/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos.xml

• browse files at revision 963
• compare with another revision
• download diff
• download tarball
• view history from revision 963

• reverse the comparison (963 to 602)
• stop comparing with revision 602

Show diffs side-by-side

added

removed

mandos.xml

2

2

<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"

3

3

"http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [

4

4

<!ENTITY COMMANDNAME "mandos">

5

 

<!ENTITY TIMESTAMP "2012-05-26">

 

5

<!ENTITY TIMESTAMP "2019-02-09">

6

6

<!ENTITY % common SYSTEM "common.ent">

7

7

%common;

8

8

]>

36

36

      <year>2010</year>

37

37

      <year>2011</year>

38

38

      <year>2012</year>

 

39

      <year>2013</year>

 

40

      <year>2014</year>

 

41

      <year>2015</year>

 

42

      <year>2016</year>

 

43

      <year>2017</year>

 

44

      <year>2018</year>

39

45

      <holder>Teddy Hogeborn</holder>

40

46

      <holder>Björn Påhlsson</holder>

41

47

    </copyright>

103

109

      <sbr/>

104

110

      <arg><option>--socket

105

111

      <replaceable>FD</replaceable></option></arg>

 

112

      <sbr/>

 

113

      <arg><option>--foreground</option></arg>

 

114

      <sbr/>

 

115

      <arg><option>--no-zeroconf</option></arg>

106

116

    </cmdsynopsis>

107

117

    <cmdsynopsis>

108

118

      <command>&COMMANDNAME;</command>

311

321

        </listitem>

312

322

      </varlistentry>

313

323

      

 

324

      <varlistentry>

 

325

        <term><option>--foreground</option></term>

 

326

        <listitem>

 

327

          <xi:include href="mandos-options.xml"

 

328

                      xpointer="foreground"/>

 

329

        </listitem>

 

330

      </varlistentry>

 

331

      

 

332

      <varlistentry>

 

333

        <term><option>--no-zeroconf</option></term>

 

334

        <listitem>

 

335

          <xi:include href="mandos-options.xml" xpointer="zeroconf"/>

 

336

        </listitem>

 

337

      </varlistentry>

 

338

      

314

339

    </variablelist>

315

340

  </refsect1>

316

341

  

336

361

      start a TLS protocol handshake with a slight quirk: the Mandos

337

362

      server program acts as a TLS <quote>client</quote> while the

338

363

      connecting Mandos client acts as a TLS <quote>server</quote>.

339

 

      The Mandos client must supply an OpenPGP certificate, and the

340

 

      fingerprint of this certificate is used by the Mandos server to

341

 

      look up (in a list read from <filename>clients.conf</filename>

342

 

      at start time) which binary blob to give the client.  No other

343

 

      authentication or authorization is done by the server.

 

364

      The Mandos client must supply a TLS public key, and the key ID

 

365

      of this public key is used by the Mandos server to look up (in a

 

366

      list read from <filename>clients.conf</filename> at start time)

 

367

      which binary blob to give the client.  No other authentication

 

368

      or authorization is done by the server.

344

369

    </para>

345

370

    <table>

346

371

      <title>Mandos Protocol (Version 1)</title><tgroup cols="3"><thead>

366

391

        </emphasis></entry>

367

392

      </row>

368

393

      <row>

369

 

        <entry>OpenPGP public key (part of TLS handshake)</entry>

 

394

        <entry>Public key (part of TLS handshake)</entry>

370

395

        <entry>-><!-- &rarr; --></entry>

371

396

      </row>

372

397

      <row>

506

531

        </listitem>

507

532

      </varlistentry>

508

533

      <varlistentry>

509

 

        <term><filename>/var/run/mandos.pid</filename></term>

 

534

        <term><filename>/run/mandos.pid</filename></term>

510

535

        <listitem>

511

536

          <para>

512

537

            The file containing the process id of the

513

538

            <command>&COMMANDNAME;</command> process started last.

 

539

            <emphasis >Note:</emphasis> If the <filename

 

540

            class="directory">/run</filename> directory does not

 

541

            exist, <filename>/var/run/mandos.pid</filename> will be

 

542

            used instead.

