/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to INSTALL

  • Committer: Teddy Hogeborn
  • Date: 2009-02-13 08:00:47 UTC
  • mfrom: (237.2.78 mandos)
  • Revision ID: teddy@fukt.bsnet.se-20090213080047-eibfmj4j2a9zt53d
Merge from trunk.  Notable changes:

 1. Server package now depends on "python-gobject".
 2. Permission fix for /lib64.
 3. Support for DEVICE setting from initramfs.conf, kernel parameters
    "ip=" and "mandos=connect".
 4. Fix for the bug where the server would stop responding, with a
    zombie checker process.
 5. Add support for disabling IPv6 in the server
 6. Fix for the bug which made the server, plugin-runner and
    mandos-client fail to change group ID.
 7. Add GnuTLS debugging to server debug output.
 8. Fix for the bug of the "--options-for" option of plugin-runner,
    where it would cut the value at the first colon character.
 9. Stop using sscanf() throughout, since it does not detect overflow.
10. Fix for the bug where plugin-runner would not go to the fallback
    if all plugins failed.
11. Fix for the bug where mandos-client would not clean up after a
    signal.
12. Added support for connecting to IPv4 addresses in mandos-client.
13. Added support for not using a specific network interface in
    mandos-client.
14. Kernel log level will be lowered by mandos-client while bringing
    up the network interface.
15. Add an option for the maximum time for mandos-client to wait for
    the network interface to come up.
16. Fix for the bug where mandos-client would not clean the temporary
    directory on some filesystems.

Show diffs side-by-side

added added

removed removed

Lines of Context:
43
43
    + Python-GnuTLS 1.1.5 http://pypi.python.org/pypi/python-gnutls/
44
44
    + dbus-python 0.82.4  http://dbus.freedesktop.org/doc/dbus-python/
45
45
    + python-ctypes 1.0.0 http://pypi.python.org/pypi/ctypes
 
46
    + PyGObject 2.14.2    http://library.gnome.org/devel/pygobject/
46
47
    
47
48
    Strongly recommended:
48
49
    + fping 2.4b2-to-ipv6 http://www.fping.com/
49
50
    
50
51
    Package names:
51
52
    python-gnutls avahi-daemon python python-avahi python-dbus
52
 
    python-ctypes
 
53
    python-ctypes python-gobject
53
54
   
54
55
*** Mandos Client
55
56
    + initramfs-tools 0.85i
97
98
     and append this to the file "/etc/mandos/clients.conf" *on the
98
99
     server computer*.
99
100
  
100
 
  4. On the server computer, start the server by running the command
 
101
  4. Configure the client to use the correct network interface.  The
 
102
     default is "eth0", and if this needs to be adjusted, it will be
 
103
     necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
104
     change the line there.  If that file is changed, the initrd.img
 
105
     file must be updated, possibly using the following command:
 
106
     
 
107
        # update-initramfs -k all -u
 
108
  
 
109
  5. On the server computer, start the server by running the command
101
110
     For Debian: su -c 'invoke-rc.d mandos start'
102
111
     For Ubuntu: sudo invoke-rc.d mandos start
103
112
     
 
113
     At this point, it is possible to verify that the correct password
 
114
     will be received by the client by running the command:
 
115
     
 
116
        # /usr/lib/mandos/plugins.d/mandos-client \
 
117
                --pubkey=/etc/keys/mandos/pubkey.txt \
 
118
                --seckey=/etc/keys/mandos/seckey.txt; echo
 
119
     
 
120
     This command should retrieve the password from the server,
 
121
     decrypt it, and output it to standard output.
 
122
     
104
123
     After this, the client computer should be able to reboot without
105
124
     needing a password entered on the console, as long as it does not
106
125
     take more than an hour to reboot.
109
128
  
110
129
  You may want to tighten or loosen the timeouts in the server
111
130
  configuration files; see mandos.conf(5) and mandos-clients.conf(5).
112
 
  Is IPsec is not used, it is suggested that a more cryptographically
 
131
  If IPsec is not used, it is suggested that a more cryptographically
113
132
  secure checker program is used and configured, since without IPsec
114
133
  ping packets can be faked.