doc/man-pages/pod8/bos_setrestricted.pod

   1 =head1 NAME
   2
   3 bos_setrestricted - place a server in restricted mode
   4
   5 =head1 SYNOPSIS
   6
   7 =for html
   8 <div class="synopsis">
   9
  10 B<bos setrestricted> S<<< B<-server> <I<machine name>> >>> S<<< B<-mode> 1 >>>
  11     S<<< [B<-cell> <I<cell name>>] >>> [B<-noauth>] [B<-localauth>] [B<-help>]
  12
  13 =for html
  14 </div>
  15
  16 =head1 DESCRIPTION
  17
  18 The B<bos restricted> command places the server in restricted mode. This
  19 mode increases the security of the bos server by removing access to a
  20 number of bos commands that are only used whilst configuring a system.
  21
  22 When a server is in restricted mode, access to B<bos_exec>, B<bos uninstall>,
  23 B<bos install>, B<bos create>, B<bos install>, B<bos delete>, B<bos prune>
  24 is denied, and the use of B<bos getlog> is limited.
  25
  26 =head1 CAUTIONS
  27
  28 Once a server has been placed in restricted mode, it may not be opened up
  29 again using a remote command. That is, B<bos setrestricted> has no method
  30 of setting an unrestricted mode. Once a server is restricted, it can only
  31 be opened up again by sending it a SIGFPE, which must be done as root on
  32 the local machine.
  33
  34 =head1 OPTIONS
  35
  36 =over 4
  37
  38 =item B<-server> <I<machine name>>
  39
  40 Indicates the server machine to restrict.
  41
  42 =item B<-cell> <I<cell name>>
  43
  44 Names the cell in which to run the command. Do not combine this argument
  45 with the B<-localauth> flag. For more details, see L<bos(8)>.
  46
  47 =item B<-noauth>
  48
  49 Assigns the unprivileged identity C<anonymous> to the issuer. Do not
  50 combine this flag with the B<-localauth> flag. For more details, see
  51 L<bos(8)>.
  52
  53 =item B<-localauth>
  54
  55 Constructs a server ticket using a key from the local
  56 F</usr/afs/etc/KeyFile> file. The B<bos> command interpreter presents the
  57 ticket to the BOS Server during mutual authentication. Do not combine this
  58 flag with the B<-cell> or B<-noauth> options. For more details, see
  59 L<bos(8)>.
  60
  61 =item B<-help>
  62
  63 Prints the online help for this command. All other valid options are
  64 ignored.
  65
  66 =back
  67
  68 =head1 PRIVILEGE REQUIRED
  69
  70 The issuer must be listed in the F</usr/afs/etc/UserList> file on the
  71 machine named by the B<-server> argument, or must be logged in as the
  72 local superuser C<root> if the B<-localauth> flag is included.
  73
  74 As noted above, this command cannot be run against servers which are
  75 already in restricted mode.
  76
  77 =head1 SEE ALSO
  78
  79 L<bos(8)>
  80
  81 =head1 COPYRIGHT
  82
  83 Copyright 2009 Simon wilkinson <simon@sxw.org.uk>
  84
  85 This documentation is covered by the BSD License as written in the
  86 doc/LICENSE file. This man page was written by Simon Wilkinson for
  87 OpenAFS.
  88