/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/password-prompt.xml

  • Committer: Teddy Hogeborn
  • Date: 2019-02-09 23:23:26 UTC
  • Revision ID: teddy@recompile.se-20190209232326-z1z2kzpgfixz7iaj
Add support for using raw public keys in TLS (RFC 7250)

Since GnuTLS removed support for OpenPGP keys in TLS (RFC 6091), and
no other library supports it, we have to change the protocol to use
something else.  We choose to use "raw public keys" (RFC 7250).  Since
we still use OpenPGP keys to decrypt the secret password, this means
that each client will have two keys: One OpenPGP key and one TLS
public/private key, and the key ID of the latter key is used to
identify clients instead of the fingerprint of the OpenPGP key.

Note that this code is still compatible with GnuTLS before version
3.6.0 (when OpenPGP key support was removed).  This commit merely adds
support for using raw pulic keys instead with GnuTLS 3.6.6. or later.

* DBUS-API (Signals/ClientNotFound): Change name of first parameter
                                     from "Fingerprint" to "KeyID".
  (Mandos Client Interface/Properties/KeyID): New.
* INSTALL: Document conflict with GnuTLS 3.6.0 (which removed OpenPGP
           key support) up until 3.6.6, when support for raw public
           keys was added.  Also document new dependency of client on
           "gnutls-bin" package (for certtool).
* Makefile (run-client): Depend on TLS key files, and also pass them
                         as arguments to client.
  (keydir/tls-privkey.pem, keydir/tls-pubkey.pem): New.
  (confdir/clients.conf): Add dependency on TLS public key.
  (purge-client): Add removal of TLS key files.
* clients.conf ([foo]/key_id, [bar]/key_id): New.
* debian/control (Source: mandos/Build-Depends): Also allow
                                                 libgnutls30 (>= 3.6.6)
  (Package: mandos/Depends): - '' -
  (Package: mandos/Description): Alter description to match new
                                 design.
  (Package: mandos-client/Description): - '' -
  (Package: mandos-client/Depends): Move "gnutls-bin | openssl" to
                                    here from "Recommends".
* debian/mandos-client.README.Debian: Add --tls-privkey and
                                      --tls-pubkey options to test
                                      command.
* debian/mandos-client.postinst (create_key): Renamed to "create_keys"
                                             (all callers changed),
                                             and also create TLS key.
* debian/mandos-client.postrm (purge): Also remove TLS key files.
* intro.xml (DESCRIPTION): Describe new dual-key design.
* mandos (GnuTLS): Define different functions depending on whether
                   support for raw public keys is detected.
  (Client.key_id): New attribute.
  (ClientDBus.KeyID_dbus_property): New method.
  (ProxyClient.__init__): Take new "key_id" parameter.
  (ClientHandler.handle): Use key IDs when using raw public keys and
                          use fingerprints when using OpenPGP keys.
  (ClientHandler.peer_certificate): Also handle raw public keys.
  (ClientHandler.key_id): New.
  (MandosServer.handle_ipc): Pass key ID over the pipe IPC.  Also
                             check for key ID matches when looking up
                             clients.
  (main): Default GnuTLS priority string depends on whether we are
          using raw public keys or not.  When unpickling clients, set
          key_id if not set in the pickle.
  (main/MandosDBusService.ClientNotFound): Change name of first
                                           parameter from
                                           "Fingerprint" to "KeyID".
* mandos-clients.conf.xml (OPTIONS): Document new "key_id" option.
  (OPTIONS/secret): Mention new key ID matchning.
  (EXPANSION/RUNTIME EXPANSION): Add new "key_id" option.
  (EXAMPLE): - '' -
* mandos-ctl (tablewords, main/keywords): Add new "KeyID" property.
* mandos-keygen: Create TLS key files.  New "--tls-keytype" (-T)
                 option.  Alter help text to be more clear about key
                 types.  When in password mode, also output "key_id"
                 option.
* mandos-keygen.xml (SYNOPSIS): Add new "--tls-keytype" (-T) option.
  (DESCRIPTION): Alter to match new dual-key design.
  (OVERVIEW): - '' -
  (FILES): Add TLS key files.
* mandos-options.xml (priority): Document new default priority string
                                 when using raw public keys.
* mandos.xml (NETWORK PROTOCOL): Describe new protocol using key ID.
  (BUGS): Remove issue about checking expire times of OpenPGP keys,
          since TLS public keys do not have expiration times.
  (SECURITY/CLIENT): Alter description to match new design.
  (SEE ALSO/GnuTLS): - '' -
  (SEE ALSO): Add reference to RFC 7250, and alter description of when
              RFC 6091 is used.
* overview.xml: Alter text to match new design.
* plugin-runner.xml (EXAMPLE): Add --tls-pubkey and --tls-privkey
                               options to mandos-client options.
* plugins.d/mandos-client.c: Use raw public keys when compiling with
                             supporting GnuTLS versions. Add new
                             "--tls-pubkey" and "--tls-privkey"
                             options (which do nothing if GnuTLS
                             library does not support raw public
                             keys).  Alter text throughout to reflect
                             new design.  Only generate new DH
                             parameters (based on size of OpenPGP key)
                             when using OpenPGP in TLS.  Default
                             GnuTLS priority string depends on whether
                             we are using raw public keys or not.
* plugins.d/mandos-client.xml (SYNOPSIS): Add new "--tls-privkey" (-t)
                                          and "--tls-pubkey" (-T)
                                          options.
  (DESCRIPTION): Describe new dual-key design.
  (OPTIONS): Document new "--tls-privkey" (-t) and "--tls-pubkey" (-T)
             options.
  (OPTIONS/--dh-bits): No longer necessarily depends on OpenPGP key
                       size.
  (FILES): Add default locations for TLS public and private key files.
  (EXAMPLE): Use new --tls-pubkey and --tls-privkey options.
  (SECURITY): Alter wording slightly to reflect new dual-key design.
  (SEE ALSO/GnuTLS): Alter description to match new design.
  (SEE ALSO): Add reference to RFC 7250, and alter description of when
              RFC 6091 is used.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
<?xml version='1.0' encoding='UTF-8'?>
2
 
