/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2008-08-22 00:16:20 UTC
  • mfrom: (24.1.57 mandos)
  • Revision ID: teddy@fukt.bsnet.se-20080822001620-vxpn1evy0t0kyvj0
* clients.conf ([DEFAULT]/checker): Update to new default value.

* mandos (Client.start_checker): Bug fix: OSError, not
                                 subprocess.OSError.
  (main): Use "fping -q -- %(host)s" instead of "fping -q --
          %%(host)s" as default value for "checker".  Always redirect
          stdin to be from /dev/null, even if in debug mode.

* mandos-clients.conf.xml (DESCRIPTION): Improved wording and refer to
                                         the EXPANSION section.
  (OPTIONS): Added synopsis and improved wording for "checker",
             "fingerprint", and "secret".  Refer to the RUNTIME
             EXPANSION section for the "checker" option.
  (EXAMPLE): Update to new default value for "checker".

* mandos-keygen (trap): Split lines and add "set +e".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Adding a Client Password to the Server
2
 
  
3
 
  The server must be given a password to give back to the client on
4
 
  boot time.  This password must be a one which can be used to unlock
5
 
  the root file system device.  On the *client*, run this command:
6
 
  
7
 
        mandos-keygen --password
8
 
  
9
 
  It will prompt for a password and output a config file section.
10
 
  This output should be copied to the Mandos server and added to the
11
 
  file "/etc/mandos/clients.conf" there.
12
 
 
13
 
* Testing that it Works (Without Rebooting)
14
 
  
15
 
  After the server has been started with this client's key added, it
16
 
  is possible to verify that the correct password will be received by
17
 
  this client by running the command, on the client:
18
 
  
19
 
        /usr/lib/mandos/plugins.d/mandos-client \
20
 
                --pubkey=/etc/keys/mandos/pubkey.txt \
21
 
                --seckey=/etc/keys/mandos/seckey.txt; echo
22
 
  
23
 
  This command should retrieve the password from the server, decrypt
24
 
  it, and output it to standard output.  There it can be verified to
25
 
  be the correct password, before rebooting.
26
 
 
27
 
* Emergency Escape
28
 
  
29
 
  If it ever should be necessary, the Mandos client can be temporarily
30
 
  prevented from running at startup by passing the parameter
31
 
  "mandos=off" to the kernel.
32
 
 
33
 
* Specifying a Client Network Interface
34
 
  
35
 
  At boot time the network interface to use will by default be
36
 
  automatically detected.  If this should result in an incorrect
37
 
  interface, edit the DEVICE setting in the
38
 
  "/etc/initramfs-tools/initramfs.conf" file.  (The default setting is
39
 
  empty, meaning it will autodetect the interface.)  *If* the DEVICE
40
 
  setting is changed, it will be necessary to update the initrd image
41
 
  by running the command
42
 
  
43
 
        update-initramfs -k all -u
44
 
  
45
 
  The device can be overridden at boot time on the Linux kernel
46
 
  command line using the sixth colon-separated field of the "ip="
47
 
  option; for exact syntax, read the documentation in the file
48
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
49
 
  available in the "linux-doc-*" package.
50
 
  
51
 
  Note that since this network interface is used in the initial RAM
52
 
  disk environment, the network interface *must* exist at that stage.
53
 
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
54
 
  "tun0"; instead, only real interface (such as "eth0") can be used.
55
 
  This can be overcome by writing a "network hook" program to create
56
 
  the interface (see mandos-client(8mandos)) and placing it in
57
 
  "/etc/mandos/network-hooks.d", from where it will be copied into the
58
 
  initial RAM disk.  Example network hook scripts can be found in
59
 
  "/usr/share/doc/mandos-client/examples/network-hooks.d".
60
 
 
61
 
* User-Supplied Plugins
62
 
  
63
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
64
 
  to the normal Mandos plugins.  When adding or changing plugins, do
65
 
  not forget to update the initital RAM disk image:
66
 
  
67
 
        update-initramfs -k all -u
68
 
 
69
 
* Do *NOT* Edit "/etc/crypttab"
70
 
  
71
 
  It is NOT necessary to edit "/etc/crypttab" to specify
72
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
73
 
  system; if no keyscript is given for the root file system, the
74
 
  Mandos client will be the new default way for getting a password for
75
 
  the root file system when booting.
76
 
 
77
 
* Non-local Connection (Not Using ZeroConf)
78
 
  
79
 
  If the "ip=" kernel command line option is used to specify a
80
 
  complete IP address and device name, as noted above, it then becomes
81
 
  possible to specify a specific IP address and port to connect to,
82
 
  instead of using ZeroConf.  The syntax for doing this is
83
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
84
 
  line.
85
 
  
86
 
  For very advanced users, it it possible to specify simply
87
 
  "mandos=connect" on the kernel command line to make the system only
88
 
  set up the network (using the data in the "ip=" option) and not pass
89
 
  any extra "--connect" options to mandos-client at boot.  For this to
90
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
91
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
92
 
 
93
 
 -- Teddy Hogeborn <teddy@recompile.se>, Fri,  1 Jun 2012 23:46:13 +0200