/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

  • Committer: Teddy Hogeborn
  • Date: 2009-09-06 05:37:34 UTC
  • Revision ID: teddy@fukt.bsnet.se-20090906053734-uf180lq30ivv4nfy
* plugin-runner.c (getplugin, add_environment, main): Handle EINTR
                                                      properly.

* plugins.d/mandos-client.c (start_mandos_communication): Bug fix:
  move out "decrypted_buffer_size" to where it is needed.

* plugins.d/splashy.c (termination_handler): Save signal received.
  (main): Check return value from "sigaddset()".

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
* Choose the Client Network Interface
2
 
  
3
 
  You MUST make sure that the correct network interface is specified
4
 
  in the DEVICE setting in the "/etc/initramfs-tools/initramfs.conf"
5
 
  file.  *If* this is changed, it will be necessary to update the
6
 
  initrd image by running the command
7
 
  
8
 
        update-initramfs -k all -u
9
 
  
10
 
  The device can be overridden at boot time on the Linux kernel
11
 
  command line using the sixth colon-separated field of the "ip="
12
 
  option; for exact syntax, read the documentation in the file
13
 
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
14
 
  available in the "linux-doc-*" package.
15
 
  
16
 
  Note that since this network interface is used in the initial RAM
17
 
  disk environment, the network interface *must* exist at that stage.
18
 
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
19
 
  "tun0"; instead, a real interface (such as "eth0") must be used.
20
 
 
21
 
* Adding a Client Password to the Server
22
 
  
23
 
  The server must be given a password to give back to the client on
24
 
  boot time.  This password must be a one which can be used to unlock
25
 
  the root file system device.  On the *client*, run this command:
26
 
  
27
 
        mandos-keygen --password
28
 
  
29
 
  It will prompt for a password and output a config file section.
30
 
  This output should be copied to the Mandos server and added to the
31
 
  file "/etc/mandos/clients.conf" there.
32
 
 
33
 
* Testing that it Works (Without Rebooting)
34
 
  
35
 
  After the server has been started with this client's key added, it
36
 
  is possible to verify that the correct password will be received by
 
1
* Configure The Server
 
2
  
 
3
  A client key has been automatically created in /etc/keys/mandos.
 
4
  The next step is to run "mandos-keygen --password" to get a config
 
5
  file section.  This should be appended to /etc/mandos/clients.conf
 
6
  on the Mandos server.
 
7
 
 
8
* Use the Correct Network Interface
 
9
  
 
10
  Make sure that the correct network interface is specified in the
 
11
  DEVICE setting in the "/etc/initramfs-tools/initramfs.conf" file.
 
12
  If this is changed, it will be necessary to update the initrd image
 
13
  by doing "update-initramfs -k all -u".  This setting can be
 
14
  overridden at boot time on the Linux kernel command line using the
 
15
  sixth colon-separated field of the "ip=" option; for exact syntax,
 
16
  see the file "Documentation/nfsroot.txt" in the Linux source tree.
 
17
  
 
18
  Note that since this is used in the initial RAM disk environment,
 
19
  the network interface must exist at that stage.  Thus, the interface
 
20
  can *not* be a pseudo-interface such as "br0" or "tun0"; instead, a
 
21
  real interface (such as "eth0") must be used.
 
22
 
 
23
* Test the Server
 
24
  
 
25
  After the server has been started and this client's key added, it is
 
26
  possible to verify that the correct password will be received by
37
27
  this client by running the command, on the client:
38
28
  
39
 
        /usr/lib/mandos/plugins.d/mandos-client \
 
29
        # /usr/lib/mandos/plugins.d/mandos-client \
40
30
                --pubkey=/etc/keys/mandos/pubkey.txt \
41
31
                --seckey=/etc/keys/mandos/seckey.txt; echo
42
32
  
46
36
 
47
37
* User-Supplied Plugins
48
38
  
49
 
  Any plugins found in "/etc/mandos/plugins.d" will override and add
50
 
  to the normal Mandos plugins.  When adding or changing plugins, do
51
 
  not forget to update the initital RAM disk image:
 
39
  Any plugins found in /etc/mandos/plugins.d will override and add to
 
40
  the normal Mandos plugins.  When adding or changing plugins, do not
 
41
  forget to update the initital RAM disk image:
52
42
  
53
 
        update-initramfs -k all -u
 
43
        # update-initramfs -k all -u
54
44
 
55
 
* Do *NOT* Edit "/etc/crypttab"
 
45
* Do *NOT* Edit /etc/crypttab
56
46
  
57
 
  It is NOT necessary to edit "/etc/crypttab" to specify
58
 
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
 
47
  It is NOT necessary to edit /etc/crypttab to specify
 
48
  /usr/lib/mandos/plugin-runner as a keyscript for the root file
59
49
  system; if no keyscript is given for the root file system, the
60
50
  Mandos client will be the new default way for getting a password for
61
51
  the root file system when booting.
84
74
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
85
75
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
86
76
 
87
 
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Tue,  8 Sep 2009 08:25:58 +0200
 
77
 -- Teddy Hogeborn <teddy@fukt.bsnet.se>, Tue, 14 Apr 2009 16:51:18 +0200