/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2009-01-14 14:20:17 UTC
  • Revision ID: teddy@fukt.bsnet.se-20090114142017-84t4kfw56bsftjlo
Fixes for sscanf usage:

* plugin-runner.c (main): Parse numbers correctly and portably using
                          an intermediate "intmax_t".  Cast "pid_t" to
                          "intmax_t" before passing it to "printf()".
* plugins.d/mandos-client.c (main): Parse numbers correctly and
                                    portably using an intermediate
                                    "intmax_t".  Bug fix: cast
                                    "AvahiIfIndex" to "intmax_t" and
                                    use "PRIdMAX" instead of using
                                    "PRIu16", and use "PRIu16" to
                                    format port number.
* plugins.d/splashy.c (main): Parse numbers correctly and portably
                              using an intermediate "intmax_t".
* plugins.d/usplash.c (main): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Adding a Client Password to the Server
2
 
  
3
 
  The server must be given a password to give back to the client on
4
 
  boot time.  This password must be a one which can be used to unlock
5
 
  the root file system device.  On the *client*, run this command:
6
 
  
7
 
        mandos-keygen --password
8
 
  
9
 
  It will prompt for a password and output a config file section.
10
 
  This output should be copied to the Mandos server and added to the
11
 
  file "/etc/mandos/clients.conf" there.
12
 
 
13
 
* Testing that it Works (Without Rebooting)
14
 
  
15
 
  After the server has been started with this client's key added, it
16
 
  is possible to verify that the correct password will be received by
 
1
* Configure The Server
 
2
  
 
3
  A client key has been automatically created in /etc/keys/mandos.
 
4
  The next step is to run "mandos-keygen --password" to get a config
 
5
  file section.  This should be appended to /etc/mandos/clients.conf
 
6
  on the Mandos server.
 
7
 
 
8
* Use the Correct Network Interface
 
9
  
 
10
  If some other network interface than "eth0" is used, it will be
 
11
  necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
12
  change the line there.  If this is done, it will be necessary to
 
13
  update the initrd image by doing "update-initramfs -k all -u".
 
14
 
 
15
* Test the Server
 
16
  
 
17
  After the server has been started and this client's key added, it is
 
18
  possible to verify that the correct password will be received by
17
19
  this client by running the command, on the client:
18
20
  
19
 
        /usr/lib/mandos/plugins.d/mandos-client \
 
21
        # /usr/lib/mandos/plugins.d/mandos-client \
20
22
                --pubkey=/etc/keys/mandos/pubkey.txt \
21
23
                --seckey=/etc/keys/mandos/seckey.txt; echo
22
24
  
23
25
  This command should retrieve the password from the server, decrypt
24
 
  it, and output it to standard output.  There it can be verified to
25
 
  be the correct password, before rebooting.
26
 
 
27
 
* Emergency Escape
28
 
  
29
 
  If it ever should be necessary, the Mandos client can be temporarily
30
 
  prevented from running at startup by passing the parameter
31
 
  "mandos=off" to the kernel.
32
 
 
33
 
* Specifying a Client Network Interface
34
 
  
35
 
  At boot time the network interface to use will by default be
36
 
  automatically detected.  If should result in an incorrect interface,
37
 
  edit the DEVICE setting in the "/etc/initramfs-tools/initramfs.conf"
38
 
  file.  (The default setting is empty, meaning to autodetect the
39
 
  interface.)  *If* the DEVICE setting is changed, it will be
40
 
  necessary to update the initrd image by running the command
41
 
  
42
 
        update-initramfs -k all -u
43
 
  
44
 
  The device can be overridden at boot time on the Linux kernel
45
 
  command line using the sixth colon-separated field of the "ip="
46
 
  option; for exact syntax, read the documentation in the file
47
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
48
 
  available in the "linux-doc-*" package.
49
 
  
50
 
  Note that since this network interface is used in the initial RAM
51
 
  disk environment, the network interface *must* exist at that stage.
52
 
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
53
 
  "tun0"; instead, only real interface (such as "eth0") can be used.
54
 
  This can be overcome by writing a "network hook" program to create
55
 
  the interface (see mandos-client(8mandos)) and placing it in
56
 
  "/etc/mandos/network-hooks.d", from where it will be copied into the
57
 
  initial RAM disk.  Example network hook scripts can be found in
58
 
  "/usr/share/doc/mandos-client/network-hooks.d".
 
26
  it, and output it to standard output.  It is now possible to verify
 
27
  the correctness of the password before rebooting.
59
28
 
60
29
* User-Supplied Plugins
61
 
  
62
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
63
 
  to the normal Mandos plugins.  When adding or changing plugins, do
64
 
  not forget to update the initital RAM disk image:
65
 
  
66
 
        update-initramfs -k all -u
67
 
 
68
 
* Do *NOT* Edit "/etc/crypttab"
69
 
  
70
 
  It is NOT necessary to edit "/etc/crypttab" to specify
71
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
 
30
 
 
31
  Any plugins found in /etc/mandos/plugins.d will override and add to
 
32
  the normal Mandos plugins.  When adding or changing plugins, do not
 
33
  forget to update the initital RAM disk image:
 
34
 
 
35
        # update-initramfs -k all -u
 
36
 
 
37
* Do *NOT* Edit /etc/crypttab
 
38
 
 
39
  It is NOT necessary to edit /etc/crypttab to specify
 
40
  /usr/lib/mandos/plugin-runner as a keyscript for the root file
72
41
  system; if no keyscript is given for the root file system, the
73
42
  Mandos client will be the new default way for getting a password for
74
43
  the root file system when booting.
75
44
 
76
 
* Non-local Connection (Not Using ZeroConf)
77
 
  
78
 
  If the "ip=" kernel command line option is used to specify a
79
 
  complete IP address and device name, as noted above, it then becomes
80
 
  possible to specify a specific IP address and port to connect to,
81
 
  instead of using ZeroConf.  The syntax for doing this is
82
 
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
83
 
  line.
84
 
  
85
 
  For very advanced users, it it possible to specify simply
86
 
  "mandos=connect" on the kernel command line to make the system only
87
 
  set up the network (using the data in the "ip=" option) and not pass
88
 
  any extra "--connect" options to mandos-client at boot.  For this to
89
 
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
90
 
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
91
 
 
92
 
 -- Teddy Hogeborn <teddy@recompile.se>, Mon, 28 Nov 2011 23:07:22 +0100
 
45
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Sun,  5 Oct 2008 19:04:26 +0200