/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2019-02-09 23:23:26 UTC
  • Revision ID: teddy@recompile.se-20190209232326-z1z2kzpgfixz7iaj
Add support for using raw public keys in TLS (RFC 7250)

Since GnuTLS removed support for OpenPGP keys in TLS (RFC 6091), and
no other library supports it, we have to change the protocol to use
something else.  We choose to use "raw public keys" (RFC 7250).  Since
we still use OpenPGP keys to decrypt the secret password, this means
that each client will have two keys: One OpenPGP key and one TLS
public/private key, and the key ID of the latter key is used to
identify clients instead of the fingerprint of the OpenPGP key.

Note that this code is still compatible with GnuTLS before version
3.6.0 (when OpenPGP key support was removed).  This commit merely adds
support for using raw pulic keys instead with GnuTLS 3.6.6. or later.

* DBUS-API (Signals/ClientNotFound): Change name of first parameter
                                     from "Fingerprint" to "KeyID".
  (Mandos Client Interface/Properties/KeyID): New.
* INSTALL: Document conflict with GnuTLS 3.6.0 (which removed OpenPGP
           key support) up until 3.6.6, when support for raw public
           keys was added.  Also document new dependency of client on
           "gnutls-bin" package (for certtool).
* Makefile (run-client): Depend on TLS key files, and also pass them
                         as arguments to client.
  (keydir/tls-privkey.pem, keydir/tls-pubkey.pem): New.
  (confdir/clients.conf): Add dependency on TLS public key.
  (purge-client): Add removal of TLS key files.
* clients.conf ([foo]/key_id, [bar]/key_id): New.
* debian/control (Source: mandos/Build-Depends): Also allow
                                                 libgnutls30 (>= 3.6.6)
  (Package: mandos/Depends): - '' -
  (Package: mandos/Description): Alter description to match new
                                 design.
  (Package: mandos-client/Description): - '' -
  (Package: mandos-client/Depends): Move "gnutls-bin | openssl" to
                                    here from "Recommends".
* debian/mandos-client.README.Debian: Add --tls-privkey and
                                      --tls-pubkey options to test
                                      command.
* debian/mandos-client.postinst (create_key): Renamed to "create_keys"
                                             (all callers changed),
                                             and also create TLS key.
* debian/mandos-client.postrm (purge): Also remove TLS key files.
* intro.xml (DESCRIPTION): Describe new dual-key design.
* mandos (GnuTLS): Define different functions depending on whether
                   support for raw public keys is detected.
  (Client.key_id): New attribute.
  (ClientDBus.KeyID_dbus_property): New method.
  (ProxyClient.__init__): Take new "key_id" parameter.
  (ClientHandler.handle): Use key IDs when using raw public keys and
                          use fingerprints when using OpenPGP keys.
  (ClientHandler.peer_certificate): Also handle raw public keys.
  (ClientHandler.key_id): New.
  (MandosServer.handle_ipc): Pass key ID over the pipe IPC.  Also
                             check for key ID matches when looking up
                             clients.
  (main): Default GnuTLS priority string depends on whether we are
          using raw public keys or not.  When unpickling clients, set
          key_id if not set in the pickle.
  (main/MandosDBusService.ClientNotFound): Change name of first
                                           parameter from
                                           "Fingerprint" to "KeyID".
* mandos-clients.conf.xml (OPTIONS): Document new "key_id" option.
  (OPTIONS/secret): Mention new key ID matchning.
  (EXPANSION/RUNTIME EXPANSION): Add new "key_id" option.
  (EXAMPLE): - '' -
* mandos-ctl (tablewords, main/keywords): Add new "KeyID" property.
* mandos-keygen: Create TLS key files.  New "--tls-keytype" (-T)
                 option.  Alter help text to be more clear about key
                 types.  When in password mode, also output "key_id"
                 option.
* mandos-keygen.xml (SYNOPSIS): Add new "--tls-keytype" (-T) option.
  (DESCRIPTION): Alter to match new dual-key design.
  (OVERVIEW): - '' -
  (FILES): Add TLS key files.
* mandos-options.xml (priority): Document new default priority string
                                 when using raw public keys.
* mandos.xml (NETWORK PROTOCOL): Describe new protocol using key ID.
  (BUGS): Remove issue about checking expire times of OpenPGP keys,
          since TLS public keys do not have expiration times.
  (SECURITY/CLIENT): Alter description to match new design.
  (SEE ALSO/GnuTLS): - '' -
  (SEE ALSO): Add reference to RFC 7250, and alter description of when
              RFC 6091 is used.
* overview.xml: Alter text to match new design.
* plugin-runner.xml (EXAMPLE): Add --tls-pubkey and --tls-privkey
                               options to mandos-client options.
* plugins.d/mandos-client.c: Use raw public keys when compiling with
                             supporting GnuTLS versions. Add new
                             "--tls-pubkey" and "--tls-privkey"
                             options (which do nothing if GnuTLS
                             library does not support raw public
                             keys).  Alter text throughout to reflect
                             new design.  Only generate new DH
                             parameters (based on size of OpenPGP key)
                             when using OpenPGP in TLS.  Default
                             GnuTLS priority string depends on whether
                             we are using raw public keys or not.
* plugins.d/mandos-client.xml (SYNOPSIS): Add new "--tls-privkey" (-t)
                                          and "--tls-pubkey" (-T)
                                          options.
  (DESCRIPTION): Describe new dual-key design.
  (OPTIONS): Document new "--tls-privkey" (-t) and "--tls-pubkey" (-T)
             options.
  (OPTIONS/--dh-bits): No longer necessarily depends on OpenPGP key
                       size.
  (FILES): Add default locations for TLS public and private key files.
  (EXAMPLE): Use new --tls-pubkey and --tls-privkey options.
  (SECURITY): Alter wording slightly to reflect new dual-key design.
  (SEE ALSO/GnuTLS): Alter description to match new design.
  (SEE ALSO): Add reference to RFC 7250, and alter description of when
              RFC 6091 is used.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
<?xml version='1.0' encoding='UTF-8'?>
2
 
<?xml-stylesheet type="text/xsl"
3
 
        href="http://docbook.sourceforge.net/release/xsl/current/manpages/docbook.xsl"?>
 
1
<?xml version="1.0" encoding="UTF-8"?>
4
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
5
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
6
 
<!ENTITY VERSION "1.0">
7
 
<!ENTITY COMMANDNAME "password-request">
 
4
<!ENTITY COMMANDNAME "mandos-client">
 
5
<!ENTITY TIMESTAMP "2019-02-09">
 
6
<!ENTITY % common SYSTEM "../common.ent">
 
7
%common;
8
8
]>
9
9
 
10
 
<refentry>
 
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
11
  <refentryinfo>
12
 
    <title>&COMMANDNAME;</title>
13
 
    <!-- NWalsh's docbook scripts use this to generate the footer: -->
14
 
    <productname>&COMMANDNAME;</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
12
    <title>Mandos Manual</title>
 
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
14
    <productname>Mandos</productname>
 
