/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2017-08-20 14:14:14 UTC
  • Revision ID: teddy@recompile.se-20170820141414-m034xuebg7ccaeui
Add some more restrictions to the systemd service file.

* mandos.service ([Service]/ProtectKernelTunables): New; set to "yes".
  ([Service]/ProtectControlGroups): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2013-10-20">
 
5
<!ENTITY TIMESTAMP "2017-02-23">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
36
38
      <year>2012</year>
37
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
38
44
      <holder>Teddy Hogeborn</holder>
39
45
      <holder>Björn Påhlsson</holder>
40
46
    </copyright>
97
103
      </arg>
98
104
      <sbr/>
99
105
      <arg>
 
106
        <option>--dh-params <replaceable>FILE</replaceable></option>
 
107
      </arg>
 
108
      <sbr/>
 
109
      <arg>
100
110
        <option>--delay <replaceable>SECONDS</replaceable></option>
101
111
      </arg>
102
112
      <sbr/>
219
229
            assumed to separate the address from the port number.
220
230
          </para>
221
231
          <para>
222
 
            This option is normally only useful for testing and
223
 
            debugging.
 
232
            Normally, Zeroconf would be used to locate Mandos servers,
 
233
            in which case this option would only be used when testing
 
234
            and debugging.
224
235
          </para>
225
236
        </listitem>
226
237
      </varlistentry>
259
270
          <para>
260
271
            <replaceable>NAME</replaceable> can be the string
261
272
            <quote><literal>none</literal></quote>; this will make
262
 
            <command>&COMMANDNAME;</command> not bring up
263
 
            <emphasis>any</emphasis> interfaces specified
264
 
            <emphasis>after</emphasis> this string.  This is not
265
 
            recommended, and only meant for advanced users.
 
273
            <command>&COMMANDNAME;</command> only bring up interfaces
 
274
            specified <emphasis>before</emphasis> this string.  This
 
275
            is not recommended, and only meant for advanced users.
266
276
          </para>
267
277
        </listitem>
268
278
      </varlistentry>
310
320
        <listitem>
311
321
          <para>
312
322
            Sets the number of bits to use for the prime number in the
313
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
323
            TLS Diffie-Hellman key exchange.  The default value is
 
324
            selected automatically based on the OpenPGP key.  Note
 
325
            that if the <option>--dh-params</option> option is used,
 
326
            the values from that file will be used instead.
 
327
          </para>
 
328
        </listitem>
 
329
      </varlistentry>
 
330
      
 
331
      <varlistentry>
 
332
        <term><option>--dh-params=<replaceable
 
333
        >FILE</replaceable></option></term>
 
334
        <listitem>
 
335
          <para>
 
336
            Specifies a PEM-encoded PKCS#3 file to read the parameters
 
337
            needed by the TLS Diffie-Hellman key exchange from.  If
 
338
            this option is not given, or if the file for some reason
 
339
            could not be used, the parameters will be generated on
 
340
            startup, which will take some time and processing power.
 
341
            Those using servers running under time, power or processor
 
342
            constraints may want to generate such a file in advance
 
343
            and use this option.
314
344
          </para>
315
345
        </listitem>
316
346
      </varlistentry>
443
473
  
444
474
  <refsect1 id="environment">
445
475
    <title>ENVIRONMENT</title>
 
476
    <variablelist>
 
477
      <varlistentry>
 
478
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
 
479
        <listitem>
 
480
          <para>
 
481
            This environment variable will be assumed to contain the
 
482
            directory containing any helper executables.  The use and
 
483
            nature of these helper executables, if any, is
 
484
            purposefully not documented.
 
485
        </para>
 
486
        </listitem>
 
487
      </varlistentry>
 
488
    </variablelist>
446
489
    <para>
447
 
      This program does not use any environment variables, not even
448
 
      the ones provided by <citerefentry><refentrytitle
 
490
      This program does not use any other environment variables, not
 
491
      even the ones provided by <citerefentry><refentrytitle
449
492
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
450
493
    </citerefentry>.
451
494
    </para>
651
694
    </variablelist>
652
695
  </refsect1>
653
696
  
654
 
<!--   <refsect1 id="bugs"> -->
655
 
<!--     <title>BUGS</title> -->
656
 
<!--     <para> -->
657
 
<!--     </para> -->
658
 
<!--   </refsect1> -->
 
697
  <refsect1 id="bugs">
 
698
    <title>BUGS</title>
 
699
    <xi:include href="../bugs.xml"/>
 
700
  </refsect1>
659
701
  
660
702
  <refsect1 id="example">
661
703
    <title>EXAMPLE</title>
747
789
    <para>
748
790
      It will also help if the checker program on the server is
749
791
      configured to request something from the client which can not be
750
 
      spoofed by someone else on the network, unlike unencrypted
751
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
792
      spoofed by someone else on the network, like SSH server key
 
793
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
794
      echo (<quote>ping</quote>) replies.
752
795
    </para>
753
796
    <para>
754
797
      <emphasis>Note</emphasis>: This makes it completely insecure to
800
843
      </varlistentry>
801
844
      <varlistentry>
802
845
        <term>
803
 
          <ulink url="http://www.gnu.org/software/gnutls/"
804
 
          >GnuTLS</ulink>
 
846
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
805
847
        </term>
806
848
      <listitem>
807
849
        <para>
813
855
      </varlistentry>
814
856
      <varlistentry>
815
857
        <term>
816
 
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
 
858
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
817
859
                 >GPGME</ulink>
818
860
        </term>
819
861
        <listitem>
857
899
      </varlistentry>
858
900
      <varlistentry>
859
901
        <term>
860
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
861
 
          Protocol Version 1.1</citetitle>
 
902
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
903
          Protocol Version 1.2</citetitle>
862
904
        </term>
863
905
      <listitem>
864
906
        <para>
865
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
907
          TLS 1.2 is the protocol implemented by GnuTLS.
866
908
        </para>
867
909
      </listitem>
868
910
      </varlistentry>
879
921
      </varlistentry>
880
922
      <varlistentry>
881
923
        <term>
882
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
 
924
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
883
925
          Security</citetitle>
884
926
        </term>
885
927
      <listitem>