home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1993 July / InfoMagic USENET CD-ROM July 1993.ISO / answers / sgi / faq / admin next >
Encoding:
Internet Message Format  |  1993-06-02  |  17.9 KB
  1. Path: senator-bedfellow.mit.edu!enterpoop.mit.edu!gatech!howland.reston.ans.net!spool.mu.edu!olivea!sgigate!odin!fido.asd.sgi.com!holodeck.csd.sgi.com!aschaffe
  2. From: aschaffe@holodeck.csd.sgi.com (Allan Schaffer)
  3. Newsgroups: comp.sys.sgi.misc,comp.sys.sgi.admin,comp.sys.sgi.apps,comp.sys.sgi.bugs,comp.sys.sgi.graphics,comp.sys.sgi.hardware,comp.answers,news.answers
  4. Subject: SGI admin Frequently Asked Questions (FAQ)
  5. Supersedes: <admin_738918418@fido.asd.sgi.com>
  6. Followup-To: comp.sys.sgi.misc
  7. Date: 2 Jun 1993 06:37:57 GMT
  8. Organization: Silicon Graphics, Inc., Mountain View, CA
  9. Lines: 451
  10. Approved: news-answers-request@MIT.Edu
  11. Expires: 1 Jul 1993 06:37:47 GMT
  12. Message-ID: <admin_739003067@fido.asd.sgi.com>
  13. References: <misc_739003067@fido.asd.sgi.com>
  14. Reply-To: sgi-faq@archone.tamu.edu
  15. NNTP-Posting-Host: holodeck.csd.sgi.com
  16. Originator: aschaffe@holodeck.csd.sgi.com
  17. Xref: senator-bedfellow.mit.edu comp.sys.sgi.misc:2634 comp.sys.sgi.admin:1753 comp.sys.sgi.apps:772 comp.sys.sgi.bugs:929 comp.sys.sgi.graphics:1182 comp.sys.sgi.hardware:1429 comp.answers:859 news.answers:8989
  18.  
  19.  
  20. Archive-name: sgi/faq/admin
  21.  
  22.            SGI admin Frequently Asked Questions (FAQ)
  23.  
  24.  
  25. This information is freely distributable and wide circulation is encouraged.
  26. The contents are accurate as far as we know, but the usual disclaimers apply.
  27. This FAQ contains errors! Finding them is an exercise for alert readers.
  28.  
  29. Please send additions and changes to sgi-faq@archone.tamu.edu.
  30.  
  31. This FAQ is one of the SGI FAQ series, which consists of:
  32.  
  33.      SGI Admin FAQ - IRIX System Administration
  34.      SGI Apps FAQ - Applications & Compilers
  35.      SGI Graphics FAQ - Graphics & Windowing
  36.      SGI Hardware FAQ - Hardware issues
  37.      SGI Misc FAQ - Introduction & Miscellaneous Information
  38.  
  39. Each FAQ is posted to each comp.sys.sgi.* group as well as the news.answers
  40. and comp.answers newsgroups (whose purpose is to store FAQs) every two weeks.
  41. If you can't find one of the FAQs with your news program, you can get it by
  42. anonymous FTP from one of these sites:
  43.  
  44.  rtfm.mit.edu:pub/usenet/news.answers/sgi/faq/admin
  45.  rtfm.mit.edu:pub/usenet/comp.sys.sgi.misc/SGI_admin_Frequently_Asked_Questions
  46.  archone.tamu.edu:ftp/pub/sgi/faq/admin
  47.  rtfm.mit.edu:pub/usenet/comp.answers/sgi/faq/admin
  48.  
  49. Note that rtfm.mit.edu is home to many other FAQs and informational documents,
  50. and is a good place to look if you can't find an answer here.
  51.  
  52. Topics covered in this FAQ:
  53. --------------------------
  54.   -1- How can I quickly find the question I want in this FAQ?
