/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2008-10-03 09:32:30 UTC
  • Revision ID: teddy@fukt.bsnet.se-20081003093230-rshn19e0c19zz12i
* .bzrignore (plugins.d/askpass-fifo): Added.

* Makefile (FORTIFY): Added "-fstack-protector-all".
  (mandos, mandos-keygen): Use more strict regexps when updating the
                           version number.

* mandos (Client.__init__): Use os.path.expandvars() and
                            os.path.expanduser() on the "secfile"
                            config value.

* plugins.d/splashy.c: Update comments and order of #include's.
  (main): Check user and group when looking for running splashy
          process.  Do not ignore ENOENT from execl().  Use _exit()
          instead of "return" when an error happens in child
          processes.  Bug fix: Only wait for splashy_update
          completion if it was started.  Bug fix: detect failing
          waitpid().  Only kill splashy_update if it is running.  Do
          the killing of the old splashy process before the fork().
          Do setsid() and setuid(geteuid()) before starting the new
          splashy.  Report failing execl().

* plugins.d/usplash.c: Update comments and order of #include's.
  (main): Check user and group when looking for running usplash
          process.  Do not report execv() error if interrupted by a
          signal.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Adding a Client Password to the Server
2
 
  
3
 
  The server must be given a password to give back to the client on
4
 
  boot time.  This password must be a one which can be used to unlock
5
 
  the root file system device.  On the *client*, run this command:
6
 
  
7
 
        mandos-keygen --password
8
 
  
9
 
  It will prompt for a password and output a config file section.
10
 
  This output should be copied to the Mandos server and added to the
11
 
  file "/etc/mandos/clients.conf" there.
12
 
 
13
 
* Testing that it Works (Without Rebooting)
14
 
  
15
 
  After the server has been started with this client's key added, it
16
 
  is possible to verify that the correct password will be received by
17
 
  this client by running the command, on the client:
18
 
  
19
 
        /usr/lib/mandos/plugins.d/mandos-client \
20
 
                --pubkey=/etc/keys/mandos/pubkey.txt \
21
 
                --seckey=/etc/keys/mandos/seckey.txt; echo
22
 
  
23
 
  This command should retrieve the password from the server, decrypt
24
 
  it, and output it to standard output.  There it can be verified to
25
 
  be the correct password, before rebooting.
26
 
 
27
 
* Emergency Escape
28
 
  
29
 
  If it ever should be necessary, the Mandos client can be temporarily
30
 
  prevented from running at startup by passing the parameter
31
 
  "mandos=off" to the kernel.
32
 
 
33
 
* Specifying a Client Network Interface
34
 
  
35
 
  At boot time the network interface to use will by default be
36
 
  automatically detected.  If this should result in an incorrect
37
 
  interface, edit the DEVICE setting in the
38
 
  "/etc/initramfs-tools/initramfs.conf" file.  (The default setting is
39
 
  empty, meaning it will autodetect the interface.)  *If* the DEVICE
40
 
  setting is changed, it will be necessary to update the initrd image
41
 
  by running the command
42
 
  
43
 
        update-initramfs -k all -u
44
 
  
45
 
  The device can be overridden at boot time on the Linux kernel
46
 
  command line using the sixth colon-separated field of the "ip="
47
 
  option; for exact syntax, read the documentation in the file
48
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
49
 
  available in the "linux-doc-*" package.
50
 
  
51
 
  Note that since this network interface is used in the initial RAM
52
 
  disk environment, the network interface *must* exist at that stage.
53
 
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
54
 
  "tun0"; instead, only real interface (such as "eth0") can be used.
55
 
  This can be overcome by writing a "network hook" program to create
56
 
  the interface (see mandos-client(8mandos)) and placing it in
57
 
  "/etc/mandos/network-hooks.d", from where it will be copied into the
58
 
  initial RAM disk.  Example network hook scripts can be found in
59
 
  "/usr/share/doc/mandos-client/network-hooks.d".
60
 
 
61
 
* User-Supplied Plugins
62
 
  
63
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
64
 
  to the normal Mandos plugins.  When adding or changing plugins, do
65
 
  not forget to update the initital RAM disk image:
66
 
  
67
 
        update-initramfs -k all -u
68
 
 
69
 
* Do *NOT* Edit "/etc/crypttab"
70
 
  
71
 
  It is NOT necessary to edit "/etc/crypttab" to specify
72
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
73
 
  system; if no keyscript is given for the root file system, the
74
 
  Mandos client will be the new default way for getting a password for
75
 
  the root file system when booting.
76
 
 
77
 
* Non-local Connection (Not Using ZeroConf)
78
 
  
79
 
  If the "ip=" kernel command line option is used to specify a
80
 
  complete IP address and device name, as noted above, it then becomes
81
 
  possible to specify a specific IP address and port to connect to,
82
 
  instead of using ZeroConf.  The syntax for doing this is
83
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
84
 
  line.
85
 
  
86
 
  For very advanced users, it it possible to specify simply
87
 
  "mandos=connect" on the kernel command line to make the system only
88
 
  set up the network (using the data in the "ip=" option) and not pass
89
 
  any extra "--connect" options to mandos-client at boot.  For this to
90
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
91
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
92
 
 
93
 
 -- Teddy Hogeborn <teddy@recompile.se>, Mon, 28 Nov 2011 23:07:22 +0100
 
1
A client key has been automatically created in /etc/keys/mandos.  The
 
2
next step is to run "mandos-keygen --password" to get a config file
 
3
stanza to copy and paste into /etc/mandos/clients.conf on the Mandos
 
4
server.
 
5
 
 
6
Also, if some other network interface than "eth0" is used, it will be
 
7
necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
8
change the line there.  If this file is changed, it will be necessary
 
9
to update the initrd image by doing "update-initramfs -k all -u".
 
10
 
 
11
Any plugins found in /etc/mandos/plugins.d will override and add to
 
12
the normal Mandos plugins.  When adding or changing plugins, do not
 
13
forget to update the initital RAM disk image:
 
14
 
 
15
# update-initramfs -k all -u
 
16
 
 
17
It is NOT necessary to edit /etc/crypttab to specify
 
18
/usr/lib/mandos/plugin-runner as a keyscript for the root file system;
 
19
if no keyscript is given for the root file system, the Mandos client
 
20
will be the new default way for getting a password for the root file
 
21
system when booting.
 
22
 
 
23
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Fri, 19 Sep 2008 22:50:16 +0200