/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2008-09-21 13:42:34 UTC
  • Revision ID: teddy@fukt.bsnet.se-20080921134234-jo8p4rwtm50yb4xj
* clients.conf ([bar]/secfile): Do not imply armored format.

* debian/control: Build-Depend on pkg-config.

* debian/mandos.prerm (remove): Bug fix; check for
                                "/etc/init.d/mandos", not
                                "/etc/init.d/ssh".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Choose the Client Network Interface
2
 
  
3
 
  Please make sure that the correct network interface is specified in
4
 
  the DEVICE setting in the "/etc/initramfs-tools/initramfs.conf"
5
 
  file.  If the setting is empty, the interface will be autodetected
6
 
  at boot time, which may not be correct.  *If* the DEVICE setting is
7
 
  changed, it will be necessary to update the initrd image by running
8
 
  the command
9
 
  
10
 
        update-initramfs -k all -u
11
 
  
12
 
  The device can be overridden at boot time on the Linux kernel
13
 
  command line using the sixth colon-separated field of the "ip="
14
 
  option; for exact syntax, read the documentation in the file
15
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
16
 
  available in the "linux-doc-*" package.
17
 
  
18
 
  Note that since this network interface is used in the initial RAM
19
 
  disk environment, the network interface *must* exist at that stage.
20
 
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
21
 
  "tun0"; instead, a real interface (such as "eth0") must be used.
22
 
 
23
 
* Adding a Client Password to the Server
24
 
  
25
 
  The server must be given a password to give back to the client on
26
 
  boot time.  This password must be a one which can be used to unlock
27
 
  the root file system device.  On the *client*, run this command:
28
 
  
29
 
        mandos-keygen --password
30
 
  
31
 
  It will prompt for a password and output a config file section.
32
 
  This output should be copied to the Mandos server and added to the
33
 
  file "/etc/mandos/clients.conf" there.
34
 
 
35
 
* Testing that it Works (Without Rebooting)
36
 
  
37
 
  After the server has been started with this client's key added, it
38
 
  is possible to verify that the correct password will be received by
39
 
  this client by running the command, on the client:
40
 
  
41
 
        /usr/lib/mandos/plugins.d/mandos-client \
42
 
                --pubkey=/etc/keys/mandos/pubkey.txt \
43
 
                --seckey=/etc/keys/mandos/seckey.txt; echo
44
 
  
45
 
  This command should retrieve the password from the server, decrypt
46
 
  it, and output it to standard output.  There it can be verified to
47
 
  be the correct password, before rebooting.
48
 
 
49
 
* User-Supplied Plugins
50
 
  
51
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
52
 
  to the normal Mandos plugins.  When adding or changing plugins, do
53
 
  not forget to update the initital RAM disk image:
54
 
  
55
 
        update-initramfs -k all -u
56
 
 
57
 
* Do *NOT* Edit "/etc/crypttab"
58
 
  
59
 
  It is NOT necessary to edit "/etc/crypttab" to specify
60
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
61
 
  system; if no keyscript is given for the root file system, the
62
 
  Mandos client will be the new default way for getting a password for
63
 
  the root file system when booting.
64
 
 
65
 
* Emergency Escape
66
 
  
67
 
  If it ever should be necessary, the Mandos client can be temporarily
68
 
  prevented from running at startup by passing the parameter
69
 
  "mandos=off" to the kernel.
70
 
 
71
 
* Non-local Connection (Not Using ZeroConf)
72
 
  
73
 
  If the "ip=" kernel command line option is used to specify a
74
 
  complete IP address and device name, as noted above, it then becomes
75
 
  possible to specify a specific IP address and port to connect to,
76
 
  instead of using ZeroConf.  The syntax for doing this is
77
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>".
78
 
  
79
 
  For very advanced users, it it possible to specify simply
80
 
  "mandos=connect" on the kernel command line to make the system only
81
 
  set up the network (using the data in the "ip=" option) and not pass
82
 
  any extra "--connect" options to mandos-client at boot.  For this to
83
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
84
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
85
 
 
86
 
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Mon, 27 Sep 2010 19:53:21 +0200
 
1
A client key has been automatically created in /etc/keys/mandos.  The
 
2
next step is to run "mandos-keygen --password" to get a config file
 
3
stanza to copy and paste into /etc/mandos/clients.conf on the Mandos
 
4
server.
 
5
 
 
6
Also, if some other network interface than "eth0" is used, it will be
 
7
necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
8
change the line there.  If this file is changed, it will be necessary
 
9
to update the initrd image by doing "update-initramfs -k all -u".
 
10
 
 
11
Any plugins found in /etc/mandos/plugins.d will override and add to
 
12
the normal Mandos plugins.  When adding or changing plugins, do not
 
13
forget to update the initital RAM disk image:
 
14
 
 
15
# update-initramfs -k all -u
 
16
 
 
17
It is NOT necessary to edit /etc/crypttab to specify
 
18
/usr/lib/mandos/plugin-runner as a keyscript for the root file system;
 
19
if no keyscript is given for the root file system, the Mandos client
 
20
will be the new default way for getting a password for the root file
 
21
system when booting.
 
22
 
 
23
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Fri, 19 Sep 2008 22:50:16 +0200