/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2016-03-07 23:39:36 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 337.
  • Revision ID: teddy@recompile.se-20160307233936-mhgpxhggamde443n
Server bug fix: Include CAP_SETGID so it does not run as root

* debian/mandos.postinst (configure): If old version was 1.7.4-1 or
  1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
  root.
* mandos (main): Print debug info about setuid() and setgid()
* mandos.service ([Service]/CapabilityBoundingSet): Add "CAP_KILL
  CAP_SETGID"; the latter is needed for setgid() to be allowed.

Show diffs side-by-side

added added

removed removed

Lines of Context:
25
25
        /usr/lib/$(dpkg-architecture -qDEB_HOST_MULTIARCH \
26
26
        )/mandos/plugins.d/mandos-client \
27
27
                --pubkey=/etc/keys/mandos/pubkey.txt \
28
 
                --seckey=/etc/keys/mandos/seckey.txt \
29
 
                --tls-privkey=/etc/keys/mandos/tls-privkey.pem \
30
 
                --tls-pubkey=/etc/keys/mandos/tls-pubkey.pem; echo
 
28
                --seckey=/etc/keys/mandos/seckey.txt; echo
31
29
  
32
30
  This command should retrieve the password from the server, decrypt
33
31
  it, and output it to standard output.  There it can be verified to
45
43
  automatically detected.  If this should result in incorrect
46
44
  interfaces, edit the DEVICE setting in the
47
45
  "/etc/initramfs-tools/initramfs.conf" file.  (The default setting is
48
 
  empty, meaning it will autodetect the interfaces.)  *If* the DEVICE
 
46
  empty, meaning it will autodetect the interface.)  *If* the DEVICE
49
47
  setting is changed, it will be necessary to update the initrd image
50
 
  by running this command:
 
48
  by running the command
51
49
  
52
50
        update-initramfs -k all -u
53
51
  
92
90
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
93
91
  line.
94
92
  
95
 
  For very advanced users, it is possible to specify simply
 
93
  For very advanced users, it it possible to specify simply
96
94
  "mandos=connect" on the kernel command line to make the system only
97
95
  set up the network (using the data in the "ip=" option) and not pass
98
96
  any extra "--connect" options to mandos-client at boot.  For this to
108
106
  policy or other reasons, simply replace the existing dhparams.pem
109
107
  file and update the initital RAM disk image.
110
108
 
111
 
 -- Teddy Hogeborn <teddy@recompile.se>, Sat,  9 Feb 2019 15:08:04 +0100
 
109
 -- Teddy Hogeborn <teddy@recompile.se>, Sun, 12 Jul 2015 03:24:24 +0200