foo:--bar baz"</userinput>. will

            <emphasis>not</emphasis> work.

      

        <term><option>--disable

          </para>

        </listitem>

      </varlistentry>

      

      <varlistentry>

        <term><option>--enable

        <replaceable>PLUGIN</replaceable></option></term>

        <term><option>-e

        <replaceable>PLUGIN</replaceable></option></term>

        <listitem>

          <para>

            Re-enable the plugin named

            <replaceable>PLUGIN</replaceable>.  This is only useful to

            undo a previous <option>--disable</option> option, maybe

            from the configuration file.

          </para>

        </listitem>

      </varlistentry>

      

      

      

        <term><option>--plugin-helper-dir

        <replaceable>DIRECTORY</replaceable></option></term>

        <listitem>

          <para>

            Specify a different plugin helper directory.  The default

            is <filename>/lib/mandos/plugin-helpers</filename>, which

            will exist in the initial <acronym>RAM</acronym> disk

            environment.  (This will simply be passed to all plugins

            via the <envar>MANDOSPLUGINHELPERDIR</envar> environment

            variable.  See <xref linkend="writing_plugins"/>)

          </para>

        </listitem>

      </varlistentry>

      

      <varlistentry>

        <term><option>--config-file

        <replaceable>FILE</replaceable></option></term>

        <listitem>

          <para>

            Specify a different file to read additional options from.

            See <xref linkend="files"/>.  Other command line options

            will override options specified in the file.

          </para>

        </listitem>

      </varlistentry>

      

      <varlistentry>

      

  

    

    <refsect2 id="writing_plugins">

      <title>WRITING PLUGINS</title>

      <para>

        A plugin is simply a program which prints a password to its

        standard output and then exits with a successful (zero) exit

        status.  If the exit status is not zero, any output on

        standard output will be ignored by the plugin runner.  Any

        output on its standard error channel will simply be passed to

        the standard error of the plugin runner, usually the system

        console.

      </para>

      <para>

        If the password is a single-line, manually entered passprase,

        a final trailing newline character should

        <emphasis>not</emphasis> be printed.

      </para>

      <para>

        The plugin will run in the initial RAM disk environment, so

        care must be taken not to depend on any files or running

        services not available there.  Any helper executables required

        by the plugin (which are not in the <envar>PATH</envar>) can

        be placed in the plugin helper directory, the name of which

        will be made available to the plugin via the

        <envar>MANDOSPLUGINHELPERDIR</envar> environment variable.

      </para>

      <para>

        The plugin must exit cleanly and free all allocated resources

        upon getting the TERM signal, since this is what the plugin

        runner uses to stop all other plugins when one plugin has

        output a password and exited cleanly.

      </para>

      <para>

        The plugin must not use resources, like for instance reading

        from the standard input, without knowing that no other plugin

        is also using it.

      </para>

      <para>

        It is useful, but not required, for the plugin to take the

        <option>--debug</option> option.

      </para>

    </refsect2>

      This program does not use any environment variables itself, it

      only passes on its environment to all the plugins.  The

      environment passed to plugins can be modified using the

      <option>--global-env</option> and <option>--env-for</option>

      options.  Also, the <option>--plugin-helper-dir</option> option

      will affect the environment variable

      <envar>MANDOSPLUGINHELPERDIR</envar> for the plugins.

  <refsect1 id="files">

              This program is meant to run in the initial RAM disk

              environment, so that is where this file is assumed to

              exist.  The file does not need to exist in the normal

              file system.

            </para>

            <para>

            <para>

              This file name is the default; the file to read for

              arguments can be changed using the

              <option>--config-file</option> option.

            </para>

      The <option>--config-file</option> option is ignored when

      specified from within a configuration file.

    <informalexample>

      <para>

        Normal invocation needs no options:

      </para>

      <para>

        <userinput>&COMMANDNAME;</userinput>

      </para>

    </informalexample>

    <informalexample>

      <para>

        Run the program, but not the plugins, in debug mode:

      </para>

      <para>

        

        <!-- do not wrap this line -->

        <userinput>&COMMANDNAME; --debug</userinput>

        

      </para>

    </informalexample>

    <informalexample>

      <para>

        Run all plugins, but run the <quote>foo</quote> plugin in

        debug mode:

      </para>

      <para>

        

        <!-- do not wrap this line -->

        <userinput>&COMMANDNAME; --options-for=foo:--debug</userinput>

        

      </para>

    </informalexample>

    <informalexample>

      <para>

        Run all plugins, but not the program, in debug mode:

      </para>

      <para>

        

        <!-- do not wrap this line -->

        <userinput>&COMMANDNAME; --global-options=--debug</userinput>

        

      </para>

    </informalexample>

    <informalexample>

      <para>

        Read a different configuration file, run plugins from a

        different directory, specify an alternate plugin helper

        directory and add two options to the

        <citerefentry><refentrytitle >mandos-client</refentrytitle>

        <manvolnum>8mandos</manvolnum></citerefentry> plugin:

      </para>

      <para>

 

<!-- do not wrap this line -->

<userinput>cd /etc/keys/mandos; &COMMANDNAME;  --config-file=/etc/mandos/plugin-runner.conf --plugin-dir /usr/lib/x86_64-linux-gnu/mandos/plugins.d --plugin-helper-dir /usr/lib/x86_64-linux-gnu/mandos/plugin-helpers --options-for=mandos-client:--pubkey=pubkey.txt,--seckey=seckey.txt</userinput>

 

      </para>

    </informalexample>

      This program will, when starting, try to switch to another user.

      If it is started as root, it will succeed, and will by default

      switch to user and group 65534, which are assumed to be

      non-privileged.  This user and group is then what all plugins

      will be started as.  Therefore, the only way to run a plugin as

      a privileged user is to have the set-user-ID or set-group-ID bit

      set on the plugin executable file (see <citerefentry>

      <refentrytitle>execve</refentrytitle><manvolnum>2</manvolnum>

      </citerefentry>).

    </para>

    <para>

      If this program is used as a keyscript in <citerefentry

      ><refentrytitle>crypttab</refentrytitle><manvolnum>5</manvolnum>

      </citerefentry>, there is a slight risk that if this program

      fails to work, there might be no way to boot the system except

      for booting from another media and editing the initial RAM disk

      image to not run this program.  This is, however, unlikely,

      since the <citerefentry><refentrytitle

      >password-prompt</refentrytitle><manvolnum>8mandos</manvolnum>

      </citerefentry> plugin will read a password from the console in

      case of failure of the other plugins, and this plugin runner

      will also, in case of catastrophic failure, itself fall back to

      asking and outputting a password on the console (see <xref

      linkend="fallback"/>).

      <citerefentry><refentrytitle>intro</refentrytitle>

      <manvolnum>8mandos</manvolnum></citerefentry>,

      <citerefentry><refentrytitle>crypttab</refentrytitle>

      <manvolnum>5</manvolnum></citerefentry>,

      <citerefentry><refentrytitle>execve</refentrytitle>

      <manvolnum>2</manvolnum></citerefentry>,

      <citerefentry><refentrytitle>mandos-client</refentrytitle>