<?xml-stylesheet type="text/xsl"
3
 
        href="http://docbook.sourceforge.net/release/xsl/current/manpages/docbook.xsl"?>
 
1
<?xml version="1.0" encoding="UTF-8"?>
4
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
5
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
6
 
<!ENTITY VERSION "1.0">
7
4
<!ENTITY COMMANDNAME "password-prompt">
 
5
<!ENTITY TIMESTAMP "2018-02-08">
 
6
<!ENTITY % common SYSTEM "../common.ent">
 
7
%common;
8
8
]>
9
9
 
10
 
<refentry>
 
10
<refentry xmlns:xi="http://www.w3.org/2001/XInclude">
11
11
  <refentryinfo>
12
 
    <title>&COMMANDNAME;</title>
13
 
    <!-- NWalsh's docbook scripts use this to generate the footer: -->
14
 
    <productname>&COMMANDNAME;</productname>
15
 
    <productnumber>&VERSION;</productnumber>
 
12
    <title>Mandos Manual</title>
 
13
    <!-- NWalsh’s docbook scripts use this to generate the footer: -->
 
14
    <productname>Mandos</productname>
 
15
    <productnumber>&version;</productnumber>
 
16
    <date>&TIMESTAMP;</date>
16
17
    <authorgroup>
17
18
      <author>
18
19
        <firstname>Björn</firstname>
19
20
        <surname>Påhlsson</surname>
20
21
        <address>
21
 
          <email>belorn@fukt.bsnet.se</email>
 
22
          <email>belorn@recompile.se</email>
22
23
        </address>
23
24
      </author>
24
25
      <author>
25
26
        <firstname>Teddy</firstname>
26
27
        <surname>Hogeborn</surname>
27
28
        <address>
28
 
          <email>teddy@fukt.bsnet.se</email>
 
29
          <email>teddy@recompile.se</email>
29
30
        </address>
30
31
      </author>
31
32
    </authorgroup>
32
33
    <copyright>
33
34
      <year>2008</year>
34
 