15
    <productnumber>&version;</productnumber>
 
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
18
19
        <firstname>Björn</firstname>
19
20
        <surname>Påhlsson</surname>
20
21
        <address>
21
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
22
23
        </address>
23
24
      </author>
24
25
      <author>
25
26
        <firstname>Teddy</firstname>
26
27
        <surname>Hogeborn</surname>
27
28
        <address>
28
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
29
30
        </address>
30
31
      </author>
31
32
    </authorgroup>
32
33
    <copyright>
33
34
      <year>2008</year>
34
 
      <holder>Teddy Hogeborn &amp; Björn Påhlsson</holder>
 
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
 
44
      <year>2018</year>
 
45
      <holder>Teddy Hogeborn</holder>
 
46
      <holder>Björn Påhlsson</holder>
35
47
    </copyright>
36
 
    <legalnotice>
37
 
      <para>
38
 
        This manual page is free software: you can redistribute it
39
 
        and/or modify it under the terms of the GNU General Public
40
 
        License as published by the Free Software Foundation,
41
 
        either version 3 of the License, or (at your option) any
42
 
        later version.
43
 
      </para>
44
 
 
45
 
      <para>
46
 
        This manual page is distributed in the hope that it will
47
 
        be useful, but WITHOUT ANY WARRANTY; without even the
48
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
49
 
        PARTICULAR PURPOSE.  See the GNU General Public License
50
 
        for more details.
51
 
      </para>
52
 
 
53
 
      <para>
54
 
        You should have received a copy of the GNU General Public
55
 
        License along with this program; If not, see
56
 
        <ulink url="http://www.gnu.org/licenses/"/>.
57
 
      </para>
58
 
    </legalnotice>
 
48
    <xi:include href="../legalnotice.xml"/>
59
49
  </refentryinfo>
60
 
 
 
50
  
61
51
  <refmeta>
62
52
    <refentrytitle>&COMMANDNAME;</refentrytitle>
63
53
    <manvolnum>8mandos</manvolnum>
66
56
  <refnamediv>
67
57
    <refname><command>&COMMANDNAME;</command></refname>
68
58
    <refpurpose>
69
 
      Client for mandos
 
59
      Client for <application>Mandos</application>
70
60
    </refpurpose>
71
61
  </refnamediv>
72
 
 
 
62
  
73
63
  <refsynopsisdiv>
74
64
    <cmdsynopsis>
75
65
      <command>&COMMANDNAME;</command>
76
 
      <arg choice='opt'>--connect<arg choice='plain'>IP</arg></arg>
77
 
      <arg choice='opt'>--keydir<arg choice='plain'>KEYDIR</arg></arg>
78
 
      <arg choice='opt'>--interface<arg choice='plain'>INTERFACE</arg></arg>
79
 
      <arg choice='opt'>--pubkey<arg choice='plain'>PUBKEY</arg></arg>
80
 
      <arg choice='opt'>--seckey<arg choice='plain'>SECKEY</arg></arg>
81
 
      <arg choice='opt'>--priority<arg choice='plain'>PRIORITY</arg></arg>
82
 
      <arg choice='opt'>--dh-bits<arg choice='plain'>BITS</arg></arg>      
83
 
      <arg choice='opt'>--debug</arg>
84
 
    </cmdsynopsis>
85
 
    <cmdsynopsis>
86
 
      <command>&COMMANDNAME;</command>
87
 
      <arg choice='plain'>--help</arg>
88
 
    </cmdsynopsis>
89
 
    <cmdsynopsis>
90
 
      <command>&COMMANDNAME;</command>
91
 
      <arg choice='plain'>--usage</arg>
92
 
    </cmdsynopsis>
93
 
    <cmdsynopsis>
94
 
      <command>&COMMANDNAME;</command>
95
 
      <arg choice='plain'>--version</arg>
96
 
    </cmdsynopsis>    
 
66
      <group>
 
67
        <arg choice="plain"><option>--connect
 
68
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
69
        ><replaceable>PORT</replaceable></option></arg>
 
70
        <arg choice="plain"><option>-c
 
71
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
72
        ><replaceable>PORT</replaceable></option></arg>
 
73
      </group>
 
74
      <sbr/>
 
75
      <group rep='repeat'>
 
76
        <arg choice="plain"><option>--interface
 
77
        <replaceable>NAME</replaceable><arg rep='repeat'
 
78
        >,<replaceable>NAME</replaceable></arg></option></arg>
 
79
        <arg choice="plain"><option>-i <replaceable>NAME</replaceable
 
80
        ><arg rep='repeat'>,<replaceable>NAME</replaceable></arg
 
81
        ></option></arg>
 
82
      </group>
 
83
      <sbr/>
 
84
      <group>
 
85
        <arg choice="plain"><option>--pubkey
 
86
        <replaceable>FILE</replaceable></option></arg>
 
87
        <arg choice="plain"><option>-p
 
88
        <replaceable>FILE</replaceable></option></arg>
 
89
      </group>
 
90
      <sbr/>
 
91
      <group>
 
92
        <arg choice="plain"><option>--seckey
 
93
        <replaceable>FILE</replaceable></option></arg>
 
94
        <arg choice="plain"><option>-s
 
95
        <replaceable>FILE</replaceable></option></arg>
 
96
      </group>
 
97
      <sbr/>
 
98
      <group>
 
99
        <arg choice="plain"><option>--tls-privkey
 
100
        <replaceable>FILE</replaceable></option></arg>
 
101
        <arg choice="plain"><option>-t
 
102
        <replaceable>FILE</replaceable></option></arg>
 
103
      </group>
 
104
      <sbr/>
 
105
      <group>
 
106
        <arg choice="plain"><option>--tls-pubkey
 
107
        <replaceable>FILE</replaceable></option></arg>
 
108
        <arg choice="plain"><option>-T
 
109
        <replaceable>FILE</replaceable></option></arg>
 
110
      </group>
 
111
      <sbr/>
 
112
      <arg>
 
113
        <option>--priority <replaceable>STRING</replaceable></option>
 
114
      </arg>
 
115
      <sbr/>
 
116
      <arg>
 
117
        <option>--dh-bits <replaceable>BITS</replaceable></option>
 
118
      </arg>
 
119
      <sbr/>
 
120
      <arg>
 
121
        <option>--dh-params <replaceable>FILE</replaceable></option>
 
122
      </arg>
 
123
      <sbr/>
 
124
      <arg>
 
125
        <option>--delay <replaceable>SECONDS</replaceable></option>
 
126
      </arg>
 
127
      <sbr/>
 
128
      <arg>
 
129
        <option>--retry <replaceable>SECONDS</replaceable></option>
 
130
      </arg>
 
131
      <sbr/>
 
132
      <arg>
 
133
        <option>--network-hook-dir
 
134
        <replaceable>DIR</replaceable></option>
 
135
      </arg>
 
136
      <sbr/>
 
137
      <arg>
 
138
        <option>--debug</option>
 
139
      </arg>
 
140
    </cmdsynopsis>
 
141
    <cmdsynopsis>
 
142
      <command>&COMMANDNAME;</command>
 
143
      <group choice="req">
 
144
        <arg choice="plain"><option>--help</option></arg>
 
145
        <arg choice="plain"><option>-?</option></arg>
 
146
      </group>
 
147
    </cmdsynopsis>
 
148
    <cmdsynopsis>
 
149
      <command>&COMMANDNAME;</command>
 
150
      <arg choice="plain"><option>--usage</option></arg>
 
151
    </cmdsynopsis>
 
152
    <cmdsynopsis>
 
153
      <command>&COMMANDNAME;</command>
 
154
      <group choice="req">
 
155
        <arg choice="plain"><option>--version</option></arg>
 
156
        <arg choice="plain"><option>-V</option></arg>
 
157
      </group>
 
158
    </cmdsynopsis>
97
159
  </refsynopsisdiv>
98
 
 
 