  55.   -2- Is it possible to use a system with graphics to run the 
  56.       Visual System Manager ('vadmin') on a system without graphics?
  57.   -3- Is it possible to boot from a CD-ROM? 
  58.   -4- Is it possible to remotely install IRIX over a network?
  59.   -5- How can I track failed login attempts on my system?
  60.   -6- I've configured 'tftp' in /usr/etc/inetd.conf -- why 
  61.       isn't it working?
  62.   -7- Is 'pcnfsd' available for the SGI?
  63.   -8- How do I set the number of processes allowed on my machine?
  64.   -9- I think I've found a security hole in IRIX; who do I 
  65.       notify at SGI?
  66.   -10- I want to install a termcap for 'iris-ansi-net' on my 
  67.        non-SGI system, but I can't find a termcap file on the 
  68.        SGI.  Where can I get one?
  69.   -11- My SGI crashed and generated a file, /usr/adm/crash/vmcore.1 .  
  70.        How can I examine this file to see what crashed my system?
  71.   -12- Why can't I export an NFS-mounted filesystem?
  72.   -13- Why is my network license daemon ('netlsd') exiting?
  73.   -14- How do I log anonymous ftp sessions?
  74.   -15- How can I determine my SGI's unique ethernet hardware address?
  75.   -16- Security problem with pre-IRIX4.0.5 'lp'
  76.   -17- Why isn't /usr/adm/SYSLOG isn't being updated?
  77.   -18- Credits
  78.  
  79. ----------------------------------------------------------------------
  80.  
  81. Subject:   -1- How can I quickly find the question I want in this FAQ?
  82. Date: 27 May 93 00:00:01 EST
  83.  
  84. - This FAQ follows the RFC1153 recommendations for message digests and thus
  85.   can be viewed easily with newsreaders that understand message digests.
  86. - Each question has a Subject: line, so you can easily step through the answers
  87.   with rn's ^G command.
  88. - Each question is marked with a "dash number dash" so that you can find any
  89.   answer with a simple search pattern.
  90. - Questions marked with a '+' are new this posting; those marked with a '!'
  91.   have significant new content since the last edition.
  92.  
  93. ------------------------------
  94.  
  95.  
  96. Subject:   -2- Is it possible to use a system with graphics to run the 
  97.                Visual System Manager ('vadmin') on a system without graphics?
  98. Date: 20 May 93 00:00:01 CST
  99.  
  100. Yes.  Make sure the DISPLAY environment variable is set correctly, and 
  101. the shared libraries in eoe2.sw.X11 and eoe1.sw.unix must be installed 
  102. on the graphic-less system (which is the default installation), along 
  103. with all the eoe2.sw.vadmin stuff.  It is also a good idea to install
  104. eoe2.sw.4Dwm, eoe2.sw.WinSpt, and eoe2.sw.Xapps as well.
  105.  
  106. ------------------------------
  107.  
  108. Subject:   -3- Is it possible to boot from a CD-ROM? 
  109. Date: 20 May 93 00:00:01 CST
  110.  
  111. Yes, for systems with new PROMs, such as Indigo and Crimson, it can be done.
  112. For older systems it can be done with the SGI CD-ROM drive, but it can get
  113. frustrating in some cases.  For some older systems, it may be necessary to
  114. use either a local tape drive, or boot them over the network.
  115.  
  116. ------------------------------
  117.  
  118. Subject:   -4- Is it possible to remotely install IRIX over a network?
  119. Date: 20 May 93 00:00:01 CST
  120.  
  121. Yes.  There are several different ways to do this:
  122.    - from a remote machine with a CD-ROM
  123.    - from a remote machine with a tape drive
  124.    - from a remote machine with an IRIX distribution directory
  125.  
  126. All of these scenarios (and several others) are described in detail in the
  127. "IRIS Software Installation Guide".  Examples are provided.
  128.  
  129. ------------------------------
  130.  