      <holder>Teddy Hogeborn &amp; Björn Påhlsson</holder>
 
35
      <year>2009</year>
 
36
      <year>2010</year>
 
37
      <year>2011</year>
 
38
      <year>2012</year>
 
39
      <year>2013</year>
 
40
      <year>2014</year>
 
41
      <year>2015</year>
 
42
      <year>2016</year>
 
43
      <year>2017</year>
 
44
      <year>2018</year>
 
45
      <holder>Teddy Hogeborn</holder>
 
46
      <holder>Björn Påhlsson</holder>
35
47
    </copyright>
36
 
    <legalnotice>
37
 
      <para>
38
 
        This manual page is free software: you can redistribute it
39
 
        and/or modify it under the terms of the GNU General Public
40
 
        License as published by the Free Software Foundation,
41
 
        either version 3 of the License, or (at your option) any
42
 
        later version.
43
 
      </para>
44
 
 
45
 
      <para>
46
 
        This manual page is distributed in the hope that it will
47
 
        be useful, but WITHOUT ANY WARRANTY; without even the
48
 
        implied warranty of MERCHANTABILITY or FITNESS FOR A
49
 
        PARTICULAR PURPOSE.  See the GNU General Public License
50
 
        for more details.
51
 
      </para>
52
 
 
53
 
      <para>
54
 
        You should have received a copy of the GNU General Public
55
 
        License along with this program; If not, see
56
 
        <ulink url="http://www.gnu.org/licenses/"/>.
57
 
      </para>
58
 
    </legalnotice>
 
48
    <xi:include href="../legalnotice.xml"/>
59
49
  </refentryinfo>
60
 
 
 
50
  
61
51
  <refmeta>
62
52
    <refentrytitle>&COMMANDNAME;</refentrytitle>
63
53
    <manvolnum>8mandos</manvolnum>
65
55
  
66
56
  <refnamediv>
67
57
    <refname><command>&COMMANDNAME;</command></refname>
68
 
    <refpurpose>
69
 
      Passprompt for luks during boot sequence
70
 
    </refpurpose>
 
58
    <refpurpose>Prompt for a password and output it.</refpurpose>
71
59
  </refnamediv>
72
60
  
73
61
  <refsynopsisdiv>
74
62
    <cmdsynopsis>
75
63
      <command>&COMMANDNAME;</command>
76
 
      <arg choice='opt'>--prefix<arg choice='plain'>PREFIX</arg></arg>
77
 
      <arg choice='opt'>--debug</arg>
78
 
    </cmdsynopsis>
79
 
    <cmdsynopsis>
80
 
      <command>&COMMANDNAME;</command>
81
 
      <arg choice='plain'>--help</arg>
82
 
    </cmdsynopsis>
83
 
    <cmdsynopsis>
84
 
      <command>&COMMANDNAME;</command>
85
 
      <arg choice='plain'>--usage</arg>
86
 
    </cmdsynopsis>
87
 
    <cmdsynopsis>
88
 
      <command>&COMMANDNAME;</command>
89
 
      <arg choice='plain'>--version</arg>
90
 
    </cmdsynopsis>    
 
64
      <group choice="opt">
 
65
        <arg choice="plain"><option>--prefix <replaceable
 
66
        >PREFIX</replaceable></option></arg>
 
67
        <arg choice="plain"><option>-p </option><replaceable
 
68
        >PREFIX</replaceable></arg>
 
69
      </group>
 
70
      <sbr/>
 
71
      <arg choice="opt"><option>--debug</option></arg>
 
72
    </cmdsynopsis>
 
73
    <cmdsynopsis>
 
74
      <command>&COMMANDNAME;</command>
 
75
      <group choice="req">
 
76
        <arg choice="plain"><option>--help</option></arg>
 
77
        <arg choice="plain"><option>-?</option></arg>
 
78
      </group>
 
79
    </cmdsynopsis>
 
80
    <cmdsynopsis>
 
81
      <command>&COMMANDNAME;</command>
 
82
      <arg choice="plain"><option>--usage</option></arg>
 
83
    </cmdsynopsis>
 
84
    <cmdsynopsis>
 
85
      <command>&COMMANDNAME;</command>
 
86
      <group choice="req">
 
87
        <arg choice="plain"><option>--version</option></arg>
 
88
        <arg choice="plain"><option>-V</option></arg>
 
89
      </group>
 
90
    </cmdsynopsis>
91
91
  </refsynopsisdiv>
92
 
 
 