160
  
99
161
  <refsect1 id="description">
100
162
    <title>DESCRIPTION</title>
101
163
    <para>
102
 
      <command>&COMMANDNAME;</command> is a mandos plugin that works
103
 
      like a client program that through avahi detects mandos servers,
104
 
      sets up a gnutls connect and request a encrypted password. Any
105
 
      passwords given is automaticly decrypted and passed to
106
 
      cryptsetup.
107
 
    </para>
108
 
  </refsect1>  
 
164
      <command>&COMMANDNAME;</command> is a client program that
 
165
      communicates with <citerefentry><refentrytitle
 
166
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>
 
167
      to get a password.  In slightly more detail, this client program
 
168
      brings up network interfaces, uses the interfaces’ IPv6
 
169
      link-local addresses to get network connectivity, uses Zeroconf
 
170
      to find servers on the local network, and communicates with
 
171
      servers using TLS with a raw public key to ensure authenticity
 
172
      and confidentiality.  This client program keeps running, trying
 
173
      all servers on the network, until it receives a satisfactory
 
174
      reply or a TERM signal.  After all servers have been tried, all
 
175
      servers are periodically retried.  If no servers are found it
 
176
      will wait indefinitely for new servers to appear.
 
177
    </para>
 
178
    <para>
 
179
      The network interfaces are selected like this: If any interfaces
 
180
      are specified using the <option>--interface</option> option,
 
181
      those interface are used.  Otherwise,
 
182
      <command>&COMMANDNAME;</command> will use all interfaces that
 
183
      are not loopback interfaces, are not point-to-point interfaces,
 
184
      are capable of broadcasting and do not have the NOARP flag (see
 
185
      <citerefentry><refentrytitle>netdevice</refentrytitle>
 
186
      <manvolnum>7</manvolnum></citerefentry>).  (If the
 
187
      <option>--connect</option> option is used, point-to-point
 
188
      interfaces and non-broadcast interfaces are accepted.)  If any
 
189
      used interfaces are not up and running, they are first taken up
 
190
      (and later taken down again on program exit).
 
191
    </para>
 
192
    <para>
 
193
      Before network interfaces are selected, all <quote>network
 
194
      hooks</quote> are run; see <xref linkend="network-hooks"/>.
 
195
    </para>
 
196
    <para>
 
197
      This program is not meant to be run directly; it is really meant
 
198
      to run as a plugin of the <application>Mandos</application>
 
199
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
200
      <manvolnum>8mandos</manvolnum></citerefentry>, which runs in the
 
201
      initial <acronym>RAM</acronym> disk environment because it is
 
202
      specified as a <quote>keyscript</quote> in the <citerefentry>
 
203
      <refentrytitle>crypttab</refentrytitle><manvolnum>5</manvolnum>
 
204
      </citerefentry> file.
 
205
    </para>
 
206
  </refsect1>
 
207
  
 
208
  <refsect1 id="purpose">
 
209
    <title>PURPOSE</title>
 
210
    <para>
 
211
      The purpose of this is to enable <emphasis>remote and unattended
 
212
      rebooting</emphasis> of client host computer with an
 
213
      <emphasis>encrypted root file system</emphasis>.  See <xref
 
214
      linkend="overview"/> for details.
 
215
    </para>
 
216
  </refsect1>
109
217
  
110
218
  <refsect1 id="options">
111
219
    <title>OPTIONS</title>
112
220
    <para>
113
 
      Commonly not invoked as command lines but from configuration
114
 
      file of plugin runner.
 
221
      This program is commonly not invoked from the command line; it
 
222
      is normally started by the <application>Mandos</application>
 
223
      plugin runner, see <citerefentry><refentrytitle
 
224
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
 
225
      </citerefentry>.  Any command line options this program accepts
 
226
      are therefore normally provided by the plugin runner, and not
 
227
      directly.
115
228
    </para>
116
 
 
 