  131. Subject:   -5- How can I track failed login attempts on my system?
  132. Date: 20 May 93 00:00:01 CST
  133.  
  134. Put syslog=all in /etc/config/login.options, as described in 'man login'.
  135. In IRIX 5.* this is set in /etc/default/login.
  136.  
  137. Add logging arguments to lines in /usr/etc/inetd.conf, as directed 
  138. by the man pages for the ftpd, rshd, tftpd daemons.  Fingerd has an 
  139. undocumented option, "-l", to enable logging.  For rshd, it is "-L".
  140.  
  141. As of IRIX 5.0.1, inetd.conf is in /etc.
  142.  
  143. ------------------------------
  144.  
  145. Subject:   -6- I've configured 'tftp' in /usr/etc/inetd.conf -- why 
  146.                isn't it working?
  147. Date: 20 May 93 00:00:01 CST
  148.  
  149. The command in /usr/etc/inetd.conf that starts up tftpd is:
  150. tftp    dgram   udp     wait    guest   /usr/etc/tftpd  tftpd -s /usr/local/boot
  151.  
  152. Or something similar.  Changes made to this file will NOT take effect until
  153. you do (as root) 'killall -HUP inetd', or reboot.
  154.  
  155. ------------------------------
  156.  
  157. Subject:   -7- Is 'pcnfsd' available for the SGI?
  158. Date: 20 May 93 00:00:01 CST
  159.  
  160. Yes.  A binary and man page are available via anonymous ftp from 
  161. ftp.sgi.com, in ~ftp/support/pcnfsd.sysV.  It is unsupported, as 
  162. the included README disclaimer will tell you.
  163.  
  164. ------------------------------
  165.  
  166. Subject:   -8- How do I set the number of processes allowed on my machine?
  167. Date: 20 May 93 00:00:01 CST
  168.  
  169. Under IRIX 4.*, change NPROC in /usr/sysgen/master.d/kernel, run 
  170. '/etc/autoconfig -f', and reboot.  If NPROC gets too big, you may 
  171. get a message upon booting that you've run out of spinlocks.  In
  172. that case you'll then need to increase NSPLOCK.
  173.  
  174. If you're changing NPROC, you may wish to adjust MAXUP, since it 
  175. controls the maximum number of processes per user.
  176.  
  177. ------------------------------
  178.  
  179. Subject:   -9- I think I've found a security hole in IRIX; who do I 
  180.                notify at SGI?
  181. Date: 20 May 93 00:00:01 CST
  182.  
  183. In general, if you find a security problem (or think you have), you can send
  184. it to postmaster@sgi.com .
  185.  
  186. You can also notify CERT (cert@cert.org), and they will contact the appropriate
  187. people from their contact list.
  188.  
  189. ------------------------------
  190.  
  191. Subject:   -10- I want to install a termcap for 'iris-ansi-net' on my 
  192.                 non-SGI system, but I can't find a termcap file on the 
  193.                 SGI.  Where can I get one?
  194. Date: 20 May 93 00:00:01 CST
  195.  
  196. SGIs use the system 5 style terminfo stuff.  What you want can be done though.
  197. See 'man infocmp', and the documentation about -r.  This should do the job:
  198. 'infocmp -Cr iris-ansi'.
  199.  
  200. If you don't have infocmp, you have to install eoe2.sw.terminf, which is not
  201. installed by default.
  202.  
  203. ------------------------------
  204.  
  205. Subject:   -11- My SGI crashed and generated a file, /usr/adm/crash/vmcore.1 .  
  206.                 How can I examine this file to see what crashed my system?
  207. Date: 20 May 93 00:00:01 CST
  208.  
  209. dbx -k /usr/adm/crash/{unix,vmcore}.#
  210. t
  211. &putbuf/1000s
  212.  
  213. Is a reasonable starting sequence.  The Technical Assistance Center (TAC) 
  214. has some scripts that they have customers run to provide more info in some 
  215. cases.
