/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2008-10-03 09:32:30 UTC
  • Revision ID: teddy@fukt.bsnet.se-20081003093230-rshn19e0c19zz12i
* .bzrignore (plugins.d/askpass-fifo): Added.

* Makefile (FORTIFY): Added "-fstack-protector-all".
  (mandos, mandos-keygen): Use more strict regexps when updating the
                           version number.

* mandos (Client.__init__): Use os.path.expandvars() and
                            os.path.expanduser() on the "secfile"
                            config value.

* plugins.d/splashy.c: Update comments and order of #include's.
  (main): Check user and group when looking for running splashy
          process.  Do not ignore ENOENT from execl().  Use _exit()
          instead of "return" when an error happens in child
          processes.  Bug fix: Only wait for splashy_update
          completion if it was started.  Bug fix: detect failing
          waitpid().  Only kill splashy_update if it is running.  Do
          the killing of the old splashy process before the fork().
          Do setsid() and setuid(geteuid()) before starting the new
          splashy.  Report failing execl().

* plugins.d/usplash.c: Update comments and order of #include's.
  (main): Check user and group when looking for running usplash
          process.  Do not report execv() error if interrupted by a
          signal.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Adding a Client Password to the Server
2
 
  
3
 
  The server must be given a password to give back to the client on
4
 
  boot time.  This password must be a one which can be used to unlock
5
 
  the root file system device.  On the *client*, run this command:
6
 
  
7
 
        mandos-keygen --password
8
 
  
9
 
  It will prompt for a password and output a config file section.
10
 
  This output should be copied to the Mandos server and added to the
11
 
  file "/etc/mandos/clients.conf" there.
12
 
 
13
 
* Testing that it Works (Without Rebooting)
14
 
  
15
 
  After the server has been started with this client's key added, it
16
 
  is possible to verify that the correct password will be received by
17
 
  this client by running the command, on the client:
18
 
  
19
 
        /usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH \
20
 
        )/mandos/plugins.d/mandos-client \
21
 
                --pubkey=/etc/keys/mandos/pubkey.txt \
22
 
                --seckey=/etc/keys/mandos/seckey.txt; echo
23
 
  
24
 
  This command should retrieve the password from the server, decrypt
25
 
  it, and output it to standard output.  There it can be verified to
26
 
  be the correct password, before rebooting.
27
 
 
28
 
* Emergency Escape
29
 
  
30
 
  If it ever should be necessary, the Mandos client can be temporarily
31
 
  prevented from running at startup by passing the parameter
32
 
  "mandos=off" to the kernel.
33
 
 
34
 
* Specifying a Client Network Interface
35
 
  
36
 
  At boot time the network interfaces to use will by default be
37
 
  automatically detected.  If this should result in incorrect
38
 
  interfaces, edit the DEVICE setting in the
39
 
  "/etc/initramfs-tools/initramfs.conf" file.  (The default setting is
40
 
  empty, meaning it will autodetect the interface.)  *If* the DEVICE
41
 
  setting is changed, it will be necessary to update the initrd image
42
 
  by running the command
43
 
  
44
 
        update-initramfs -k all -u
45
 
  
46
 
  The device can also be overridden at boot time on the Linux kernel
47
 
  command line using the sixth colon-separated field of the "ip="
48
 
  option; for exact syntax, read the documentation in the file
49
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfs/nfsroot.txt",
50
 
  available in the "linux-doc-*" package.
51
 
  
52
 
  Note that since the network interfaces are used in the initial RAM
53
 
  disk environment, the network interfaces *must* exist at that stage.
54
 
  Thus, an interface can *not* be a pseudo-interface such as "br0" or
55
 
  "tun0"; instead, only real interfaces (such as "eth0") can be used.
56
 
  This can be overcome by writing a "network hook" program to create
57
 
  an interface (see mandos-client(8mandos)) and placing it in
58
 
  "/etc/mandos/network-hooks.d", from where it will be copied into the
59
 
  initial RAM disk.  Example network hook scripts can be found in
60
 
  "/usr/share/doc/mandos-client/examples/network-hooks.d".
61
 
 
62
 
* User-Supplied Plugins
63
 
  
64
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
65
 
  to the normal Mandos plugins.  When adding or changing plugins, do
66
 
  not forget to update the initital RAM disk image:
67
 
  
68
 
        update-initramfs -k all -u
69
 
 
70
 
* Do *NOT* Edit "/etc/crypttab"
71
 
  
72
 
  It is NOT necessary to edit "/etc/crypttab" to specify
73
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
74
 
  system; if no keyscript is given for the root file system, the
75
 
  Mandos client will be the new default way for getting a password for
76
 
  the root file system when booting.
77
 
 
78
 
* Non-local Connection (Not Using ZeroConf)
79
 
  
80
 
  If the "ip=" kernel command line option is used to specify a
81
 
  complete IP address and device name, as noted above, it then becomes
82
 
  possible to specify a specific IP address and port to connect to,
83
 
  instead of using ZeroConf.  The syntax for doing this is
84
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
85
 
  line.
86
 
  
87
 
  For very advanced users, it it possible to specify simply
88
 
  "mandos=connect" on the kernel command line to make the system only
89
 
  set up the network (using the data in the "ip=" option) and not pass
90
 
  any extra "--connect" options to mandos-client at boot.  For this to
91
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
92
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
93
 
 
94
 
 -- Teddy Hogeborn <teddy@recompile.se>, Mon, 28 Oct 2013 11:02:26 +0100
 
1
A client key has been automatically created in /etc/keys/mandos.  The
 
2
next step is to run "mandos-keygen --password" to get a config file
 
3
stanza to copy and paste into /etc/mandos/clients.conf on the Mandos
 
4
server.
 
5
 
 
6
Also, if some other network interface than "eth0" is used, it will be
 
7
necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
8
change the line there.  If this file is changed, it will be necessary
 
9
to update the initrd image by doing "update-initramfs -k all -u".
 
10
 
 
11
Any plugins found in /etc/mandos/plugins.d will override and add to
 
12
the normal Mandos plugins.  When adding or changing plugins, do not
 
13
forget to update the initital RAM disk image:
 
14
 
 
15
# update-initramfs -k all -u
 
16
 
 
17
It is NOT necessary to edit /etc/crypttab to specify
 
18
/usr/lib/mandos/plugin-runner as a keyscript for the root file system;
 
19
if no keyscript is given for the root file system, the Mandos client
 
20
will be the new default way for getting a password for the root file
 
21
system when booting.
 
22
 
 
23
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Fri, 19 Sep 2008 22:50:16 +0200