man/man8/monkeysphere-host.8

   1 .TH MONKEYSPHERE-SERVER "8" "June 2008" "monkeysphere" "User Commands"
   2
   3 .SH NAME
   4
   5 monkeysphere-host \- Monkeysphere host admin tool.
   6
   7 .SH SYNOPSIS
   8
   9 .B monkeysphere-host \fIsubcommand\fP [\fIargs\fP]
  10 .br
  11 .B monkeysphere-host expert \fIexpert-subcommand\fP [\fIargs\fP]
  12
  13 .SH DESCRIPTION
  14
  15 \fBMonkeysphere\fP is a framework to leverage the OpenPGP web of trust
  16 for OpenSSH authentication.  OpenPGP keys are tracked via GnuPG, and
  17 added to the authorized_keys and known_hosts files used by OpenSSH for
  18 connection authentication.
  19
  20 \fBmonkeysphere-host\fP is a Monkeysphere server admin utility.
  21
  22 .SH SUBCOMMANDS
  23
  24 \fBmonkeysphere-host\fP takes various subcommands:
  25 .TP
  26 .B import-key [NAME[:PORT]]
  27 Import a pem-encoded ssh secret host key, from stdin.  NAME[:PORT] is
  28 used to specify the hostname (and port) used in the user ID of the new
  29 OpenPGP key.  If NAME is not specified, then the system
  30 fully-qualified domain name will be used (ie. `hostname -f').  If PORT
  31 is not specified, the no port is added to the user ID, which means
  32 port 22 is assumed.  `i' may be used in place of `import-key'.
  33 .TP
  34 .B show-key
  35 Output information about host's OpenPGP and SSH keys.  `s' may be used
  36 in place of `show-key'.
  37 .TP
  38 .B extend-key EXPIRE
  39 Extend the validity of the OpenPGP key for the host until EXPIRE from
  40 the present.  If EXPIRE is not specified, then the user will be
  41 prompted for the extension term.  Expiration is specified like GnuPG
  42 does:
  43 .nf
  44          0 = key does not expire
  45       <n>  = key expires in n days
  46       <n>w = key expires in n weeks
  47       <n>m = key expires in n months
  48       <n>y = key expires in n years
  49 .fi
  50 `e' may be used in place of `extend-key'.
  51 .TP
  52 .B add-hostname HOSTNAME
  53 Add a hostname user ID to the server host key.  `n+' may be used in
  54 place of `add-hostname'.
  55 .TP
  56 .B revoke-hostname HOSTNAME
  57 Revoke a hostname user ID from the server host key.  `n-' may be used
  58 in place of `revoke-hostname'.
  59 .TP
  60 .B add-revoker FINGERPRINT
  61 Add a revoker to the host's OpenPGP key.  `o' may be be used in place
  62 of `add-revoker'.
  63 .TP
  64 .B revoke-key
  65 Revoke the host's OpenPGP key.  `r' may be used in place of
  66 `revoke-key'.
  67 .TP
  68 .B publish-key
  69 Publish the host's OpenPGP key to the keyserver.  `p' may be used in
  70 place of `publish-key'.
  71 .TP
  72 .B help
  73 Output a brief usage summary.  `h' or `?' may be used in place of
  74 `help'.
  75 .TP
  76 .B version
  77 show version number
  78
  79
  80 Other commands:
  81 .TP
  82 .B diagnostics
  83 Review the state of the monkeysphere server host key and report on
  84 suggested changes.  Among other checks, this includes making sure
  85 there is a valid host key, that the key is published, that the sshd
  86 configuration points to the right place, etc.  `d' may be used in
  87 place of `diagnostics'.
  88
  89 .SH SETUP HOST AUTHENTICATION
  90
  91 To enable host verification via the monkeysphere, the host's key must
  92 be published to the Web of Trust.  This is not done by default.  To
  93 publish the host key to the keyservers, run the following command:
  94
  95 $ monkeysphere-host publish-key
  96
  97 In order for users logging into the system to be able to identify the
  98 host via the monkeysphere, at least one person (e.g. a server admin)
  99 will need to sign the host's key.  This is done using standard OpenPGP
 100 keysigning techniques, usually: pull the key from the keyserver,
 101 verify and sign the key, and then re-publish the signature.  Once an
 102 admin's signature is published, users logging into the host can use it
 103 to validate the host's key.
 104
 105 .SH ENVIRONMENT
 106
 107 The following environment variables will override those specified in
 108 the config file (defaults in parentheses):
 109 .TP
 110 MONKEYSPHERE_LOG_LEVEL
 111 Set the log level (INFO).  Can be SILENT, ERROR, INFO, VERBOSE, DEBUG, in
 112 increasing order of verbosity.
 113 .TP
 114 MONKEYSPHERE_KEYSERVER
 115 OpenPGP keyserver to use (pool.sks-keyservers.net).
 116 .TP
 117 MONKEYSPHERE_PROMPT
 118 If set to `false', never prompt the user for confirmation. (true)
 119
 120
 121 .SH FILES
 122
 123 .TP
 124 /etc/monkeysphere/monkeysphere-host.conf
 125 System monkeysphere-host config file.
 126 .TP
 127 /var/lib/monkeysphere/host/ssh_host_rsa_key
 128 Copy of the host's private key in ssh format, suitable for use by
 129 sshd.
 130
 131 .SH AUTHOR
 132
 133 Written by:
 134 Jameson Rollins <jrollins@fifthhorseman.net>,
 135 Daniel Kahn Gillmor <dkg@fifthhorseman.net>,
 136 Matthew Goins <mjgoins@openflows.com>
 137
 138 .SH SEE ALSO
 139
 140 .BR monkeysphere (1),
 141 .BR monkeysphere-authentication (8),
 142 .BR monkeysphere (7),
 143 .BR gpg (1),
 144 .BR ssh (1)