/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2018-08-19 14:58:40 UTC
  • Revision ID: teddy@recompile.se-20180819145840-s1a3xar41lyoq4ty
Set executable permissions on new files

* initramfs-tools-script-stop: Did "chmod +x".
* mandos-to-cryptroot-unlock: - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2013-10-20">
 
5
<!ENTITY TIMESTAMP "2018-02-08">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
36
38
      <year>2012</year>
37
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
 
44
      <year>2018</year>
38
45
      <holder>Teddy Hogeborn</holder>
39
46
      <holder>Björn Påhlsson</holder>
40
47
    </copyright>
97
104
      </arg>
98
105
      <sbr/>
99
106
      <arg>
 
107
        <option>--dh-params <replaceable>FILE</replaceable></option>
 
108
      </arg>
 
109
      <sbr/>
 
110
      <arg>
100
111
        <option>--delay <replaceable>SECONDS</replaceable></option>
101
112
      </arg>
102
113
      <sbr/>
219
230
            assumed to separate the address from the port number.
220
231
          </para>
221
232
          <para>
222
 
            This option is normally only useful for testing and
223
 
            debugging.
 
233
            Normally, Zeroconf would be used to locate Mandos servers,
 
234
            in which case this option would only be used when testing
 
235
            and debugging.
224
236
          </para>
225
237
        </listitem>
226
238
      </varlistentry>
259
271
          <para>
260
272
            <replaceable>NAME</replaceable> can be the string
261
273
            <quote><literal>none</literal></quote>; this will make
262
 
            <command>&COMMANDNAME;</command> not bring up
263
 
            <emphasis>any</emphasis> interfaces specified
264
 
            <emphasis>after</emphasis> this string.  This is not
265
 
            recommended, and only meant for advanced users.
 
274
            <command>&COMMANDNAME;</command> only bring up interfaces
 
275
            specified <emphasis>before</emphasis> this string.  This
 
276
            is not recommended, and only meant for advanced users.
266
277
          </para>
267
278
        </listitem>
268
279
      </varlistentry>
310
321
        <listitem>
311
322
          <para>
312
323
            Sets the number of bits to use for the prime number in the
313
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
324
            TLS Diffie-Hellman key exchange.  The default value is
 
325
            selected automatically based on the OpenPGP key.  Note
 
326
            that if the <option>--dh-params</option> option is used,
 
327
            the values from that file will be used instead.
 
328
          </para>
 
329
        </listitem>
 
330
      </varlistentry>
 
331
      
 
332
      <varlistentry>
 
333
        <term><option>--dh-params=<replaceable
 
334
        >FILE</replaceable></option></term>
 
335
        <listitem>
 
336
          <para>
 
337
            Specifies a PEM-encoded PKCS#3 file to read the parameters
 
338
            needed by the TLS Diffie-Hellman key exchange from.  If
 
339
            this option is not given, or if the file for some reason
 
340
            could not be used, the parameters will be generated on
 
341
            startup, which will take some time and processing power.
 
342
            Those using servers running under time, power or processor
 
343
            constraints may want to generate such a file in advance
 
344
            and use this option.
314
345
          </para>
315
346
        </listitem>
316
347
      </varlistentry>
443
474
  
444
475
  <refsect1 id="environment">
445
476
    <title>ENVIRONMENT</title>
 
477
    <variablelist>
 
478
      <varlistentry>
 
479
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
 
480
        <listitem>
 
481
          <para>
 
482
            This environment variable will be assumed to contain the
 
483
            directory containing any helper executables.  The use and
 
484
            nature of these helper executables, if any, is
 
485
            purposefully not documented.
 
486
        </para>
 
487
        </listitem>
 
488
      </varlistentry>
 
489
    </variablelist>
446
490
    <para>
447
 
      This program does not use any environment variables, not even
448
 
      the ones provided by <citerefentry><refentrytitle
 
491
      This program does not use any other environment variables, not
 
492
      even the ones provided by <citerefentry><refentrytitle
449
493
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
450
494
    </citerefentry>.
451
495
    </para>
651
695
    </variablelist>
652
696
  </refsect1>
653
697
  
654
 
<!--   <refsect1 id="bugs"> -->
655
 
<!--     <title>BUGS</title> -->
656
 
<!--     <para> -->
657
 
<!--     </para> -->
658
 
<!--   </refsect1> -->
 
698
  <refsect1 id="bugs">
 
699
    <title>BUGS</title>
 
700
    <xi:include href="../bugs.xml"/>
 
701
  </refsect1>
659
702
  
660
703
  <refsect1 id="example">
661
704
    <title>EXAMPLE</title>
747
790
    <para>
748
791
      It will also help if the checker program on the server is
749
792
      configured to request something from the client which can not be
750
 
      spoofed by someone else on the network, unlike unencrypted
751
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
793
      spoofed by someone else on the network, like SSH server key
 
794
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
795
      echo (<quote>ping</quote>) replies.
752
796
    </para>
753
797
    <para>
754
798
      <emphasis>Note</emphasis>: This makes it completely insecure to
800
844
      </varlistentry>
801
845
      <varlistentry>
802
846
        <term>
803
 
          <ulink url="http://www.gnu.org/software/gnutls/"
804
 
          >GnuTLS</ulink>
 
847
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
805
848
        </term>
806
849
      <listitem>
807
850
        <para>
813
856
      </varlistentry>
814
857
      <varlistentry>
815
858
        <term>
816
 
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
 
859
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
817
860
                 >GPGME</ulink>
818
861
        </term>
819
862
        <listitem>
857
900
      </varlistentry>
858
901
      <varlistentry>
859
902
        <term>
860
 
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
861
 
          Protocol Version 1.1</citetitle>
 
903
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
904
          Protocol Version 1.2</citetitle>
862
905
        </term>
863
906
      <listitem>
864
907
        <para>
865
 
          TLS 1.1 is the protocol implemented by GnuTLS.
 
908
          TLS 1.2 is the protocol implemented by GnuTLS.
866
909
        </para>
867
910
      </listitem>
868
911
      </varlistentry>
879
922
      </varlistentry>
880
923
      <varlistentry>
881
924
        <term>
882
 
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
 
925
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
883
926
          Security</citetitle>
884
927
        </term>
885
928
      <listitem>