/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

* debian/mandos-client.postinst: Converted to Bourne shell.  Also
                                 minor message change.
* debian/mandos-client.postrm: Minor message change.
* debian/mandos.postinst: Converted to Bourne shell.  Also minor
                          message change.
* debian/mandos.prerm: Minor message change.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
This file documents the next steps to take after installation of the
2
 
Debian package, and also contain some notes specific to the Debian
3
 
packaging which are not also in the manual.
4
 
 
5
 
* Adding a Client Password to the Server
6
 
  
7
 
  The server must be given a password to give back to the client on
8
 
  boot time.  This password must be a one which can be used to unlock
9
 
  the root file system device.  On the *client*, run this command:
10
 
  
11
 
        mandos-keygen --password
12
 
  
13
 
  It will prompt for a password and output a config file section.
14
 
  This output should be copied to the Mandos server and added to the
15
 
  file "/etc/mandos/clients.conf" there.
16
 
 
17
 
* Testing that it Works (Without Rebooting)
18
 
  
19
 
  After the server has been started with this client's key added, it
20
 
  is possible to verify that the correct password will be received by
 
1
* Configure The Server
 
2
  
 
3
  A client key has been automatically created in /etc/keys/mandos.
 
4
  The next step is to run "mandos-keygen --password" to get a config
 
5
  file section.  This should be appended to /etc/mandos/clients.conf
 
6
  on the Mandos server.
 
7
 
 
8
* Use the Correct Network Interface
 
9
  
 
10
  If some other network interface than "eth0" is used, it will be
 
11
  necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
12
  change the line there.  If this is done, it will be necessary to
 
13
  update the initrd image by doing "update-initramfs -k all -u".
 
14
 
 
15
* Test the Server
 
16
  
 
17
  After the server has been started and this client's key added, it is
 
18
  possible to verify that the correct password will be received by
21
19
  this client by running the command, on the client:
22
20
  
23
 
        MANDOSPLUGINHELPERDIR=/usr/lib/$(dpkg-architecture \
24
 
        -qDEB_HOST_MULTIARCH)/mandos/plugin-helpers \
25
 
        /usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH \
26
 
        )/mandos/plugins.d/mandos-client \
 
21
        # /usr/lib/mandos/plugins.d/mandos-client \
27
22
                --pubkey=/etc/keys/mandos/pubkey.txt \
28
 
                --seckey=/etc/keys/mandos/seckey.txt \
29
 
                --tls-privkey=/etc/keys/mandos/tls-privkey.pem \
30
 
                --tls-pubkey=/etc/keys/mandos/tls-pubkey.pem; echo
 
23
                --seckey=/etc/keys/mandos/seckey.txt; echo
31
24
  
32
25
  This command should retrieve the password from the server, decrypt
33
 
  it, and output it to standard output.  There it can be verified to
34
 
  be the correct password, before rebooting.
 
26
  it, and output it to standard output.  It is now possible to verify
 
27
  the correctness of the password before rebooting.
 
28
 
 
29
* User-Supplied Plugins
 
30
 
 
31
  Any plugins found in /etc/mandos/plugins.d will override and add to
 
32
  the normal Mandos plugins.  When adding or changing plugins, do not
 
33
  forget to update the initital RAM disk image:
 
34
 
 
35
        # update-initramfs -k all -u
 
36
 
 
37
* Do *NOT* Edit /etc/crypttab
 
38
 
 
39
  It is NOT necessary to edit /etc/crypttab to specify
 
40
  /usr/lib/mandos/plugin-runner as a keyscript for the root file
 
41
  system; if no keyscript is given for the root file system, the
 
42
  Mandos client will be the new default way for getting a password for
 
43
  the root file system when booting.
35
44
 
36
45
* Emergency Escape
37
46
  
39
48
  prevented from running at startup by passing the parameter
40
49
  "mandos=off" to the kernel.
41
50
 
42
 
* Specifying a Client Network Interface
43
 
  
44
 
  At boot time the network interfaces to use will by default be
45
 
  automatically detected.  If this should result in incorrect
46
 
  interfaces, edit the DEVICE setting in the
47
 
  "/etc/initramfs-tools/initramfs.conf" file.  (The default setting is
48
 
  empty, meaning it will autodetect the interfaces.)  *If* the DEVICE
49
 
  setting is changed, it will be necessary to update the initrd image
50
 
  by running this command:
51
 
  
52
 
        update-initramfs -k all -u
53
 
  
54
 
  The device can also be overridden at boot time on the Linux kernel
55
 
  command line using the sixth colon-separated field of the "ip="
56
 
  option; for exact syntax, read the documentation in the file
57
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfs/nfsroot.txt",
58
 
  available in the "linux-doc-*" package.
59
 
  
60
 
  Note that since the network interfaces are used in the initial RAM
61
 
  disk environment, the network interfaces *must* exist at that stage.
62
 
  Thus, an interface can *not* be a pseudo-interface such as "br0" or
63
 
  "tun0"; instead, only real interfaces (such as "enp1s0" or "eth0")
64
 
  can be used. This can be overcome by writing a "network hook"
65
 
  program to create an interface (see mandos-client(8mandos)) and
66
 
  placing it in "/etc/mandos/network-hooks.d", from where it will be
67
 
  copied into the initial RAM disk.  Example network hook scripts can
68
 
  be found in "/usr/share/doc/mandos-client/examples/network-hooks.d".
69
 
 
70
 
* User-Supplied Plugins
71
 
  
72
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
73
 
  to the normal Mandos plugins.  When adding or changing plugins, do
74
 
  not forget to update the initital RAM disk image:
75
 
  
76
 
        update-initramfs -k all -u
77
 
 
78
 
* Do *NOT* Edit "/etc/crypttab"
79
 
  
80
 
  It is NOT necessary to edit "/etc/crypttab" to specify
81
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
82
 
  system; if no keyscript is given for the root file system, the
83
 
  Mandos client will be the new default way for getting a password for
84
 
  the root file system when booting.
85
 
 
86
 
* Non-local Connection (Not Using ZeroConf)
87
 
  
88
 
  If the "ip=" kernel command line option is used to specify a
89
 
  complete IP address and device name, as noted above, it then becomes
90
 
  possible to specify a specific IP address and port to connect to,
91
 
  instead of using ZeroConf.  The syntax for doing this is
92
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
93
 
  line.
94
 
  
95
 
  For very advanced users, it is possible to specify simply
96
 
  "mandos=connect" on the kernel command line to make the system only
97
 
  set up the network (using the data in the "ip=" option) and not pass
98
 
  any extra "--connect" options to mandos-client at boot.  For this to
99
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
100
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
101
 
 
102
 
* Diffie-Hellman Parameters
103
 
 
104
 
  On installation, a file with Diffie-Hellman parameters,
105
 
  /etc/keys/mandos/dhparams.pem, will be generated and automatically
106
 
  installed into the initital RAM disk image and also used by the
107
 
  Mandos Client on boot.  If different parameters are needed for
108
 
  policy or other reasons, simply replace the existing dhparams.pem
109
 
  file and update the initital RAM disk image.
110
 
 
111
 
 -- Teddy Hogeborn <teddy@recompile.se>, Thu, 20 Jun 2019 20:28:25 +0200
 
51
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Mon, 12 Jan 2009 02:29:10 +0100