/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2024-11-24 00:44:25 UTC
  • Revision ID: teddy@recompile.se-20241124004425-6k3y0ir1ksyjq3c4
mandos-keygen: Show warning about old OpenSSH versions

When generating a config file snippet on the Mandos client system
using mandos-keygen, and the default ssh-keyscan checker is used, and
if the OpenSSH version is 9.8 or later, the "checker" command
generated for the config file on the Mandos server will include the
"-q" option for ssh-keyscan.  This option did not exist on ssh-keyscan
from OpenSSH older than version 9.8.  Therefore, if the Mandos
*server* is running an older version of OpenSSH, where ssh-keyscan
does not support the "-q" option, this option must be removed from the
generated "checker" setting.  Since we cannot know if this is the case
when running mandos-keygen on the Mandos client system, we print this
information as a comment above the generated "checker" setting.

* mandos-keygen: Show warning if the new "-q" options was used with
  ssh-keyscan in the generated "checker" setting.

Show diffs side-by-side

added added

removed removed

Lines of Context:
75
75
  
76
76
  Any plugins found in "/etc/mandos/plugins.d" will override and add
77
77
  to the normal Mandos plugins.  When adding or changing plugins, do
78
 
  not forget to update the initital RAM disk image:
 
78
  not forget to update the initial RAM disk image:
79
79
  
80
80
        (For initramfs-tools:)
81
81
        update-initramfs -k all -u
100
100
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
101
101
  line.
102
102
  
103
 
  For very advanced users, it is possible to specify simply
104
 
  "mandos=connect" on the kernel command line to make the system only
105
 
  set up the network (using the data in the "ip=" option) and not pass
106
 
  any extra "--connect" options to mandos-client at boot.  For this to
107
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
108
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
 
103
  For very advanced users, it is possible to specify "mandos=connect"
 
104
  on the kernel command line to make the system only set up the
 
105
  network (using the data in the "ip=" option) and not pass any extra
 
106
  "--connect" options to mandos-client at boot.  For this to work,
 
107
  "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs to be
 
108
  manually added to the file "/etc/mandos/plugin-runner.conf" or, if
 
109
  dracut is used with systemd, the "--connect=<ADDRESS>:<PORT>"
 
110
  options needs to be added to an environment variable in an override
 
111
  file for the "ask-password-mandos" service, as detailed in the file
 
112
  "/usr/lib/dracut/modules.d/90mandos/ask-password-mandos.service".
109
113
 
110
114
* Diffie-Hellman Parameters
111
115
 
112
116
  On installation, a file with Diffie-Hellman parameters,
113
117
  /etc/keys/mandos/dhparams.pem, will be generated and automatically
114
 
  installed into the initital RAM disk image and also used by the
 
118
  installed into the initial RAM disk image and also used by the
115
119
  Mandos Client on boot.  If different parameters are needed for
116
120
  policy or other reasons, simply replace the existing dhparams.pem
117
 
  file and update the initital RAM disk image.
 
121
  file and update the initial RAM disk image.
118
122
 
119
 
 -- Teddy Hogeborn <teddy@recompile.se>, Mon, 15 Jul 2019 16:47:02 +0200
 
123
 -- Teddy Hogeborn <teddy@recompile.se>, Sun,  8 Sep 2024 02:09:20 +0200