229
    
117
230
    <variablelist>
118
231
      <varlistentry>
119
 
        <term><literal>-c</literal>, <literal>--connect=<replaceable>
120
 
        IP</replaceable></literal></term>
121
 
        <listitem>
122
 
          <para>
123
 
            Connect directly to a specified mandos server
124
 
          </para>
125
 
        </listitem>
126
 
      </varlistentry>
127
 
 
128
 
      <varlistentry>
129
 
        <term><literal>-d</literal>, <literal>--keydir=<replaceable>
130
 
        KEYDIR</replaceable></literal></term>
131
 
        <listitem>
132
 
          <para>
133
 
            Directory where the openpgp keyring is
134
 
          </para>
135
 
        </listitem>
136
 
      </varlistentry>      
137
 
 
138
 
      <varlistentry>
139
 
        <term><literal>-i</literal>, <literal>--interface=
140
 
        <replaceable>INTERFACE</replaceable></literal></term>
141
 
        <listitem>
142
 
          <para>
143
 
            Interface that Avahi will conntect through
144
 
          </para>
145
 
        </listitem>
146
 
      </varlistentry>      
147
 
 
148
 
      <varlistentry>
149
 
        <term><literal>-p</literal>, <literal>--pubkey=<replaceable>
150
 
        PUBKEY</replaceable></literal></term>
151
 
        <listitem>
152
 
          <para>
153
 
            Public openpgp key for gnutls authentication
154
 
          </para>
155
 
        </listitem>
156
 
      </varlistentry>      
157
 
 
158
 
      <varlistentry>
159
 
        <term><literal>-s</literal>, <literal>--seckey=<replaceable>
160
 
        SECKEY</replaceable></literal></term>
161
 
        <listitem>
162
 
          <para>
163
 
            Secret openpgp key for gnutls authentication
164
 
          </para>
165
 
        </listitem>
166
 
      </varlistentry>            
167
 
      
168
 
      <varlistentry>
169
 
        <term><literal>--priority=<replaceable>PRIORITY</replaceable>
170
 
        </literal></term>
171
 
        <listitem>
172
 
          <para>
173
 
            GNUTLS priority
174
 
          </para>
175
 
        </listitem>
176
 
      </varlistentry>            
177
 
 
178
 
      <varlistentry>
179
 
        <term><literal>--dh-bits=<replaceable>BITS</replaceable>
180
 
        </literal></term>
181
 
        <listitem>
182
 
          <para>
183
 
            dh-bits to use in gnutls communication
184
 
          </para>
185
 
        </listitem>
186
 
      </varlistentry>      
187
 
      
188
 
      <varlistentry>
189
 
        <term><literal>--debug</literal></term>
190
 
        <listitem>
191
 
          <para>
192
 
            Debug mode
193
 
          </para>
194
 
        </listitem>
195
 
      </varlistentry>
196
 
      
197
 
      <varlistentry>
198
 
        <term><literal>-?</literal>, <literal>--help</literal></term>
199
 
        <listitem>
200
 
          <para>
201
 
            Gives a help message
202
 
          </para>
203
 
        </listitem>
204
 
      </varlistentry>
205
 
      
206
 
      <varlistentry>
207
 
        <term><literal>--usage</literal></term>
208
 
        <listitem>
209
 
          <para>
210
 
            Gives a short usage message
211
 
          </para>
212
 
        </listitem>
213
 
      </varlistentry>
214
 
 
215
 
      <varlistentry>
216
 
        <term><literal>-V</literal>, <literal>--version</literal></term>
217
 
        <listitem>
218
 
          <para>
219
 
            Prints the program version
220
 
          </para>
221
 
        </listitem>
222
 
      </varlistentry>            
 
232
        <term><option>--connect=<replaceable
 
233
        >ADDRESS</replaceable><literal>:</literal><replaceable
 
234
        >PORT</replaceable></option></term>
 
235
        <term><option>-c
 
236
        <replaceable>ADDRESS</replaceable><literal>:</literal
 
237
        ><replaceable>PORT</replaceable></option></term>
 
238
        <listitem>
 
239
          <para>
 
240
            Do not use Zeroconf to locate servers.  Connect directly
 
241
            to only one specified <application>Mandos</application>
 
242
            server.  Note that an IPv6 address has colon characters in
 
243
            it, so the <emphasis>last</emphasis> colon character is
 
244
            assumed to separate the address from the port number.
 
245
          </para>
 
246
          <para>
 
247
            Normally, Zeroconf would be used to locate Mandos servers,
 
248
            in which case this option would only be used when testing
 
249
            and debugging.
 
250
          </para>
 
251
        </listitem>
 
252
      </varlistentry>
 
253
      
 
254
      <varlistentry>
 
255
        <term><option>--interface=<replaceable
 
256
        >NAME</replaceable><arg rep='repeat'>,<replaceable
 
257
        >NAME</replaceable></arg></option></term>
 
258
        <term><option>-i
 
259
        <replaceable>NAME</replaceable><arg rep='repeat'>,<replaceable
 
260
        >NAME</replaceable></arg></option></term>
 
261
        <listitem>
 
262
          <para>
 
263
            Comma separated list of network interfaces that will be
 
264
            brought up and scanned for Mandos servers to connect to.
 
265
            The default is the empty string, which will automatically
 
266
            use all appropriate interfaces.
 
267
          </para>
 
268
          <para>
 
269
            If the <option>--connect</option> option is used, and
 
270
            exactly one interface name is specified (except
 
271
            <quote><literal>none</literal></quote>), this specifies
 
272
            the interface to use to connect to the address given.
 
273
          </para>
 
274
          <para>
 
275
            Note that since this program will normally run in the
 
276
            initial RAM disk environment, the interface must be an
 
277
            interface which exists at that stage.  Thus, the interface
 
278
            can normally not be a pseudo-interface such as
 
279
            <quote>br0</quote> or <quote>tun0</quote>; such interfaces
 
280
            will not exist until much later in the boot process, and
 
281
            can not be used by this program, unless created by a
 
282
            <quote>network hook</quote> — see <xref
 
283
            linkend="network-hooks"/>.
 
284
          </para>
 
285
          <para>
 
286
            <replaceable>NAME</replaceable> can be the string
 
287
            <quote><literal>none</literal></quote>; this will make
 
288
            <command>&COMMANDNAME;</command> only bring up interfaces
 
289
            specified <emphasis>before</emphasis> this string.  This
 
290
            is not recommended, and only meant for advanced users.
 
291
          </para>
 
292
        </listitem>
 
293
      </varlistentry>
 
294
      
 
295
      <varlistentry>
 
296
        <term><option>--pubkey=<replaceable
 
297
        >FILE</replaceable></option></term>
 
298
        <term><option>-p
 
299
        <replaceable>FILE</replaceable></option></term>
 
300
        <listitem>
 
301
          <para>
 
302
            OpenPGP public key file name.  The default name is
 
303
            <quote><filename>/conf/conf.d/mandos/pubkey.txt</filename
 
304
            ></quote>.
 
305
          </para>
 
306
        </listitem>
 
307
      </varlistentry>
 
308
      
 
309
      <varlistentry>
 
310
        <term><option>--seckey=<replaceable
 
311
        >FILE</replaceable></option></term>
 
312
        <term><option>-s
 
313
        <replaceable>FILE</replaceable></option></term>
 
314
        <listitem>
 
315
          <para>
 
316
            OpenPGP secret key file name.  The default name is
 
317
            <quote><filename>/conf/conf.d/mandos/seckey.txt</filename
 
318
            ></quote>.
 
319
          </para>
 
320
        </listitem>
 
321
      </varlistentry>
 
322
      
 
323
      <varlistentry>
 
324
        <term><option>--tls-pubkey=<replaceable
 
325
        >FILE</replaceable></option></term>
 
326
        <term><option>-T
 
327
        <replaceable>FILE</replaceable></option></term>
 
328
        <listitem>
 
329
          <para>
 
330
            TLS raw public key file name.  The default name is
 
331
            <quote><filename>/conf/conf.d/mandos/tls-pubkey.pem</filename
 
332
            ></quote>.
 
333
          </para>
 
334
        </listitem>
 
335
      </varlistentry>
 
336
 
 
337
      <varlistentry>
 
338
        <term><option>--tls-privkey=<replaceable
 
339
        >FILE</replaceable></option></term>
 
340
        <term><option>-t
 
341
        <replaceable>FILE</replaceable></option></term>
 
342
        <listitem>
 
343
          <para>
 
344
            TLS secret key file name.  The default name is
 
345
            <quote><filename>/conf/conf.d/mandos/tls-privkey.pem</filename
 
346
            ></quote>.
 
347
          </para>
 
348
        </listitem>
 
349
      </varlistentry>
 
350
 
 
351
      <varlistentry>
 
352
        <term><option>--priority=<replaceable
 
353
        >STRING</replaceable></option></term>
 
354
        <listitem>
 
355
          <xi:include href="../mandos-options.xml"
 
356
                      xpointer="priority"/>
 
357
        </listitem>
 
358
      </varlistentry>
 
359
      
 
360
      <varlistentry>
 
361
        <term><option>--dh-bits=<replaceable
 
362
        >BITS</replaceable></option></term>
 
363
        <listitem>
 
364
          <para>
 
365
            Sets the number of bits to use for the prime number in the
 
366
            TLS Diffie-Hellman key exchange.  The default value is
 
367
            selected automatically based on the GnuTLS security
 
368
            profile set in its priority string.  Note that if the
 
369
            <option>--dh-params</option> option is used, the values
 
370
            from that file will be used instead.
 
