/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2018-08-19 01:35:11 UTC
  • Revision ID: teddy@recompile.se-20180819013511-cku25q9yeub3dnr0
Adapt to changes in cryptsetup; use "cryptroot-unlock" program

* Makefile (install-client-nokey): Also install new script files
  "mandos-to-cryptroot-unlock" and "initramfs-tools-script-stop".
* debian/mandos-client.dirs: Add
  "usr/share/initramfs-tools/scripts/local-premount".
* initramfs-tools-hook: Also copy "mandos-to-cryptroot-unlock".
* initramfs-tools-script: Only modify keyscript setting in cryptroot
  file if the file exists, otherwise start
  "mandos-to-cryptroot-unlock" in background.
* initramfs-tools-script-stop: New script to make sure plugin-runner
  has stopped before continuing.
* mandos-to-cryptroot-unlock: New script to run plugin-runner and feed
  any password it gets into the "cryptroot-unlock" program.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2012-06-17">
 
5
<!ENTITY TIMESTAMP "2018-02-08">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
36
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
 
44
      <year>2018</year>
37
45
      <holder>Teddy Hogeborn</holder>
38
46
      <holder>Björn Påhlsson</holder>
39
47
    </copyright>
96
104
      </arg>
97
105
      <sbr/>
98
106
      <arg>
 
107
        <option>--dh-params <replaceable>FILE</replaceable></option>
 
108
      </arg>
 
109
      <sbr/>
 
110
      <arg>
99
111
        <option>--delay <replaceable>SECONDS</replaceable></option>
100
112
      </arg>
101
113
      <sbr/>
218
230
            assumed to separate the address from the port number.
219
231
          </para>
220
232
          <para>
221
 
            This option is normally only useful for testing and
222
 
            debugging.
 
233
            Normally, Zeroconf would be used to locate Mandos servers,
 
234
            in which case this option would only be used when testing
 
235
            and debugging.
223
236
          </para>
224
237
        </listitem>
225
238
      </varlistentry>
258
271
          <para>
259
272
            <replaceable>NAME</replaceable> can be the string
260
273
            <quote><literal>none</literal></quote>; this will make
261
 
            <command>&COMMANDNAME;</command> not bring up
262
 
            <emphasis>any</emphasis> interfaces specified
263
 
            <emphasis>after</emphasis> this string.  This is not
264
 
            recommended, and only meant for advanced users.
 
274
            <command>&COMMANDNAME;</command> only bring up interfaces
 
275
            specified <emphasis>before</emphasis> this string.  This
 
276
            is not recommended, and only meant for advanced users.
265
277
          </para>
266
278
        </listitem>
267
279
      </varlistentry>
309
321
        <listitem>
310
322
          <para>
311
323
            Sets the number of bits to use for the prime number in the
312
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
324
            TLS Diffie-Hellman key exchange.  The default value is
 
325
            selected automatically based on the OpenPGP key.  Note
 
326
            that if the <option>--dh-params</option> option is used,
 
327
            the values from that file will be used instead.
 
328
          </para>
 
329
        </listitem>
 
330
      </varlistentry>
 
331
      
 
332
      <varlistentry>
 
333
        <term><option>--dh-params=<replaceable
 
334
        >FILE</replaceable></option></term>
 
335
        <listitem>
 
336
          <para>
 
337
            Specifies a PEM-encoded PKCS#3 file to read the parameters
 
338
            needed by the TLS Diffie-Hellman key exchange from.  If
 
339
            this option is not given, or if the file for some reason
 
340
            could not be used, the parameters will be generated on
 
341
            startup, which will take some time and processing power.
 
342
            Those using servers running under time, power or processor
 
343
            constraints may want to generate such a file in advance
 
344
            and use this option.
313
345
          </para>
314
346
        </listitem>
315
347
      </varlistentry>
442
474
  
443
475
  <refsect1 id="environment">
444
476
    <title>ENVIRONMENT</title>
 
477
    <variablelist>
 
478
      <varlistentry>
 
479
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
 
480
        <listitem>
 
481
          <para>
 
482
            This environment variable will be assumed to contain the
 
483
            directory containing any helper executables.  The use and
 
484
            nature of these helper executables, if any, is
 
485
            purposefully not documented.
 
