/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2009-02-03 22:41:49 UTC
  • Revision ID: teddy@fukt.bsnet.se-20090203224149-fc1301jojmusbzlx
* Makefile (run-server): Use "--no-dbus" unconditionally.

* initramfs-tools-script: Correct tests for writable "/conf/conf.d".

* mandos: Add process ID number to logging messages.
  (IPv6_TCPServer.server_bind): Use plain "raise".
  (main): Do not try to handle SIGSEGV; it does not work.  Use plain
         "raise".  Log KeyboardInterrupt and server exit.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
A client key has been automatically created in /etc/keys/mandos.  The
2
 
next step is to run "mandos-keygen --password" to get a config file
3
 
stanza to copy and paste into /etc/mandos/clients.conf on the Mandos
4
 
server.
5
 
 
6
 
It is NOT necessary to edit /etc/crypttab to specify
7
 
/usr/lib/mandos/plugin-runner as a keyscript for the root file system;
8
 
if no keyscript is given for the root file system, the Mandos client
9
 
will be the new default way for getting a password for the root file
10
 
system when booting.
 
1
* Configure The Server
 
2
  
 
3
  A client key has been automatically created in /etc/keys/mandos.
 
4
  The next step is to run "mandos-keygen --password" to get a config
 
5
  file section.  This should be appended to /etc/mandos/clients.conf
 
6
  on the Mandos server.
 
7
 
 
8
* Use the Correct Network Interface
 
9
  
 
10
  If some other network interface than "eth0" is used, it will be
 
11
  necessary to edit /etc/mandos/plugin-runner.conf to uncomment and
 
12
  change the line there.  If this is done, it will be necessary to
 
13
  update the initrd image by doing "update-initramfs -k all -u".
 
14
 
 
15
* Test the Server
 
16
  
 
17
  After the server has been started and this client's key added, it is
 
18
  possible to verify that the correct password will be received by
 
19
  this client by running the command, on the client:
 
20
  
 
21
        # /usr/lib/mandos/plugins.d/mandos-client \
 
22
                --pubkey=/etc/keys/mandos/pubkey.txt \
 
23
                --seckey=/etc/keys/mandos/seckey.txt; echo
 
24
  
 
25
  This command should retrieve the password from the server, decrypt
 
26
  it, and output it to standard output.  It is now possible to verify
 
27
  the correctness of the password before rebooting.
 
28
 
 
29
* User-Supplied Plugins
 
30
 
 
31
  Any plugins found in /etc/mandos/plugins.d will override and add to
 
32
  the normal Mandos plugins.  When adding or changing plugins, do not
 
33
  forget to update the initital RAM disk image:
 
34
 
 
35
        # update-initramfs -k all -u
 
36
 
 
37
* Do *NOT* Edit /etc/crypttab
 
38
 
 
39
  It is NOT necessary to edit /etc/crypttab to specify
 
40
  /usr/lib/mandos/plugin-runner as a keyscript for the root file
 
41
  system; if no keyscript is given for the root file system, the
 
42
  Mandos client will be the new default way for getting a password for
 
43
  the root file system when booting.
 
44
 
 
45
* Emergency Escape
 
46
  
 
47
  If it ever should be necessary, the Mandos client can be temporarily
 
48
  prevented from running at startup by passing the parameter
 
49
  "mandos=off" to the kernel.
 
50
 
 
51
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Mon, 12 Jan 2009 02:29:10 +0100