92
  
93
93
  <refsect1 id="description">
94
94
    <title>DESCRIPTION</title>
95
95
    <para>
96
 
      <command>&COMMANDNAME;</command> is a terminal program that ask for
97
 
      passwords during boot sequence. It is a plugin to
98
 
      <firstterm>mandos</firstterm>, and is used as a fallback and
99
 
      alternative to retriving passwords from a mandos server. During
100
 
      boot sequence the user is prompted for the disk password, and
101
 
      when a password is given it then gets forwarded to
102
 
      <acronym>LUKS</acronym>.
 
96
      All <command>&COMMANDNAME;</command> does is prompt for a
 
97
      password and output any given password to standard output.
 
98
    </para>
 
99
    <para>
 
100
      This program is not very useful on its own.  This program is
 
101
      really meant to run as a plugin in the <application
 
102
      >Mandos</application> client-side system, where it is used as a
 
103
      fallback and alternative to retrieving passwords from a
 
104
      <application >Mandos</application> server.
 
105
    </para>
 
106
    <para>
 
107
      This program is little more than a <citerefentry><refentrytitle
 
108
      >getpass</refentrytitle><manvolnum>3</manvolnum></citerefentry>
 
109
      wrapper, although actual use of that function is not guaranteed
 
110
      or implied.
103
111
    </para>
104
112
  </refsect1>
105
113
  
106
114
  <refsect1 id="options">
107
115
    <title>OPTIONS</title>
108
116
    <para>
109
 
      Commonly not invoked as command lines but from configuration
110
 
      file of plugin runner.
 
117
      This program is commonly not invoked from the command line; it
 
118
      is normally started by the <application>Mandos</application>
 
119
      plugin runner, see <citerefentry><refentrytitle
 
120
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
 
121
      </citerefentry>.  Any command line options this program accepts
 
122
      are therefore normally provided by the plugin runner, and not
 
123
      directly.
111
124
    </para>
112
 
 
 
125
    
113
126
    <variablelist>
114
127
      <varlistentry>
115
 
        <term><literal>-p</literal>, <literal>--prefix=<replaceable>PREFIX
116
 
        </replaceable></literal></term>
117
 
        <listitem>
118
 
          <para>
119
 
            Prefix used before the passprompt
120
 
          </para>
121
 
        </listitem>
122
 
      </varlistentry>
123
 
      
124
 
      <varlistentry>
125
 
        <term><literal>--debug</literal></term>
126
 
        <listitem>
127
 
          <para>
128
 
            Debug mode
129
 
          </para>
130
 
        </listitem>
131
 
      </varlistentry>
132
 
      
133
 
      <varlistentry>
134
 
        <term><literal>-?</literal>, <literal>--help</literal></term>
135
 
        <listitem>
136
 
          <para>
137
 
            Gives a help message
138
 
          </para>
139
 
        </listitem>
140
 
      </varlistentry>
141
 
      
142
 
      <varlistentry>
143
 
        <term><literal>--usage</literal></term>
144
 
        <listitem>
145
 
          <para>
146
 
            Gives a short usage message
147
 
          </para>
148
 
        </listitem>
149
 
      </varlistentry>
150
 
 
151
 
      <varlistentry>
152
 
        <term><literal>-V</literal>, <literal>--version</literal></term>
153
 
        <listitem>
154
 
          <para>
155
 
            Prints the program version
156
 
          </para>
157
 
        </listitem>
158
 
      </varlistentry>            
 
128
        <term><option>--prefix=<replaceable
 
129
        >PREFIX</replaceable></option></term>
 
130
        <term><option>-p
 
131
        <replaceable>PREFIX</replaceable></option></term>
 
132
        <listitem>
 
133
          <para>
 
134
            Prefix string shown before the password prompt.
 
135
          </para>
 
136
        </listitem>
 
137
      </varlistentry>
 
138
      
 
139
      <varlistentry>
 
140
        <term><option>--debug</option></term>
 
141
        <listitem>
 
142
          <para>
 
143
            Enable debug mode.  This will enable a lot of output to
 
144
            standard error about what the program is doing.  The
 
145
            program will still perform all other functions normally.
 