371
          </para>
 
372
        </listitem>
 
373
      </varlistentry>
 
374
      
 
375
      <varlistentry>
 
376
        <term><option>--dh-params=<replaceable
 
377
        >FILE</replaceable></option></term>
 
378
        <listitem>
 
379
          <para>
 
380
            Specifies a PEM-encoded PKCS#3 file to read the parameters
 
381
            needed by the TLS Diffie-Hellman key exchange from.  If
 
382
            this option is not given, or if the file for some reason
 
383
            could not be used, the parameters will be generated on
 
384
            startup, which will take some time and processing power.
 
385
            Those using servers running under time, power or processor
 
386
            constraints may want to generate such a file in advance
 
387
            and use this option.
 
388
          </para>
 
389
        </listitem>
 
390
      </varlistentry>
 
391
 
 
392
      <varlistentry>
 
393
        <term><option>--delay=<replaceable
 
394
        >SECONDS</replaceable></option></term>
 
395
        <listitem>
 
396
          <para>
 
397
            After bringing a network interface up, the program waits
 
398
            for the interface to arrive in a <quote>running</quote>
 
399
            state before proceeding.  During this time, the kernel log
 
400
            level will be lowered to reduce clutter on the system
 
401
            console, alleviating any other plugins which might be
 
402
            using the system console.  This option sets the upper
 
403
            limit of seconds to wait.  The default is 2.5 seconds.
 
404
          </para>
 
405
        </listitem>
 
406
      </varlistentry>
 
407
 
 
408
      <varlistentry>
 
409
        <term><option>--retry=<replaceable
 
410
        >SECONDS</replaceable></option></term>
 
411
        <listitem>
 
412
          <para>
 
413
            All Mandos servers are tried repeatedly until a password
 
414
            is received.  This value specifies, in seconds, how long
 
415
            between each successive try <emphasis>for the same
 
416
            server</emphasis>.  The default is 10 seconds.
 
417
          </para>
 
418
        </listitem>
 
419
      </varlistentry>
 
420
 
 
421
      <varlistentry>
 
422
        <term><option>--network-hook-dir=<replaceable
 
423
        >DIR</replaceable></option></term>
 
424
        <listitem>
 
425
          <para>
 
426
            Network hook directory.  The default directory is
 
427
            <quote><filename class="directory"
 
428
            >/lib/mandos/network-hooks.d</filename></quote>.
 
429
          </para>
 
430
        </listitem>
 
431
      </varlistentry>
 
432
      
 
433
      <varlistentry>
 
434
        <term><option>--debug</option></term>
 
435
        <listitem>
 
436
          <para>
 
437
            Enable debug mode.  This will enable a lot of output to
 
438
            standard error about what the program is doing.  The
 
439
            program will still perform all other functions normally.
 
440
          </para>
 
441
          <para>
 
442
            It will also enable debug mode in the Avahi and GnuTLS
 
443
            libraries, making them print large amounts of debugging
 
444
            output.
 
445
          </para>
 
446
        </listitem>
 
447
      </varlistentry>
 
448
      
 
449
      <varlistentry>
 
450
        <term><option>--help</option></term>
 
451
        <term><option>-?</option></term>
 
452
        <listitem>
 
453
          <para>
 
454
            Gives a help message about options and their meanings.
 
455
          </para>
 
456
        </listitem>
 
457
      </varlistentry>
 
458
      
 
459
      <varlistentry>
 
460
        <term><option>--usage</option></term>
 
461
        <listitem>
 
462
          <para>
 
463
            Gives a short usage message.
 
464
          </para>
 
465
        </listitem>
 
466
      </varlistentry>
 
467
      
 
468
      <varlistentry>
 
469
        <term><option>--version</option></term>
 
470
        <term><option>-V</option></term>
 
471
        <listitem>
 
472
          <para>
 
473
            Prints the program version.
 
474
          </para>
 
475
        </listitem>
 
476
      </varlistentry>
223
477
    </variablelist>
224
478
  </refsect1>
225
 
 
 
479
  
 
480
  <refsect1 id="overview">
 
481
    <title>OVERVIEW</title>
 
482
    <xi:include href="../overview.xml"/>
 
483
    <para>
 
484
      This program is the client part.  It is a plugin started by
 
485
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
486
      <manvolnum>8mandos</manvolnum></citerefentry> which will run in
 
487
      an initial <acronym>RAM</acronym> disk environment.
 
488
    </para>
 
489
    <para>
 
490
      This program could, theoretically, be used as a keyscript in
 
491
      <filename>/etc/crypttab</filename>, but it would then be
 
492
      impossible to enter a password for the encrypted root disk at
 
493
      the console, since this program does not read from the console
 
494
      at all.  This is why a separate plugin runner (<citerefentry>
 
495
      <refentrytitle>plugin-runner</refentrytitle>
 
496
      <manvolnum>8mandos</manvolnum></citerefentry>) is used to run
 
497
      both this program and others in in parallel,
 
498
      <emphasis>one</emphasis> of which (<citerefentry>
 
499
      <refentrytitle>password-prompt</refentrytitle>
 
500
      <manvolnum>8mandos</manvolnum></citerefentry>) will prompt for
 
501
      passwords on the system console.
 
502
    </para>
 
503
  </refsect1>
 
504
  
226
505
  <refsect1 id="exit_status">
227
506
    <title>EXIT STATUS</title>
228
507
    <para>
 
508
      This program will exit with a successful (zero) exit status if a
 
509
      server could be found and the password received from it could be
 
510
      successfully decrypted and output on standard output.  The
 
511
      program will exit with a non-zero exit status only if a critical
 
512
      error occurs.  Otherwise, it will forever connect to any
 
513
      discovered <application>Mandos</application> servers, trying to
 
514
      get a decryptable password and print it.
229
515
    </para>
230
516
  </refsect1>
231
 
 
 
517
  
232
518
  <refsect1 id="environment">
233
519
    <title>ENVIRONMENT</title>
234
 
    <para>
235
 
    </para>
236
 
  </refsect1>  
237
 
 
238
 
  <refsect1 id="file">
 
520
    <variablelist>
 
521
      <varlistentry>
 
522
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
 
523
        <listitem>
 
524
          <para>
 
525
            This environment variable will be assumed to contain the
 
526
            directory containing any helper executables.  The use and
 
527
            nature of these helper executables, if any, is
 
528
            purposefully not documented.
 
529
        </para>
 
530
        </listitem>
 
531
      </varlistentry>
 
532
    </variablelist>
 
533
    <para>
 
534
      This program does not use any other environment variables, not
 
535
      even the ones provided by <citerefentry><refentrytitle
 
536
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
 
537
    </citerefentry>.
 
538
    </para>
 
539
  </refsect1>
 
540
  
 
541
  <refsect1 id="network-hooks">
 
542
    <title>NETWORK HOOKS</title>
 
543
    <para>
 
544
      If a network interface like a bridge or tunnel is required to
 
545
      find a Mandos server, this requires the interface to be up and
 
546
      running before <command>&COMMANDNAME;</command> starts looking
 
547
      for Mandos servers.  This can be accomplished by creating a
 
548
      <quote>network hook</quote> program, and placing it in a special
 
549
      directory.
 
