/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2024-11-15 11:02:39 UTC
  • Revision ID: teddy@recompile.se-20241115110239-1t2yh76c1ap7wlmm
mandos-keygen: Avoid comment lines from ssh-keyscan

In ssh-keyscan from OpenSSH 9.8, comment lines containing the hostname
and SSH protocol banner are emitted by to standard output.  Avoid this
by passing the "-q" (quiet) option to ssh-keyscan.

mandos-keygen: When scanning localhost for keys, try to run
"ssh-keyscan" both with and without the "-q" option.  If the "-q"
option worked, use the option also in the generated checker command.

Reported-By: bb <bb@tsufeki.eu>
Thanks: bb <bb@tsufeki.eu> for analysis

Show diffs side-by-side

added added

removed removed

Lines of Context:
75
75
  
76
76
  Any plugins found in "/etc/mandos/plugins.d" will override and add
77
77
  to the normal Mandos plugins.  When adding or changing plugins, do
78
 
  not forget to update the initital RAM disk image:
 
78
  not forget to update the initial RAM disk image:
79
79
  
80
80
        (For initramfs-tools:)
81
81
        update-initramfs -k all -u
100
100
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
101
101
  line.
102
102
  
103
 
  For very advanced users, it is possible to specify simply
104
 
  "mandos=connect" on the kernel command line to make the system only
105
 
  set up the network (using the data in the "ip=" option) and not pass
106
 
  any extra "--connect" options to mandos-client at boot.  For this to
107
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
108
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
 
103
  For very advanced users, it is possible to specify "mandos=connect"
 
104
  on the kernel command line to make the system only set up the
 
105
  network (using the data in the "ip=" option) and not pass any extra
 
106
  "--connect" options to mandos-client at boot.  For this to work,
 
107
  "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs to be
 
108
  manually added to the file "/etc/mandos/plugin-runner.conf" or, if
 
109
  dracut is used with systemd, the "--connect=<ADDRESS>:<PORT>"
 
110
  options needs to be added to an environment variable in an override
 
111
  file for the "ask-password-mandos" service, as detailed in the file
 
112
  "/usr/lib/dracut/modules.d/90mandos/ask-password-mandos.service".
109
113
 
110
114
* Diffie-Hellman Parameters
111
115
 
112
116
  On installation, a file with Diffie-Hellman parameters,
113
117
  /etc/keys/mandos/dhparams.pem, will be generated and automatically
114
 
  installed into the initital RAM disk image and also used by the
 
118
  installed into the initial RAM disk image and also used by the
115
119
  Mandos Client on boot.  If different parameters are needed for
116
120
  policy or other reasons, simply replace the existing dhparams.pem
117
 
  file and update the initital RAM disk image.
 
121
  file and update the initial RAM disk image.
118
122
 
119
 
 -- Teddy Hogeborn <teddy@recompile.se>, Mon, 15 Jul 2019 16:47:02 +0200
 
123
 -- Teddy Hogeborn <teddy@recompile.se>, Sun,  8 Sep 2024 02:09:20 +0200