  216.  
  217. ------------------------------
  218.  
  219. Subject:   -12- Why can't I export an NFS-mounted filesystem?
  220. Date: 20 May 93 00:00:01 CST
  221.  
  222. This is known as multi-hop NFS and is not allowed/supported in (Sun's) NFS.  
  223. SGI decided in IRIX 4.0.X it was better to prevent attempts to export 
  224. NFS-mounted filesystems than to catch the error on client access.
  225.  
  226. ------------------------------
  227.  
  228. Subject:   -13- Why is my network license daemon ('netlsd') exiting?
  229. Date: 20 May 93 00:00:01 CST
  230.  
  231. For netlsd to run, you need to have 'llbd' and 'glbd' installed and 
  232. running.  A complete debugging procedure is in the netls release notes, 
  233. which can be read with 'relnotes netls_eoe 5'.
  234.  
  235. ------------------------------
  236.  
  237. Subject:   -14- How do I log anonymous ftp sessions?
  238. Date: 20 May 93 00:00:01 CST
  239.  
  240. The IRIX 4.0.X 'ftpd' will make additional entries to the syslog with 
  241. the '-l' option.  'ftpd -ll' will keep an accounting of how many times 
  242. a file is requested and by whom, and 'ftpd -lll' will log the number 
  243. of bytes transferred as well.  'man ftpd' for more details.
  244.  
  245. ------------------------------
  246.  
  247. Subject:   -15- How can I determine my SGI's unique ethernet hardware address?
  248. Date: 20 May 93 00:00:01 CST
  249.  
  250. There are several ways to do this.  Many thanks to miguel@csd.sgi.com, 
  251. for providing this robust answer and discussion:
  252.  
  253. Determining Your System's Address(es): Ethernet versus Internet Protocol
  254.  
  255. The physical Ethernet address of your system is the unique number assigned
  256. to the Ethernet hardware on your system and is not to be confused with the
  257. IP address which can be set. This unique number is assigned to the
  258. manufacturer of your Ethernet hardware by the IEEE, (previously assigned by
  259. Xerox, one of the original developers of Ethernet). Every system on an
  260. Ethernet network must have a unique Ethernet address for the network to
  261. operate properly.
  262.  
  263. You may need to determine your system's Ethernet address if your network
  264. manager requires it before connecting your system to a network.
  265.  
  266. There are several ways to obtain the Ethernet address, depending on whether
  267. IRIX is running and what operating system version is loaded.
  268.  
  269. Method 2 will only provide the Ethernet address of the Primary
  270. interface. If you have multiple Ethernet interfaces (boards) in a system,
  271. use Method 1 or Method 3 to determine the address(es) of any other
  272. interface(s).
  273.  
  274.  
  275. METHOD 1:  netstat
  276.  
  277. If you are running version 4.0.X of IRIX, you can use the netstat command to
  278. obtain your Ethernet address. For example:
  279.  
  280. % /usr/etc/netstat -ia
  281.  
  282. Name  Mtu    Network   Address            Ipkts   Ierrs   Opkts  Oerrs  Coll
  283. ec0   1500   siligrph  luey7              7765678 21648  384477     0  30338
  284.                         192.48.200.251
  285.                         192.0.0.1
  286.                         08:00:69:06:17:c2
  287. lo0   32880  loopback localhost           41438       0   41438     0      0
  288.                         192.0.0.1
  289.  
  290. In the preceding example the Ethernet address of the system luey7 is
  291. 08:00:69:06:17:c2 as seen on the fourth address line for the primary
  292. Ethernet interface ec0.
  293.  
  294. METHOD 2:  eaddr
  295.  