550
    </para>
 
551
    <para>
 
552
      Before the network is used (and again before program exit), any
 
553
      runnable programs found in the network hook directory are run
 
554
      with the argument <quote><literal>start</literal></quote> or
 
555
      <quote><literal>stop</literal></quote>.  This should bring up or
 
556
      down, respectively, any network interface which
 
557
      <command>&COMMANDNAME;</command> should use.
 
558
    </para>
 
559
    <refsect2 id="hook-requirements">
 
560
      <title>REQUIREMENTS</title>
 
561
      <para>
 
562
        A network hook must be an executable file, and its name must
 
563
        consist entirely of upper and lower case letters, digits,
 
564
        underscores, periods, and hyphens.
 
565
      </para>
 
566
      <para>
 
567
        A network hook will receive one argument, which can be one of
 
568
        the following:
 
569
      </para>
 
570
      <variablelist>
 
571
        <varlistentry>
 
572
          <term><literal>start</literal></term>
 
573
          <listitem>
 
574
            <para>
 
575
              This should make the network hook create (if necessary)
 
576
              and bring up a network interface.
 
577
            </para>
 
578
          </listitem>
 
579
        </varlistentry>
 
580
        <varlistentry>
 
581
          <term><literal>stop</literal></term>
 
582
          <listitem>
 
583
            <para>
 
584
              This should make the network hook take down a network
 
585
              interface, and delete it if it did not exist previously.
 
586
            </para>
 
587
          </listitem>
 
588
        </varlistentry>
 
589
        <varlistentry>
 
590
          <term><literal>files</literal></term>
 
591
          <listitem>
 
592
            <para>
 
593
              This should make the network hook print, <emphasis>one
 
594
              file per line</emphasis>, all the files needed for it to
 
595
              run.  (These files will be copied into the initial RAM
 
596
              filesystem.)  Typical use is for a network hook which is
 
597
              a shell script to print its needed binaries.
 
598
            </para>
 
599
            <para>
 
600
              It is not necessary to print any non-executable files
 
601
              already in the network hook directory, these will be
 
602
              copied implicitly if they otherwise satisfy the name
 
603
              requirements.
 
604
            </para>
 
605
          </listitem>
 
606
        </varlistentry>
 
607
        <varlistentry>
 
608
          <term><literal>modules</literal></term>
 
609
          <listitem>
 
610
            <para>
 
611
              This should make the network hook print, <emphasis>on
 
612
              separate lines</emphasis>, all the kernel modules needed
 
613
              for it to run.  (These modules will be copied into the
 
614
              initial RAM filesystem.)  For instance, a tunnel
 
615
              interface needs the
 
616
              <quote><literal>tun</literal></quote> module.
 
617
            </para>
 
618
          </listitem>
 
619
        </varlistentry>
 
620
      </variablelist>
 
621
      <para>
 
622
        The network hook will be provided with a number of environment
 
623
        variables:
 
624
      </para>
 
625
      <variablelist>
 
626
        <varlistentry>
 
627
          <term><envar>MANDOSNETHOOKDIR</envar></term>
 
628
          <listitem>
 
629
            <para>
 
630
              The network hook directory, specified to
 
631
              <command>&COMMANDNAME;</command> by the
 
632
              <option>--network-hook-dir</option> option.  Note: this
 
633
              should <emphasis>always</emphasis> be used by the
 
634
              network hook to refer to itself or any files in the hook
 
635
              directory it may require.
 
636
            </para>
 
637
          </listitem>
 
638
        </varlistentry>
 
639
        <varlistentry>
 
640
          <term><envar>DEVICE</envar></term>
 
641
          <listitem>
 
642
            <para>
 
643
              The network interfaces, as specified to
 
644
              <command>&COMMANDNAME;</command> by the
 
645
              <option>--interface</option> option, combined to one
 
646
              string and separated by commas.  If this is set, and
 
647
              does not contain the interface a hook will bring up,
 
648
              there is no reason for a hook to continue.
 
649
            </para>
 
650
          </listitem>
 
651
        </varlistentry>
 
652
        <varlistentry>
 
653
          <term><envar>MODE</envar></term>
 
654
          <listitem>
 
655
            <para>
 
656
              This will be the same as the first argument;
 
657
              i.e. <quote><literal>start</literal></quote>,
 
658
              <quote><literal>stop</literal></quote>,
 
659
              <quote><literal>files</literal></quote>, or
 
660
              <quote><literal>modules</literal></quote>.
 
661
            </para>
 
662
          </listitem>
 
663
        </varlistentry>
 
664
        <varlistentry>
 
665
          <term><envar>VERBOSITY</envar></term>
 
666
          <listitem>
 
667
            <para>
 
668
              This will be the <quote><literal>1</literal></quote> if
 
669
              the <option>--debug</option> option is passed to
 
670
              <command>&COMMANDNAME;</command>, otherwise
 
671
              <quote><literal>0</literal></quote>.
 
672
            </para>
 
673
          </listitem>
 
674
        </varlistentry>
 
675
        <varlistentry>
 
676
          <term><envar>DELAY</envar></term>
 
677
          <listitem>
 
678
            <para>
 
679
              This will be the same as the <option>--delay</option>
 
680
              option passed to <command>&COMMANDNAME;</command>.  Is
 
681
              only set if <envar>MODE</envar> is
 
682
              <quote><literal>start</literal></quote> or
 
683
              <quote><literal>stop</literal></quote>.
 
684
            </para>
 
685
          </listitem>
 
686
        </varlistentry>
 
687
        <varlistentry>
 
688
          <term><envar>CONNECT</envar></term>
 
689
          <listitem>
 
690
            <para>
 
691
              This will be the same as the <option>--connect</option>
 
692
              option passed to <command>&COMMANDNAME;</command>.  Is
 
693
              only set if <option>--connect</option> is passed and
 
694
              <envar>MODE</envar> is
 
695
              <quote><literal>start</literal></quote> or
 
696
              <quote><literal>stop</literal></quote>.
 
697
            </para>
 
698
          </listitem>
 
699
        </varlistentry>
 
700
      </variablelist>
 
701
      <para>
 
702
        A hook may not read from standard input, and should be
 
703
        restrictive in printing to standard output or standard error
 
704
        unless <varname>VERBOSITY</varname> is
 
705
        <quote><literal>1</literal></quote>.
 
706
      </para>
 
707
    </refsect2>
 
708
  </refsect1>
 
709
  
 
710
  <refsect1 id="files">
239
711
    <title>FILES</title>
240
 
    <para>
241
 
    </para>
242
 
  </refsect1>  
 
712
    <variablelist>
 
713
      <varlistentry>
 
714
        <term><filename>/conf/conf.d/mandos/pubkey.txt</filename
 
715
        ></term>
 
716
        <term><filename>/conf/conf.d/mandos/seckey.txt</filename
 
717
        ></term>
 
718
        <listitem>
 
719
          <para>
 
720
            OpenPGP public and private key files, in <quote>ASCII
 
721
            Armor</quote> format.  These are the default file names,
 
722
            they can be changed with the <option>--pubkey</option> and
 
723
            <option>--seckey</option> options.
 
