/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

* init.d-mandos (Required-Start, Required-Stop): Bug fix: Added
                 "$syslog", thanks to Petter Reinholdtsen
                 <pere@hungry.com> (Debian bug #546928).

* initramfs-tools-script: Removed erroneous comment.

* plugins.d/askpass-fifo.c: Removed TEMP_FAILURE_RETRY since it is
                            not needed.

* plugins.d/mandos-client.c (main): Bug fix: Initialize
                                    "old_sigterm_action".

* plugins.d/splashy.c (main): Bug fix: really check return value from
                              "sigaddset".  Fix some warnings on
                              64-bit systems.

* plugins.d/usplash.c (termination_handler, main): Save received
                                                   signal and
                                                   re-raise it on
                                                   exit.
  (usplash_write): Do not close FIFO, instead, take an additional file
                   descriptor pointer to it and open only when needed
                   (all callers changed).  Abort immediately on EINTR.
                   Bug fix:  Add NUL byte on single-word commands.
                   Ignore "interrupted_by_signal".
  (makeprompt, find_usplash): New; broken out from "main()".
  (find_usplash): Bug fix: close /proc/<pid>/cmdline FD on error.
  (main): Reorganized to jump to a new "failure" label on any error.
          Bug fix: check return values from sigaddset.
          New variable "usplash_accessed" to flag if usplash(8) needs
          to be killed and restarted.  Removed the "an_error_occured"
          variable.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Configure The Server
2
 
  
3
 
  A client key has been automatically created in /etc/keys/mandos.
4
 
  The next step is to run "mandos-keygen --password" to get a config
5
 
  file section.  This should be appended to /etc/mandos/clients.conf
6
 
  on the Mandos server.
7
 
 
8
 
* Use the Correct Network Interface
9
 
  
10
 
  If some other network interface than "eth0" is used, it will be
11
 
  necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
12
 
  change the line there.  If this is done, it will be necessary to
13
 
  update the initrd image by doing "update-initramfs -k all -u".
14
 
 
15
 
* Test the Server
16
 
  
17
 
  After the server has been started and this client's key added, it is
18
 
  possible to verify that the correct password will be received by
 
1
* Choose the Client Network Interface
 
2
  
 
3
  You MUST make sure that the correct network interface is specified
 
4
  in the DEVICE setting in the "/etc/initramfs-tools/initramfs.conf"
 
5
  file.  *If* this is changed, it will be necessary to update the
 
6
  initrd image by running the command
 
7
  
 
8
        update-initramfs -k all -u
 
9
  
 
10
  The device can be overridden at boot time on the Linux kernel
 
11
  command line using the sixth colon-separated field of the "ip="
 
12
  option; for exact syntax, read the documentation in the file
 
13
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
 
14
  available in the "linux-doc-*" package.
 
15
  
 
16
  Note that since this network interface is used in the initial RAM
 
17
  disk environment, the network interface *must* exist at that stage.
 
18
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
 
19
  "tun0"; instead, a real interface (such as "eth0") must be used.
 
20
 
 
21
* Adding a Client Password to the Server
 
22
  
 
23
  The server must be given a password to give back to the client on
 
24
  boot time.  This password must be a one which can be used to unlock
 
25
  the root file system device.  On the *client*, run this command:
 
26
  
 
27
        mandos-keygen --password
 
28
  
 
29
  It will prompt for a password and output a config file section.
 
30
  This output should be copied to the Mandos server and added to the
 
31
  file "/etc/mandos/clients.conf" there.
 
32
 
 
33
* Testing that it Works (Without Rebooting)
 
34
  
 
35
  After the server has been started with this client's key added, it
 
36
  is possible to verify that the correct password will be received by
19
37
  this client by running the command, on the client:
20
38
  
21
 
        # /usr/lib/mandos/plugins.d/mandos-client \
 
39
        /usr/lib/mandos/plugins.d/mandos-client \
22
40
                --pubkey=/etc/keys/mandos/pubkey.txt \
23
41
                --seckey=/etc/keys/mandos/seckey.txt; echo
24
42
  
25
43
  This command should retrieve the password from the server, decrypt
26
 
  it, and output it to standard output.  It is now possible to verify
27
 
  the correctness of the password before rebooting.
 
44
  it, and output it to standard output.  There it can be verified to
 
45
  be the correct password, before rebooting.
28
46
 
29
47
* User-Supplied Plugins
30
 
 
31
 
  Any plugins found in /etc/mandos/plugins.d will override and add to
32
 
  the normal Mandos plugins.  When adding or changing plugins, do not
33
 
  forget to update the initital RAM disk image:
34
 
 
35
 
        # update-initramfs -k all -u
36
 
 
37
 
* Do *NOT* Edit /etc/crypttab
38
 
 
39
 
  It is NOT necessary to edit /etc/crypttab to specify
40
 
  /usr/lib/mandos/plugin-runner as a keyscript for the root file
 
48
  
 
49
  Any plugins found in "/etc/mandos/plugins.d" will override and add
 
50
  to the normal Mandos plugins.  When adding or changing plugins, do
 
51
  not forget to update the initital RAM disk image:
 
52
  
 
53
        update-initramfs -k all -u
 
54
 
 
55
* Do *NOT* Edit "/etc/crypttab"
 
56
  
 
57
  It is NOT necessary to edit "/etc/crypttab" to specify
 
58
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
41
59
  system; if no keyscript is given for the root file system, the
42
60
  Mandos client will be the new default way for getting a password for
43
61
  the root file system when booting.
44
62
 
45
 
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Sun,  5 Oct 2008 19:04:26 +0200
 
63
* Emergency Escape
 
64
  
 
65
  If it ever should be necessary, the Mandos client can be temporarily
 
66
  prevented from running at startup by passing the parameter
 
67
  "mandos=off" to the kernel.
 
68
 
 
69
* Non-local Connection (Not Using ZeroConf)
 
70
  
 
71
  If the "ip=" kernel command line option is used to specify a
 
72
  complete IP address and device name, as noted above, it then becomes
 
73
  possible to specify a specific IP address and port to connect to,
 
74
  instead of using ZeroConf.  The syntax for doing this is
 
75
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>".
 
76
  
 
77
  Warning: this will cause the client to make exactly one attempt at
 
78
  connecting, and then fail if it does not succeed.
 
79
  
 
80
  For very advanced users, it it possible to specify simply
 
81
  "mandos=connect" on the kernel command line to make the system only
 
82
  set up the network (using the data in the "ip=" option) and not pass
 
83
  any extra "--connect" options to mandos-client at boot.  For this to
 
84
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
 
85
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
 
86
 
 
87
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Tue,  8 Sep 2009 08:25:58 +0200