/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to INSTALL

  • Committer: Teddy Hogeborn
  • Date: 2021-02-03 23:10:42 UTC
  • mto: This revision was merged to the branch mainline in revision 406.
  • Revision ID: teddy@recompile.se-20210203231042-2z3egrvpo1zt7nej
mandos-ctl: Fix bad test for command.Remove and related minor issues

The test for command.Remove removes all clients from the spy server,
and then loops over all clients, looking for the corresponding Remove
command as recorded by the spy server.  But since since there aren't
any clients left after they were removed, no assertions are made, and
the test therefore does nothing.  Fix this.

In tests for command.Approve and command.Deny, add checks that clients
were not somehow removed by the command (in which case, likewise, no
assertions are made).

Add related checks to TestPropertySetterCmd.runTest; i.e. test that a
sequence is not empty before looping over it and making assertions.

* mandos-ctl (TestBaseCommands.test_Remove): Save a copy of the
  original "clients" dict, and loop over those instead.  Add assertion
  that all clients were indeed removed.  Also fix the code which looks
  for the Remove command, which now needs to actually work.
  (TestBaseCommands.test_Approve, TestBaseCommands.test_Deny): Add
  assertion that there are still clients before looping over them.
  (TestPropertySetterCmd.runTest): Add assertion that the list of
  values to get is not empty before looping over them.  Also add check
  that there are still clients before looping over clients.

Show diffs side-by-side

added added

removed removed

Lines of Context:
4
4
  
5
5
** Operating System
6
6
   
7
 
   Debian 5.0 "lenny" or Ubuntu 8.04 "Hardy Heron".
8
 
   
9
 
   This is mostly for scripts to make sure that the client is
10
 
   installed and started in the initial RAM disk environment and that
11
 
   the initrd.img file is automatically made unreadable.  The programs
12
 
   themselves *could* be run in other distributions, but they *are*
13
 
   specific to GNU/Linux systems, and not intended to be portable to
14
 
   other Unix systems.
15
 
  
 
7
   Debian 8.0 "jessie" or Ubuntu 15.10 "Wily Werewolf" (or later).
 
8
   
 
9
   This is mostly for the support scripts which make sure that the
 
10
   client is installed and started in the initial RAM disk environment
 
11
   and that the initial RAM file system image file is automatically
 
12
   made unreadable.  The server and client programs themselves *could*
 
13
   be run in other distributions, but they *are* specific to GNU/Linux
 
14
   systems, and are not written with portabillity to other Unixes in
 
15
   mind.
 
16
   
16
17
** Libraries
17
18
   
18
19
   The following libraries and packages are needed.  (It is possible
25
26
    and client:
26
27
    
27
28
    + DocBook 4.5         http://www.docbook.org/
 
29
      Note: DocBook 5.0 is not compatible.
28
30
    + DocBook XSL stylesheets 1.71.0
29
 
                   http://wiki.docbook.org/topic/DocBookXslStylesheets
 
31
                         http://wiki.docbook.org/DocBookXslStylesheets
30
32
    
31
33
    Package names:
32
34
    docbook docbook-xsl
33
 
   
 
35
    
 
36
    To build just the documentation, run the command "make doc".  Then
 
37
    the manual page "mandos.8", for example, can be read by running
 
38
    "man -l mandos.8".
 
39
    
34
40
*** Mandos Server
35
 
    + GnuTLS 2.4          http://www.gnu.org/software/gnutls/
36
 
    + Avahi 0.6.16        http://www.avahi.org/
37
 
    + Python 2.4          http://www.python.org/
38
 
    + Python-GnuTLS 1.1.5 http://pypi.python.org/pypi/python-gnutls/
39
 
    + dbus-python 0.82.4  http://dbus.freedesktop.org/doc/dbus-python/
40
 
    + python-ctypes 1.0.0 http://pypi.python.org/pypi/ctypes
 
41
    + GnuTLS 3.3          https://www.gnutls.org/
 
42
      (but not 3.6.0 or later, until 3.6.6, which works)
 
43
    + Avahi 0.6.16        https://www.avahi.org/
 
44
    + Python 3           https://www.python.org/
 
45
      Note: Python 2.7 is still supported, if the "mandos",
 
46
      "mandos-ctl", and "mandos-monitor" files are edited to contain
 
47
      "#!/usr/bin/python" instead of python3.
 
48
    + dbus-python 0.82.4 https://dbus.freedesktop.org/doc/dbus-python/
 
49
    + PyGObject 3.8      https://wiki.gnome.org/Projects/PyGObject
 
50
    + pkg-config https://www.freedesktop.org/wiki/Software/pkg-config/
 
51
    + Urwid 1.0.1         http://urwid.org/
 
52
      (Only needed by the "mandos-monitor" tool.)
41
53
    
42
54
    Strongly recommended:
43
 
    + fping 2.4b2-to-ipv6 http://www.fping.com/
 
55
    + fping 2.4b2-to-ipv6      http://www.fping.org/
 
56
    + ssh-keyscan from OpenSSH http://www.openssh.com/
44
57
    
45
58
    Package names:
46
 
    python-gnutls avahi-daemon python2.5 python-avahi python-dbus
47
 
    python-ctypes
48
 
   
 
59
    avahi-daemon python3 python3-dbus python3-gi python3-urwid
 
60
    pkg-config fping ssh-client
 
61
    
49
62
*** Mandos Client
 
63
    + GNU C Library 2.17 https://gnu.org/software/libc/
 
64
    + GnuTLS 3.3        https://www.gnutls.org/
 
65
      (but not 3.6.0 or later, until 3.6.6 which works)
 