486
        </para>
 
487
        </listitem>
 
488
      </varlistentry>
 
489
    </variablelist>
445
490
    <para>
446
 
      This program does not use any environment variables, not even
447
 
      the ones provided by <citerefentry><refentrytitle
 
491
      This program does not use any other environment variables, not
 
492
      even the ones provided by <citerefentry><refentrytitle
448
493
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
449
494
    </citerefentry>.
450
495
    </para>
512
557
              It is not necessary to print any non-executable files
513
558
              already in the network hook directory, these will be
514
559
              copied implicitly if they otherwise satisfy the name
515
 
              requirement.
 
560
              requirements.
516
561
            </para>
517
562
          </listitem>
518
563
        </varlistentry>
650
695
    </variablelist>
651
696
  </refsect1>
652
697
  
653
 
<!--   <refsect1 id="bugs"> -->
654
 
<!--     <title>BUGS</title> -->
655
 
<!--     <para> -->
656
 
<!--     </para> -->
657
 
<!--   </refsect1> -->
 
698
  <refsect1 id="bugs">
 
699
    <title>BUGS</title>
 
700
    <xi:include href="../bugs.xml"/>
 
701
  </refsect1>
658
702
  
659
703
  <refsect1 id="example">
660
704
    <title>EXAMPLE</title>
666
710
    </para>
667
711
    <informalexample>
668
712
      <para>
669
 
        Normal invocation needs no options, if the network interface
 
713
        Normal invocation needs no options, if the network interfaces
670
714
        can be automatically determined:
671
715
      </para>
672
716
      <para>
675
719
    </informalexample>
676
720
    <informalexample>
677
721
      <para>
678
 
        Search for Mandos servers (and connect to them) using another
679
 
        interface:
 
722
        Search for Mandos servers (and connect to them) using one
 
723
        specific interface:
680
724
      </para>
681
725
      <para>
682
726
        <!-- do not wrap this line -->
746
790
    <para>
747
791
      It will also help if the checker program on the server is
748
792
      configured to request something from the client which can not be
749
 
      spoofed by someone else on the network, unlike unencrypted
750
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
793
      spoofed by someone else on the network, like SSH server key
 
794
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
795
      echo (<quote>ping</quote>) replies.
751
796
    </para>
752
797
    <para>
753
798
      <emphasis>Note</emphasis>: This makes it completely insecure to
799
844
      </varlistentry>
800
845
      <varlistentry>
801
846
        <term>
802
 
          <ulink url="http://www.gnu.org/software/gnutls/"
803
 
          >GnuTLS</ulink>
 
847
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
804
848
        </term>
805
849
      <listitem>
806
850
        <para>
812
856
      </varlistentry>
813
857
      <varlistentry>
814
858
        <term>
815
 
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
 
859
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
816
860
                 >GPGME</ulink>
817
861
        </term>
818
862
        <listitem>
846
890
              <para>
847
891
                This client uses IPv6 link-local addresses, which are
848
892
                immediately usable since a link-local addresses is
849
 
                automatically assigned to a network interfaces when it
 
893
                automatically assigned to a network interface when it
850
894
                is brought up.
851
895
              </para>
852
896
            </listitem>
856
900
      </varlistentry>
857
901
      <varlistentry>
858
902
        <term>
859
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
860
 
          Protocol Version 1.1</citetitle>
 
903
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
904
          Protocol Version 1.2</citetitle>
861
905
        </term>
862
906
      <listitem>
863
907
        <para>
864
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
908
          TLS 1.2 is the protocol implemented by GnuTLS.
865
909
        </para>
866
910
      </listitem>
867
911
      </varlistentry>
878
922
      </varlistentry>
879
923
      <varlistentry>
880
924
        <term>
881
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
 
925
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
882
926
          Security</citetitle>
883
927
        </term>
884
928
      <listitem>