724
          </para>
 
725
        </listitem>
 
726
      </varlistentry>
 
727
      <varlistentry>
 
728
        <term><filename>/conf/conf.d/mandos/tls-pubkey.pem</filename
 
729
        ></term>
 
730
        <term><filename>/conf/conf.d/mandos/tls-privkey.pem</filename
 
731
        ></term>
 
732
        <listitem>
 
733
          <para>
 
734
            Public and private raw key files, in <quote>PEM</quote>
 
735
            format.  These are the default file names, they can be
 
736
            changed with the <option>--tls-pubkey</option> and
 
737
            <option>--tls-privkey</option> options.
 
738
          </para>
 
739
        </listitem>
 
740
      </varlistentry>
 
741
      <varlistentry>
 
742
        <term><filename
 
743
        class="directory">/lib/mandos/network-hooks.d</filename></term>
 
744
        <listitem>
 
745
          <para>
 
746
            Directory where network hooks are located.  Change this
 
747
            with the <option>--network-hook-dir</option> option.  See
 
748
            <xref linkend="network-hooks"/>.
 
749
          </para>
 
750
        </listitem>
 
751
      </varlistentry>
 
752
    </variablelist>
 
753
  </refsect1>
243
754
  
244
755
  <refsect1 id="bugs">
245
756
    <title>BUGS</title>
246
 
    <para>
247
 
    </para>
248
 
  </refsect1>  
249
 
 
 
757
    <xi:include href="../bugs.xml"/>
 
758
  </refsect1>
 
759
  
250
760
  <refsect1 id="example">
251
761
    <title>EXAMPLE</title>
252
762
    <para>
 
763
      Note that normally, command line options will not be given
 
764
      directly, but via options for the Mandos <citerefentry
 
765
      ><refentrytitle>plugin-runner</refentrytitle>
 
766
      <manvolnum>8mandos</manvolnum></citerefentry>.
253
767
    </para>
 
768
    <informalexample>
 
769
      <para>
 
770
        Normal invocation needs no options, if the network interfaces
 
771
        can be automatically determined:
 
772
      </para>
 
773
      <para>
 
774
        <userinput>&COMMANDNAME;</userinput>
 
775
      </para>
 
776
    </informalexample>
 
777
    <informalexample>
 
778
      <para>
 
779
        Search for Mandos servers (and connect to them) using one
 
780
        specific interface:
 
781
      </para>
 
782
      <para>
 
783
        <!-- do not wrap this line -->
 
784
        <userinput>&COMMANDNAME; --interface eth1</userinput>
 
785
      </para>
 
786
    </informalexample>
 
787
    <informalexample>
 
788
      <para>
 
789
        Run in debug mode, and use custom keys:
 
790
      </para>
 
791
      <para>
 
792
 
 
793
<!-- do not wrap this line -->
 
794
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --tls-pubkey keydir/tls-pubkey.pem --tls-privkey keydir/tls-privkey.pem</userinput>
 
795
 
 
796
      </para>
 
797
    </informalexample>
 
798
    <informalexample>
 
799
      <para>
 
800
        Run in debug mode, with custom keys, and do not use Zeroconf
 
801
        to locate a server; connect directly to the IPv6 link-local
 
802
        address <quote><systemitem class="ipaddress"
 
803
        >fe80::aede:48ff:fe71:f6f2</systemitem></quote>, port 4711,
 
804
        using interface eth2:
 
805
      </para>
 
806
      <para>
 
807
 
 
808
<!-- do not wrap this line -->
 
809
<userinput>&COMMANDNAME; --debug --pubkey keydir/pubkey.txt --seckey keydir/seckey.txt --tls-pubkey keydir/tls-pubkey.pem --tls-privkey keydir/tls-privkey.pem --connect fe80::aede:48ff:fe71:f6f2:4711 --interface eth2</userinput>
 
810
 
 
811
      </para>
 
812
    </informalexample>
254
813
  </refsect1>
255
 
 
 
814
  
256
815
  <refsect1 id="security">
257
816
    <title>SECURITY</title>
258
817
    <para>
 
818
      This program is set-uid to root, but will switch back to the
 
819
      original (and presumably non-privileged) user and group after
 
820
      bringing up the network interface.
 
821
    </para>
 
822
    <para>
 
823
      To use this program for its intended purpose (see <xref
 
824
      linkend="purpose"/>), the password for the root file system will
 
825
      have to be given out to be stored in a server computer, after
 
826
      having been encrypted using an OpenPGP key.  This encrypted data
 
827
      which will be stored in a server can only be decrypted by the
 
828
      OpenPGP key, and the data will only be given out to those
 
829
      clients who can prove they actually have that key.  This key,
 
830
      however, is stored unencrypted on the client side in its initial
 
831
      <acronym>RAM</acronym> disk image file system.  This is normally
 
832
      readable by all, but this is normally fixed during installation
 
833
      of this program; file permissions are set so that no-one is able
 
834
      to read that file.
 
835
    </para>
 
836
    <para>
 
837
      The only remaining weak point is that someone with physical
 
838
      access to the client hard drive might turn off the client
 
839
      computer, read the OpenPGP and TLS keys directly from the hard
 
840
      drive, and communicate with the server.  To safeguard against
 
841
      this, the server is supposed to notice the client disappearing
 
842
      and stop giving out the encrypted data.  Therefore, it is
 
843
      important to set the timeout and checker interval values tightly
 
844
      on the server.  See <citerefentry><refentrytitle
 
845
      >mandos</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
 
846
    </para>
 
847
    <para>
 
848
      It will also help if the checker program on the server is
 
849
      configured to request something from the client which can not be
 
850
      spoofed by someone else on the network, like SSH server key
 
851
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
852
      echo (<quote>ping</quote>) replies.
 
853
    </para>
 
854
    <para>
 
855
      <emphasis>Note</emphasis>: This makes it completely insecure to
 
856
      have <application >Mandos</application> clients which dual-boot
 
857
      to another operating system which is <emphasis>not</emphasis>
 
858
      trusted to keep the initial <acronym>RAM</acronym> disk image
 
859
      confidential.
259
860
    </para>
260
861
  </refsect1>
261
 
 
 