  296. If IRIX is not running, and the system is an Indigo (4DRPC), Indigo2, 
  297. Personal IRIS (4D20, 4D25, 4D30, 4D35), Onyx, or Challenge you may obtain 
  298. the Ethernet address by typing eaddr at the prom monitor prompt. Instead 
  299. of booting the system, press the escape key to go to the System Maintenance 
  300. menu. Select 5 for the Command Monitor mode. At the >> prompt type eaddr. 
  301. The number returned is your Ethernet address.
  302.  
  303. METHOD 3:  arp
  304.  
  305. You can obtain the Ethernet address of a Silicon Graphics system by using
  306. another system on your network. From that system ping the system you want
  307. the Ethernet address of. Stop the ping and issue /usr/etc/arp <hostname>
  308. where <hostname> is the name of the system you want to obtain the Ethernet
  309. address of. This will return the Ethernet address as in the following
  310. example:
  311.  
  312. % /usr/etc/ping luey6
  313. PING luey6.sgi.com (192.48.200.250): 56 data bytes
  314. 64 bytes from 192.48.200.250: icmp_seq=0 ttl=255 time=0 ms
  315. 64 bytes from 192.48.200.250: icmp_seq=1 ttl=255 time=0 ms
  316. 64 bytes from 192.48.200.250: icmp_seq=2 ttl=255 time=0 ms
  317. ^c
  318. ----luey6.sgi.com PING Statistics----
  319. 3 packets transmitted, 3 packets received, 0% packet loss
  320. round-trip (ms)  min/avg/max = 0/0/0
  321. % /usr/etc/arp luey6
  322. luey6 (192.48.200.250) at 8:0:69:6:c:40
  323. %
  324.  
  325.  
  326. 4DDN: A Special Case
  327.  
  328. 4DDN is Silicon Graphics' DECnet interconnection product. The Ethernet
  329. address of an IRIS running 4DDN will change when 4DDN is started.
  330.  
  331. DECnet uses a one-to-one relationship between the DECnet node ID and the
  332. Ethernet address. If the DECnet address is changed the Ethernet address is
  333. changed. DECnet Ethernet addresses always start with aa: to allow you to
  334. identify systems running DECnet when you use the arp -a command.
  335. will return the original Ethernet address for the system. Methods 2 and 3
  336. will show the Ethernet address currently in use.
  337.  
  338. ------------------------------
  339.  
  340. Subject:   -16- Security problem with pre-IRIX4.0.5 'lp'
  341. Date: 20 May 93 00:00:01 CST
  342.  
  343. Ref:  Cert Advisory CA-92:08
  344.  
  345. Thanks to Dave Olson (olson@anchor.esd.sgi.com) for this one:
  346.  
  347. Attached please find a patch for a security problem found in all
  348. versions of IRIX.  This vulnerability is *not* present in any
  349. version of the Trusted IRIX/B product.
  350.  
  351. The problem was found (by SGI employees) by inspection
  352. of the lp spooling system in response to recent postings on
  353. comp.sys.sgi.  Note that this is not inherently a problem in
  354. having an open lp account (no password), but rather a
  355. configuration problem on the part of Silicon Graphics.  I have
  356. heard (shortly after we found it ourselves) from only one
  357. customer who has independently found this problem, so presumably
  358. it isn't widely known yet.  Other Unix versions derived from early
  359. S5R3 releases may (or may not) have similar problems.
  360.  
  361. No files need to be replaced, just modes changed to remove
  362. set[gu]id bits, and writability of some files.  The commands to
  363. do so are part of the attachment below.
  364.  
  365. The body of the attachment below has also been submitted to CERT
  366. (Computer Emergency Response Team) for publication by them; it
  367. may be published in an altered form.
  368.  
  369. To those who have been discussing security problems on
  370. comp.sys.sgi, I (personally, not speaking for SGI) apologize for
  371. not being able to disclose this earlier in my replies.  We have
  372. only known about this for a matter of days, and needed to do
  373. some testing to be sure we weren't introducing any problems by
  374. the use of this fix.  I hope that my postings over the last few
  375. days will be interpreted as they were written, and not as an
  376. attempt to lull people into believing that no problems existed.