146
          </para>
 
147
        </listitem>
 
148
      </varlistentry>
 
149
      
 
150
      <varlistentry>
 
151
        <term><option>--help</option></term>
 
152
        <term><option>-?</option></term>
 
153
        <listitem>
 
154
          <para>
 
155
            Gives a help message about options and their meanings.
 
156
          </para>
 
157
        </listitem>
 
158
      </varlistentry>
 
159
      
 
160
      <varlistentry>
 
161
        <term><option>--usage</option></term>
 
162
        <listitem>
 
163
          <para>
 
164
            Gives a short usage message.
 
165
          </para>
 
166
        </listitem>
 
167
      </varlistentry>
 
168
      
 
169
      <varlistentry>
 
170
        <term><option>--version</option></term>
 
171
        <term><option>-V</option></term>
 
172
        <listitem>
 
173
          <para>
 
174
            Prints the program version.
 
175
          </para>
 
176
        </listitem>
 
177
      </varlistentry>
159
178
    </variablelist>
160
179
  </refsect1>
161
 
 
 
180
  
162
181
  <refsect1 id="exit_status">
163
182
    <title>EXIT STATUS</title>
164
183
    <para>
 
184
      If exit status is 0, the output from the program is the password
 
185
      as it was read.  Otherwise, if exit status is other than 0, the
 
186
      program has encountered an error, and any output so far could be
 
187
      corrupt and/or truncated, and should therefore be ignored.
165
188
    </para>
166
189
  </refsect1>
167
 
 
168
 
  <refsect1 id="notes">
169
 
    <title>NOTES</title>
170
 
    <para>
171
 
    </para>
 
190
  
 
191
  <refsect1 id="environment">
 
192
    <title>ENVIRONMENT</title>
 
193
    <variablelist>
 
194
      <varlistentry>
 
195
        <term><envar>CRYPTTAB_SOURCE</envar></term>
 
196
        <term><envar>CRYPTTAB_NAME</envar></term>
 
197
        <listitem>
 
198
          <para>
 
199
            If set, these environment variables will be assumed to
 
200
            contain the source device name and the target device
 
201
            mapper name, respectively, and will be shown as part of
 
202
            the prompt.
 
203
        </para>
 
204
        <para>
 
205
          These variables will normally be inherited from
 
206
          <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
207
          <manvolnum>8mandos</manvolnum></citerefentry>, which will
 
208
          normally have inherited them from
 
209
          <filename>/scripts/local-top/cryptroot</filename> in the
 
210
          initial <acronym>RAM</acronym> disk environment, which will
 
211
          have set them from parsing kernel arguments and
 
212
          <filename>/conf/conf.d/cryptroot</filename> (also in the
 
213
          initial RAM disk environment), which in turn will have been
 
214
          created when the initial RAM disk image was created by
 
215
          <filename
 
216
          >/usr/share/initramfs-tools/hooks/cryptroot</filename>, by
 
217
          extracting the information of the root file system from
 
218
          <filename >/etc/crypttab</filename>.
 
219
        </para>
 
220
        <para>
 
221
          This behavior is meant to exactly mirror the behavior of
 
222
          <command>askpass</command>, the default password prompter.
 
223
        </para>
 
224
        </listitem>
 
225
      </varlistentry>
 
226
    </variablelist>
172
227
  </refsect1>
173
228
  
174
229
  <refsect1 id="bugs">
175
230
    <title>BUGS</title>
176
 
    <para>
177
 
    </para>
178
 
  </refsect1>  
179
 
 
180
 
  <refsect1 id="examples">
181
 
    <title>EXAMPLES</title>
182
 
    <para>
183
 
    </para>
184
 
  </refsect1>
185
 
 
 
231
    <xi:include href="../bugs.xml"/>
 
232
  </refsect1>
 
233
  
 
234
  <refsect1 id="example">
 
235
    <title>EXAMPLE</title>
 
236
    <para>
 
237
      Note that normally, command line options will not be given
 
238
      directly, but via options for the Mandos <citerefentry
 
239
      ><refentrytitle>plugin-runner</refentrytitle>
 
240
      <manvolnum>8mandos</manvolnum></citerefentry>.
 
