/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

* mandos (main): Try to find non-privileged user+group in pairs, so
                 that mismatched pairs are never used.

Show diffs side-by-side

added added

removed removed

Lines of Context:
7
7
 
8
8
* Use the Correct Network Interface
9
9
  
10
 
  Make sure that the correct network interface is specified in the
11
 
  DEVICE setting in the "/etc/initramfs-tools/initramfs.conf" file.
12
 
  If this is changed, it will be necessary to update the initrd image
13
 
  by doing "update-initramfs -k all -u".  This setting can be
14
 
  overridden at boot time on the Linux kernel command line using the
15
 
  sixth colon-separated field of the "ip=" option; for exact syntax,
16
 
  see the file "Documentation/nfsroot.txt" in the Linux source tree.
 
10
  If some other network interface than "eth0" is used, it will be
 
11
  necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
12
  change the line there.  If this is done, it will be necessary to
 
13
  update the initrd image by doing "update-initramfs -k all -u".
17
14
 
18
15
* Test the Server
19
16
  
26
23
                --seckey=/etc/keys/mandos/seckey.txt; echo
27
24
  
28
25
  This command should retrieve the password from the server, decrypt
29
 
  it, and output it to standard output.  There it can be verified to
30
 
  be the correct password, before rebooting.
 
26
  it, and output it to standard output.  It is now possible to verify
 
27
  the correctness of the password before rebooting.
31
28
 
32
29
* User-Supplied Plugins
33
 
  
 
30
 
34
31
  Any plugins found in /etc/mandos/plugins.d will override and add to
35
32
  the normal Mandos plugins.  When adding or changing plugins, do not
36
33
  forget to update the initital RAM disk image:
37
 
  
 
34
 
38
35
        # update-initramfs -k all -u
39
36
 
40
37
* Do *NOT* Edit /etc/crypttab
41
 
  
 
38
 
42
39
  It is NOT necessary to edit /etc/crypttab to specify
43
40
  /usr/lib/mandos/plugin-runner as a keyscript for the root file
44
41
  system; if no keyscript is given for the root file system, the
45
42
  Mandos client will be the new default way for getting a password for
46
43
  the root file system when booting.
47
44
 
48
 
* Emergency Escape
49
 
  
50
 
  If it ever should be necessary, the Mandos client can be temporarily
51
 
  prevented from running at startup by passing the parameter
52
 
  "mandos=off" to the kernel.
53
 
 
54
 
* Non-local Connection (Not Using ZeroConf)
55
 
  
56
 
  If the "ip=" kernel command line option is used to specify a
57
 
  complete IP address and device name, as noted above, it then becomes
58
 
  possible to specify a specific IP address and port to connect to,
59
 
  instead of using ZeroConf.  The syntax for doing this is
60
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>".
61
 
  
62
 
  Warning: this will cause the client to make exactly one attempt at
63
 
  connecting, and then fail if it does not succeed.
64
 
  
65
 
  For very advanced users, it it possible to specify simply
66
 
  "mandos=connect" on the kernel command line to make the system only
67
 
  set up the network (using the data in the "ip=" option) and not pass
68
 
  any extra "--connect" options to mandos-client at boot.  For this to
69
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
70
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
71
 
 
72
 
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Mon,  9 Feb 2009 00:36:55 +0100
 
45
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Sun,  5 Oct 2008 19:04:26 +0200