  377.  
  378. ===========================================================================
  379.  
  380. I.   DESCRIPTION:
  381.  
  382.      A vulnerability exists such that IRIX pre-4.0.5 systems
  383.      with the basic system software ("eoe1.sw.unix") or the
  384.      system manager software ("eoe2.sw.vadmin") installed can
  385.      allow unauthorized access to the superuser account, by
  386.      exploiting a configuration error in standard system
  387.      utilities. Due to the ease of exploiting this vulnerability
  388.      and the simplicity of the corrective action, the CERT/CC
  389.      urges all sites to install the patch given below.
  390.  
  391. II.  IMPACT:
  392.  
  393.      Anyone who can login as (or su to) the user "lp" can become
  394.      root on any pre-IRIX 4.0.5 system. As Irix is normally
  395.      distributed, this includes any ordinary user
  396.  
  397. III. SOLUTION:
  398.  
  399.      As "root", execute the following commands:
  400.  
  401.     cd /usr/lib
  402.     chmod a-s,go-w lpshut lpmove accept reject lpadmin
  403.     chmod go-ws lpsched vadmin/serial_ports vadmin/users vadmin/disks
  404.     cd /usr/bin
  405.     chmod a-s,go-w disable enable
  406.     chmod go-ws cancel lp lpstat
  407.  
  408.      If the eoe2.sw.vadmin software is not installed, you may
  409.      get messages like:
  410.        "chmod: WARNING: can't access vadmin/serial_ports"
  411.      These can be ignored if they occur.
  412.  
  413.      If system software should ever be reloaded from pre-4.0.5
  414.      media or from a backup tape created before the patch was
  415.      applied, repeat the above procedure immediately after the
  416.      software has been reloaded, before enabling logins by
  417.      normal users.
  418.  
  419.      [ Fixed in IRIX 4.0.5 ]
  420.  
  421. ------------------------------
  422.  
  423. Subject:   -17- Why isn't /usr/adm/SYSLOG isn't being updated?
  424. Date: 20 May 93 00:00:01 CST
  425.  
  426. Thanks to Vernon Schryver (vjs@rhyolite.wpd.sgi.com) here.
  427.  
  428. Popular causes include:
  429.  
  430.     -running out of disk space.
  431.         Once syslogd is unable to write to /usr/adm/SYSLOG,
  432.         it won't try again until it is `killall -HUP syslogd`.
  433.  
  434.     -installing IRIX 4.0.X and failing to heed the nagging from
  435.     the system when it is rebooted to run 'versions changed'
  436.     and combine new and old configuration files.  In this
  437.     case, the trouble is in /usr/spool/cron/crontabs/root.
  438.  
  439.  
  440.  
  441. ------------------------------
  442.  
  443. Subject:   -18- Credits
  444. Date: 6 May 93 00:00:01 EST
  445.  
  446. The comp.sys.sgi FAQs are the collective effort of
  447.  
  448.   Dale Chayes        dale@ldeo.columbia.edu
  449.   Steve Rikli        steve@archone.tamu.edu
  450.   Allan Schaffer    aschaffe@sgi.com
  451.   Dave Schweisguth    dcs@neutron.chem.yale.edu
  452.  
  453. Special thanks are due to
  454.  
  455.   Tom Davis        Author of 'zip'
  456.   Harry Mangalam    Maintainer of the comp.sys.sgi.* WAIS database
  457.  
  458. Finally, much thanks to all of the SGI employees on Usenet, all of whom have
  459. provided gigabytes of help and information.
  460.  
  461. Credits for individual contributions are given in the answers.
  462.  
  463. ------------------------------
  464. -- 
  465. Allan Schaffer
  466. aschaffe@sgi.com
  467. -- 
  468. Allan Schaffer
  469. aschaffe@sgi.com
  470.