514

543

          </para>

515

544

        </listitem>

516

545

      </varlistentry>

517

546

      <varlistentry>

518

 

        <term><filename class="devicefile">/dev/log</filename></term>

519

 

      </varlistentry>

520

 

      <varlistentry>

521

547

        <term><filename

522

548

        class="directory">/var/lib/mandos</filename></term>

523

549

        <listitem>

529

555

        </listitem>

530

556

      </varlistentry>

531

557

      <varlistentry>

532

 

        <term><filename>/dev/log</filename></term>

 

558

        <term><filename class="devicefile">/dev/log</filename></term>

533

559

        <listitem>

534

560

          <para>

535

561

            The Unix domain socket to where local syslog messages are

560

586

    <para>

561

587

      There is no fine-grained control over logging and debug output.

562

588

    </para>

563

 

    <para>

564

 

      Debug mode is conflated with running in the foreground.

565

 

    </para>

566

 

    <para>

567

 

      This server does not check the expire time of clients’ OpenPGP

568

 

      keys.

569

 

    </para>

 

589

    <xi:include href="bugs.xml"/>

570

590

  </refsect1>

571

591

  

572

592

  <refsect1 id="example">

622

642

      <title>CLIENTS</title>

623

643

      <para>

624

644

        The server only gives out its stored data to clients which

625

 

        does have the OpenPGP key of the stored fingerprint.  This is

626

 

        guaranteed by the fact that the client sends its OpenPGP

627

 

        public key in the TLS handshake; this ensures it to be

628

 

        genuine.  The server computes the fingerprint of the key

629

 

        itself and looks up the fingerprint in its list of

630

 

        clients. The <filename>clients.conf</filename> file (see

 

645

        does have the correct key ID of the stored key ID.  This is

 

646

        guaranteed by the fact that the client sends its public key in

 

647

        the TLS handshake; this ensures it to be genuine.  The server

 

648

        computes the key ID of the key itself and looks up the key ID

 

649

        in its list of clients. The <filename>clients.conf</filename>

 

650

        file (see

631

651

        <citerefentry><refentrytitle>mandos-clients.conf</refentrytitle>

632

652

        <manvolnum>5</manvolnum></citerefentry>)

633

653

        <emphasis>must</emphasis> be made non-readable by anyone

685

705

      </varlistentry>

686

706

      <varlistentry>

687

707

        <term>

688

 

          <ulink url="http://www.gnu.org/software/gnutls/"

689

 

          >GnuTLS</ulink>

 

708

          <ulink url="https://gnutls.org/">GnuTLS</ulink>

690

709

        </term>

691

710

      <listitem>

692

711

        <para>

693

712

          GnuTLS is the library this server uses to implement TLS for

694

713

          communicating securely with the client, and at the same time

695

 

          confidently get the client’s public OpenPGP key.

 

714

          confidently get the client’s public key.

696

715

        </para>

697

716

      </listitem>

698

717

      </varlistentry>

730

749

      </varlistentry>

731

750

      <varlistentry>

732

751

        <term>

733

 

          RFC 4346: <citetitle>The Transport Layer Security (TLS)

734

 

          Protocol Version 1.1</citetitle>

 

752

          RFC 5246: <citetitle>The Transport Layer Security (TLS)

 

753

          Protocol Version 1.2</citetitle>

735

754

        </term>

736

755

      <listitem>

737

756

        <para>

738

 

          TLS 1.1 is the protocol implemented by GnuTLS.

 

757

          TLS 1.2 is the protocol implemented by GnuTLS.

739

758

        </para>

740

759

      </listitem>

741

760

      </varlistentry>

751

770

      </varlistentry>

752

771

      <varlistentry>

753

772

        <term>

754

 

          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer

755

 

          Security</citetitle>

756

 

        </term>

757

 

      <listitem>

758

 

        <para>

759

 

          This is implemented by GnuTLS and used by this server so

760

 

          that OpenPGP keys can be used.

 

773

          RFC 7250: <citetitle>Using Raw Public Keys in Transport

 

774

          Layer Security (TLS) and Datagram Transport Layer Security

 

775

          (DTLS)</citetitle>

 

776

        </term>

 

777

      <listitem>

 

778

        <para>

 

779

          This is implemented by GnuTLS version 3.6.6 and is, if

 

780

          present, used by this server so that raw public keys can be

 

781

          used.

 

782

        </para>

 

783

      </listitem>

 

784

      </varlistentry>

 

785

      <varlistentry>

 

786

        <term>

 

787

          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer

 

788

          Security (TLS) Authentication</citetitle>

 

789

        </term>

 

790

      <listitem>

 

791

        <para>

 

792

          This is implemented by GnuTLS before version 3.6.0 and is,

 

793

          if present, used by this server so that OpenPGP keys can be

 

794

          used.

761

795

        </para>

762

796

      </listitem>

763

797

      </varlistentry>

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.2.dev0