/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos-client.README.Debian

Miscellaneous fixes prompted by lintian:

* debian/control (Conflicts): Changed to "Breaks:".
* debian/copyright: Updated format.
* debian/mandos-client.postinst: Use "set -e" instead of "#!/bin/sh -e".
* debian/mandos-client.postrm: - '' -
* debian/mandos.postinst: - '' -
* debian/mandos.prerm: Consistent magic.
* mandos: Small comment change.
* mandos-clients.conf.xml (OPTIONS/extended_timeout): Fix spelling.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
A client key has been automatically created in /etc/keys/mandos.  The
2
 
next step is to run "mandos-keygen --password" to get a config file
3
 
stanza to copy and paste into /etc/mandos/clients.conf on the Mandos
4
 
server.
5
 
 
6
 
It is NOT necessary to edit /etc/crypttab to specify
7
 
/usr/lib/mandos/plugin-runner as a keyscript for the root file system;
8
 
if no keyscript is given for the root file system, the Mandos client
9
 
will be the new default way for getting a password for the root file
10
 
system when booting.
 
1
* Adding a Client Password to the Server
 
2
  
 
3
  The server must be given a password to give back to the client on
 
4
  boot time.  This password must be a one which can be used to unlock
 
5
  the root file system device.  On the *client*, run this command:
 
6
  
 
7
        mandos-keygen --password
 
8
  
 
9
  It will prompt for a password and output a config file section.
 
10
  This output should be copied to the Mandos server and added to the
 
11
  file "/etc/mandos/clients.conf" there.
 
12
 
 
13
* Testing that it Works (Without Rebooting)
 
14
  
 
15
  After the server has been started with this client's key added, it
 
16
  is possible to verify that the correct password will be received by
 
17
  this client by running the command, on the client:
 
18
  
 
19
        /usr/lib/mandos/plugins.d/mandos-client \
 
20
                --pubkey=/etc/keys/mandos/pubkey.txt \
 
21
                --seckey=/etc/keys/mandos/seckey.txt; echo
 
22
  
 
23
  This command should retrieve the password from the server, decrypt
 
24
  it, and output it to standard output.  There it can be verified to
 
25
  be the correct password, before rebooting.
 
26
 
 
27
* Emergency Escape
 
28
  
 
29
  If it ever should be necessary, the Mandos client can be temporarily
 
30
  prevented from running at startup by passing the parameter
 
31
  "mandos=off" to the kernel.
 
32
 
 
33
* Specifying a Client Network Interface
 
34
  
 
35
  At boot time the network interface to use will by default be
 
36
  automatically detected.  If should result in an incorrect interface,
 
37
  edit the DEVICE setting in the "/etc/initramfs-tools/initramfs.conf"
 
38
  file.  (The default setting is empty, meaning to autodetect the
 
39
  interface.)  *If* the DEVICE setting is changed, it will be
 
40
  necessary to update the initrd image by running the command
 
41
  
 
42
        update-initramfs -k all -u
 
43
  
 
44
  The device can be overridden at boot time on the Linux kernel
 
45
  command line using the sixth colon-separated field of the "ip="
 
46
  option; for exact syntax, read the documentation in the file
 
47
  "/usr/share/doc/linux-doc-*/Documentation/filesystems/nfsroot.txt",
 
48
  available in the "linux-doc-*" package.
 
49
  
 
50
  Note that since this network interface is used in the initial RAM
 
51
  disk environment, the network interface *must* exist at that stage.
 
52
  Thus, the interface can *not* be a pseudo-interface such as "br0" or
 
53
  "tun0"; instead, only real interface (such as "eth0") can be used.
 
54
 
 
55
* User-Supplied Plugins
 
56
  
 
57
  Any plugins found in "/etc/mandos/plugins.d" will override and add
 
58
  to the normal Mandos plugins.  When adding or changing plugins, do
 
59
  not forget to update the initital RAM disk image:
 
60
  
 
61
        update-initramfs -k all -u
 
62
 
 
63
* Do *NOT* Edit "/etc/crypttab"
 
64
  
 
65
  It is NOT necessary to edit "/etc/crypttab" to specify
 
66
  "/usr/lib/mandos/plugin-runner" as a keyscript for the root file
 
67
  system; if no keyscript is given for the root file system, the
 
68
  Mandos client will be the new default way for getting a password for
 
69
  the root file system when booting.
 
70
 
 
71
* Non-local Connection (Not Using ZeroConf)
 
72
  
 
73
  If the "ip=" kernel command line option is used to specify a
 
74
  complete IP address and device name, as noted above, it then becomes
 
75
  possible to specify a specific IP address and port to connect to,
 
76
  instead of using ZeroConf.  The syntax for doing this is
 
77
  "mandos=connect:<IP_ADDRESS>:<PORT_NUMBER>" on the kernel command
 
78
  line.
 
79
  
 
80
  For very advanced users, it it possible to specify simply
 
81
  "mandos=connect" on the kernel command line to make the system only
 
82
  set up the network (using the data in the "ip=" option) and not pass
 
83
  any extra "--connect" options to mandos-client at boot.  For this to
 
84
  work, "--options-for=mandos-client:--connect=<ADDRESS>:<PORT>" needs
 
85
  to be manually added to the file "/etc/mandos/plugin-runner.conf".
 
86
 
 
87
 -- Teddy Hogeborn <teddy@recompile.se>, Wed,  5 Oct 2011 17:50:22 +0200