241
    </para>
 
242
    <informalexample>
 
243
      <para>
 
244
        Normal invocation needs no options:
 
245
      </para>
 
246
      <para>
 
247
        <userinput>&COMMANDNAME;</userinput>
 
248
      </para>
 
249
    </informalexample>
 
250
    <informalexample>
 
251
      <para>
 
252
        Show a prefix before the prompt; in this case, a host name.
 
253
        It might be useful to be reminded of which host needs a
 
254
        password, in case of <acronym>KVM</acronym> switches, etc.
 
255
      </para>
 
256
      <para>
 
257
 
 
258
<!-- do not wrap this line -->
 
259
<userinput>&COMMANDNAME; --prefix=host.example.org:</userinput>
 
260
 
 
261
      </para>
 
262
    </informalexample>
 
263
    <informalexample>
 
264
      <para>
 
265
        Run in debug mode.
 
266
      </para>
 
267
      <para>
 
268
        <!-- do not wrap this line -->
 
269
        <userinput>&COMMANDNAME; --debug</userinput>
 
270
      </para>
 
271
    </informalexample>
 
272
  </refsect1>
 
273
  
186
274
  <refsect1 id="security">
187
275
    <title>SECURITY</title>
188
276
    <para>
 
277
      On its own, this program is very simple, and does not exactly
 
278
      present any security risks.  The one thing that could be
 
279
      considered worthy of note is this: This program is meant to be
 
280
      run by <citerefentry><refentrytitle
 
281
      >plugin-runner</refentrytitle><manvolnum>8mandos</manvolnum>
 
282
      </citerefentry>, and will, when run standalone, outside, in a
 
283
      normal environment, immediately output on its standard output
 
284
      any presumably secret password it just received.  Therefore,
 
285
      when running this program standalone (which should never
 
286
      normally be done), take care not to type in any real secret
 
287
      password by force of habit, since it would then immediately be
 
288
      shown as output.
 
289
    </para>
 
290
    <para>
 
291
      To further alleviate any risk of being locked out of a system,
 
292
      the <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
293
      <manvolnum>8mandos</manvolnum></citerefentry> has a fallback
 
294
      mode which does the same thing as this program, only with less
 
295
      features.
189
296
    </para>
190
297
  </refsect1>
191
 
 
 
298
  
192
299
  <refsect1 id="see_also">
193
300
    <title>SEE ALSO</title>
194
301
    <para>
195
 
      <citerefentry><refentrytitle>mandos</refentrytitle>
196
 
      <manvolnum>8</manvolnum></citerefentry>, <citerefentry>
197
 
      <refentrytitle>plugin-runner</refentrytitle>
198
 
      <manvolnum>8mandos</manvolnum></citerefentry> and <citerefentry>
199
 
      <refentrytitle>password-request</refentrytitle>
200
 
      <manvolnum>8mandos</manvolnum></citerefentry>
 
302
      <citerefentry><refentrytitle>intro</refentrytitle>
 
303
      <manvolnum>8mandos</manvolnum></citerefentry>
 
304
      <citerefentry><refentrytitle>crypttab</refentrytitle>
 
305
      <manvolnum>5</manvolnum></citerefentry>
 
306
      <citerefentry><refentrytitle>mandos-client</refentrytitle>
 
307
      <manvolnum>8mandos</manvolnum></citerefentry>
 
308
      <citerefentry><refentrytitle>plugin-runner</refentrytitle>
 
309
      <manvolnum>8mandos</manvolnum></citerefentry>,
201
310
    </para>
202
 
  </refsect1>  
203
 
  
 
311
  </refsect1>
204
312
</refentry>
 
313
<!-- Local Variables: -->
 
314
<!-- time-stamp-start: "<!ENTITY TIMESTAMP [\"']" -->
 
315
<!-- time-stamp-end: "[\"']>" -->
 
316
<!-- time-stamp-format: "%:y-%02m-%02d" -->
 
317
<!-- End: -->