862
  
262
863
  <refsect1 id="see_also">
263
864
    <title>SEE ALSO</title>
264
 
    <itemizedlist>
265
 
      <listitem><para>
266
 
        <citerefentry><refentrytitle>mandos</refentrytitle>
267
 
        <manvolnum>8</manvolnum></citerefentry>
268
 
      </para></listitem>
269
 
      
270
 
      <listitem><para>
271
 
        <citerefentry><refentrytitle>plugin-runner</refentrytitle>
272
 
        <manvolnum>8mandos</manvolnum></citerefentry>
273
 
      </para></listitem>
274
 
      
275
 
      <listitem><para>
276
 
        <citerefentry><refentrytitle>password-prompt</refentrytitle>
277
 
        <manvolnum>8mandos</manvolnum></citerefentry>
278
 
      </para></listitem>
279
 
      
280
 
      <listitem><para>
281
 
        <ulink url="http://www.zeroconf.org/">Zeroconf</ulink>
282
 
      </para></listitem>
283
 
      
284
 
      <listitem><para>
285
 
        <ulink url="http://www.avahi.org/">Avahi</ulink>
286
 
      </para></listitem>
287
 
      
288
 
      <listitem><para>
289
 
        <ulink
290
 
            url="http://www.gnu.org/software/gnutls/">GnuTLS</ulink>
291
 
      </para></listitem>
292
 
      
293
 
      <listitem><para>
294
 
        <ulink
295
 
        url="http://www.gnupg.org/related_software/gpgme/">
296
 
        GPGME</ulink>
297
 
      </para></listitem>
298
 
      
299
 
      <listitem><para>
300
 
        <citation>RFC 4880: <citetitle>OpenPGP Message
301
 
        Format</citetitle></citation>
302
 
      </para></listitem>
303
 
      
304
 
      <listitem><para>
305
 
        <citation>RFC 5081: <citetitle>Using OpenPGP Keys for
306
 
        Transport Layer Security</citetitle></citation>
307
 
      </para></listitem>
308
 
      
309
 
      <listitem><para>
310
 
        <citation>RFC 4291: <citetitle>IP Version 6 Addressing
311
 
        Architecture</citetitle>, section 2.5.6, Link-Local IPv6
312
 
        Unicast Addresses</citation>
313
 
      </para></listitem>
314
 
    </itemizedlist>
 
865
    <para>
 
866
      <citerefentry><refentrytitle>intro</refentrytitle>
 
867
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
868
      <citerefentry><refentrytitle>cryptsetup</refentrytitle>
 
869
      <manvolnum>8</manvolnum></citerefentry>,
 
870
      <citerefentry><refentrytitle>crypttab</refentrytitle>
 
871
      <manvolnum>5</manvolnum></citerefentry>,
 
872
      <citerefentry><refentrytitle>mandos</refentrytitle>
 
873
      <manvolnum>8</manvolnum></citerefentry>,
 
874
      <citerefentry><refentrytitle>password-prompt</refentrytitle>
 
875
      <manvolnum>8mandos</manvolnum></citerefentry>,
 
876
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
877
      <manvolnum>8mandos</manvolnum></citerefentry>
 
878
    </para>
 
879
    <variablelist>
 
880
      <varlistentry>
 
881
        <term>
 
882
          <ulink url="http://www.zeroconf.org/">Zeroconf</ulink>
 
883
        </term>
 
884
        <listitem>
 
885
          <para>
 
886
            Zeroconf is the network protocol standard used for finding
 
887
            Mandos servers on the local network.
 
888
          </para>
 
889
        </listitem>
 
890
      </varlistentry>
 
891
      <varlistentry>
 
892
        <term>
 
893
          <ulink url="http://www.avahi.org/">Avahi</ulink>
 
894
        </term>
 
895
      <listitem>
 
896
        <para>
 
897
          Avahi is the library this program calls to find Zeroconf
 
898
          services.
 
899
        </para>
 
900
      </listitem>
 
901
      </varlistentry>
 
902
      <varlistentry>
 
903
        <term>
 
904
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
905
        </term>
 
906
      <listitem>
 
907
        <para>
 
908
          GnuTLS is the library this client uses to implement TLS for
 
909
          communicating securely with the server, and at the same time
 
910
          send the public key to the server.
 
911
        </para>
 
912
      </listitem>
 
913
      </varlistentry>
 
914
      <varlistentry>
 
915
        <term>
 
916
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
917
                 >GPGME</ulink>
 
918
        </term>
 
919
        <listitem>
 
920
          <para>
 
921
            GPGME is the library used to decrypt the OpenPGP data sent
 
922
            by the server.
 
923
          </para>
 
924
        </listitem>
 
925
      </varlistentry>
 
926
      <varlistentry>
 
927
        <term>
 
928
          RFC 4291: <citetitle>IP Version 6 Addressing
 
929
          Architecture</citetitle>
 
930
        </term>
 
931
        <listitem>
 
932
          <variablelist>
 
933
            <varlistentry>
 
934
              <term>Section 2.2: <citetitle>Text Representation of
 
935
              Addresses</citetitle></term>
 
936
              <listitem><para/></listitem>
 
937
            </varlistentry>
 
938
            <varlistentry>
 
939
              <term>Section 2.5.5.2: <citetitle>IPv4-Mapped IPv6
 
940
              Address</citetitle></term>
 
941
              <listitem><para/></listitem>
 
942
            </varlistentry>
 
943
            <varlistentry>
 
944
            <term>Section 2.5.6, <citetitle>Link-Local IPv6 Unicast
 
945
            Addresses</citetitle></term>
 
946
            <listitem>
 
947
              <para>
 
948
                This client uses IPv6 link-local addresses, which are
 
949
                immediately usable since a link-local addresses is
 
950
                automatically assigned to a network interface when it
 
951
                is brought up.
 
952
              </para>
 
953
            </listitem>
 
954
            </varlistentry>
 
955
          </variablelist>
 
956
        </listitem>
 
957
      </varlistentry>
 
958
      <varlistentry>
 
959
        <term>
 
960
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
 
961
          Protocol Version 1.2</citetitle>
 
962
        </term>
 
963
      <listitem>
 
964
        <para>
 
965
          TLS 1.2 is the protocol implemented by GnuTLS.
 
966
        </para>
 
967
      </listitem>
 
968
      </varlistentry>
 
969
      <varlistentry>
 
970
        <term>
 
971
          RFC 4880: <citetitle>OpenPGP Message Format</citetitle>
 
972
        </term>
 
973
      <listitem>
 
974
        <para>
 
975
          The data received from the server is binary encrypted
 
976
          OpenPGP data.
 
977
        </para>
 
978
      </listitem>
 
979
      </varlistentry>
 
980
      <varlistentry>
 
981
        <term>
 
982
          RFC 7250: <citetitle>Using Raw Public Keys in Transport
 
983
          Layer Security (TLS) and Datagram Transport Layer Security
 
984
          (DTLS)</citetitle>
 
985
        </term>
 
986
      <listitem>
 
987
        <para>
 
988
          This is implemented by GnuTLS in version 3.6.6 and is, if
 
989
          present, used by this program so that raw public keys can be
 
990
          used.
 
991
        </para>
 
992
      </listitem>
 
993
      </varlistentry>
 
994
      <varlistentry>
 
995
        <term>
 
996
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
997
          Security</citetitle>
 
998
        </term>
 
999
      <listitem>
 
1000
        <para>
 
1001
          This is implemented by GnuTLS before version 3.6.0 and is,
 
1002
          if present, used by this program so that OpenPGP keys can be
 
1003
          used.
 
1004
        </para>
 
1005
      </listitem>
 
1006
      </varlistentry>
 
1007
    </variablelist>
315
1008
  </refsect1>
316
 
 
317
1009
</refentry>
 
1010
 
 
1011
<!-- Local Variables: -->
 
1012
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
 
1013
<!-- time-stamp-end: "[\"']>" -->
 
1014
<!-- time-stamp-format: "%:y-%02m-%02d" -->
 
1015
<!-- End: -->