66
    + Avahi 0.6.16      https://www.avahi.org/
 
67
    + GnuPG 1.4.9       https://www.gnupg.org/
 
68
    + GPGME 1.1.6       https://www.gnupg.org/related_software/gpgme/
 
69
    + pkg-config https://www.freedesktop.org/wiki/Software/pkg-config/
 
70
    + libnl-route 3     https://www.infradead.org/~tgr/libnl/
 
71
    + GLib 2.40         http://www.gtk.org/
 
72
    
 
73
    One of:
50
74
    + initramfs-tools 0.85i
51
 
                  http://packages.qa.debian.org/i/initramfs-tools.html
52
 
    + GnuTLS 2.4          http://www.gnu.org/software/gnutls/
53
 
    + Avahi 0.6.16        http://www.avahi.org/
54
 
    + GnuPG 1.4.9         http://www.gnupg.org/
55
 
    + GPGME 1.1.6         http://www.gnupg.org/related_software/gpgme/
 
75
                        https://tracker.debian.org/pkg/initramfs-tools
 
76
    + dracut 044+241
 
77
         http://www.kernel.org/pub/linux/utils/boot/dracut/dracut.html
 
78
    
 
79
    Strongly recommended:
 
80
    + OpenSSH           http://www.openssh.com/
56
81
    
57
82
    Package names:
58
 
    initramfs-tools libgnutls-dev libavahi-core-dev gnupg
59
 
    libgpgme11-dev
 
83
    initramfs-tools dracut libgnutls-dev gnutls-bin libavahi-core-dev
 
84
    gnupg libgpgme11-dev pkg-config ssh libnl-route-3-dev
 
85
    libglib2.0-dev
60
86
 
61
87
* Installing the Mandos server
62
88
  
63
89
  1. Do "make doc".
64
90
  
65
91
  2. On the computer to run as a Mandos server, run the following
66
 
     command: "sudo make install-server".
67
 
    
68
 
     (This creates a configuration without any clients configured; we
 
92
     command:
 
93
     For Debian: su - -c 'make install-server'
 
94
     For Ubuntu: sudo make install-server
 
95
     
 
96
     (This creates a configuration without any clients configured; you
69
97
     need an actually configured client to do that; see below.)
70
98
 
71
99
* Installing the Mandos client.
73
101
  1. Do "make all doc".
74
102
  
75
103
  2. On the computer to run as a Mandos client, run the following
76
 
     command: "sudo make install-client".  This will also create an
77
 
     OpenPGP key, which will take some time and entropy, so either
78
 
     wait patiently or frob your mouse until it's done.
79
 
  
80
 
  3. Run "mandos-keygen --password".  When prompted, enter the
81
 
     password/passphrase for the encrypted root file system on this
82
 
     client computer.  It will output a section of text, starting with
83
 
     a [section header].  Copy and paste this into the file
84
 
     "/etc/mandos/clients.conf" *on the server computer*.
85
 
  
86
 
  4. On the server computer, start the server by running the command
87
 
     "invoke-rc.d mandos start".
 
104
     command:
 
105
     For Debian: su - -c 'make install-client'
 
106
     For Ubuntu: sudo make install-client
 
107
     
 
108
     This will also create an OpenPGP key, which will take some time
 
109
     and entropy, so be patient.
 
110
  
 
111
  3. Run the following command:
 
112
     For Debian: su - -c 'mandos-keygen --password'
 
113
     For Ubuntu: sudo mandos-keygen --password
 
114
     
 
115
     When prompted, enter the password/passphrase for the encrypted
 
116
     root file system on this client computer.  The command will
 
117
     output a section of text, starting with a [section header].  Copy
 
118
     and append this to the file "/etc/mandos/clients.conf" *on the
 
119
     server computer*.
 
120
  
 
121
  4. Configure the client to use any special configuration needed for
 
122
     your local system.  Note: This is not necessary if the server is
 
123
     present on the same wired local network as the client.  If you do
 
124
     make changes to /etc/mandos/plugin-runner.conf, the initrd.img
 
125
     file must be updated, possibly using the following command:
 
126
     
 
127
        # update-initramfs -k all -u
 
128
  
 
129
  5. On the server computer, start the server by running the command
 
130
     For Debian: su - -c 'invoke-rc.d mandos start'
 
131
     For Ubuntu: sudo service mandos start
 
132
     
 
133
     At this point, it is possible to verify that the correct password
 
134
     will be received by the client by running the command:
 
135
     
 
136
        # /usr/lib/mandos/plugins.d/mandos-client \
 
137
                --pubkey=/etc/keys/mandos/pubkey.txt \
 
138
                --seckey=/etc/keys/mandos/seckey.txt \
 
139
                --tls-privkey=/etc/keys/mandos/tls-privkey.pem \
 
140
                --tls-pubkey=/etc/keys/mandos/tls-pubkey.pem; echo
 
141
     
 
142
     This command should retrieve the password from the server,
 
143
     decrypt it, and output it to standard output.
 
144
     
 
145
     After this, the client computer should be able to reboot without
 
146
     needing a password entered on the console, as long as it does not
 
147
     take more than five minutes to reboot.
88
148
 
89
149
* Further customizations
90
150
  
91
151
  You may want to tighten or loosen the timeouts in the server
92
152
  configuration files; see mandos.conf(5) and mandos-clients.conf(5).
93
 
  Is IPsec is not used, it is suggested that a more cryptographically
94
 
  secure checker program is used and configured, since without IPsec
95
 
  ping packets can be faked.
 
153
  If IPsec is not used and SSH is not installed, it is suggested that
 
154
  a more cryptographically secure checker program is used and
 
155
  configured, since, without IPsec, ping packets can be faked.
 
156
 
 
157
#+STARTUP: showall