home *** CD-ROM | disk | FTP | other *** search
/ SGI Enlighten DSM 3.1 / SGI EnlightenDSM 3.1.iso / DEC3240 / COMMON.Z / COMMON / config / remedies < prev    next >
Text File  |  1999-04-16  |  17KB  |  348 lines
  1.  
  2. 1000
  3.  DUPLICATE UID
  4.  
  5.  UNIX  will  give  full access permissions between all accounts with the same
  6.  userid.  While  just  a  few main system accounts often have the same userid
  7.  (most  often  userid  number  zero),  and  a  few  system  utility  software
  8.  applications  employ  the  same  userid  (such as "enlighten" and its daemon
  9.  "enlmd"),  for  security  reasons  in general no other accounts should share
  10.  userid's.
  11.  
  12.  From  the User Configuration Screen, sort the output by userid. For each set
  13.  of  duplicate  userid's that you wish to change, select the ones you wish to
  14.  alter,  and hit Modify to obtain the detail window. Change the userid in the
  15.  detail window and hit Modify.
  16.  
  17.  Alternatively,  request  Delete  from  the  User  Configuration  Screen  for
  18.  duplicate userid accounts which are out-of-date.
  19.  
  20. 1010
  21.  DUPLICATE USERNAME
  22.  
  23.  UNIX  will  only  allow the first account found with a given username to log
  24.  into  the  system. When there are duplicate accounts, the prevailing account
  25.  is  determined  by  its  physical  placement  in  the  /etc/passwd  file. To
  26.  determine  which  account has been taking precedence, first request the User
  27.  Configuration  Screen,  do  NOT  sort  the  list  so that the physical order
  28.  remains,  but  use the "Search List" button to find the given user name. The
  29.  first  one  selected  is the account taking precedence. You can then perform
  30.  Modify or Delete actions against the other accounts.
  31.  
  32.  From  the  User  Configuration Screen, sort the output by username. For each
  33.  set  of  duplicate  user  names that you wish to change, select the ones you
  34.  wish  to  alter,  and  hit  Modify  to  obtain the detail window. Change the
  35.  username in the detail window and hit Modify.
  36.  
  37.  Alternatively,  request  Delete  from  the  User  Configuration  Screen  for
  38.  duplicate userid accounts which are out-of-date.
  39.  
  40. 1020
  41.  VULNERABLE DIRECTORIES
  42.  
  43.  Home  directories  which  are  writable  by  users  other than the owner are
  44.  subject  to  Trojan  Horse programs that general users can create. They also
  45.  might  have  possibly sensitive information in files that are likely allowed
  46.  to be overwritten by non-owning users.
  47.  
  48.  Keep  up  the  Wizard  Screen for reference while you access the File Search
  49.  Screen.   Unless  you  know  that  all  home  directories  are  on  specific
  50.  partitions,  select  all  partitions  for  searching.  Enter  the file names
  51.  reported  from the Wizard Screen into the "Find Filenames like:" field, with
  52.  a space between each one. Request "Execute Search".
  53.  
  54.  For  each  of  the  files  and directories found, select the given file, and
  55.  request  "chmod"  or  "chown" as required, according the problem reported by
  56.  the  Wizard  check.  The  files  reported  having a potential problem should
  57.  generally  have  the  (chmod)  file permissions 750 and be owned by the user
  58.  logging in to that directory.
  59.  
  60. 1030
  61.  EASY PASSWORDS
  62.  
  63.  Accounts  with  highly  obvious  passwords  mean  that  the possibility of a
  64.  security breach is relatively high. Novices often choose passwords which are
  65.  mirrors  of  their  available  account  information, and "crackers" will try
  66.  these  types  of passwords to gain easy and apparently proper access to your
  67.  system.  Such  access  is  difficult to trace since it's done through normal
  68.  channels.
  69.  
  70.  Keep  up  the  Wizard  Screen  for  reference  while  you  access  the  User
  71.  Configuration  Screen.  Sort  the list by username for easy searches. Select
  72.  the users referenced in the Wizard Screen.
  73.  
  74.  To  change  their  passwords immediately, hit the "Password" button. You can
  75.  then  give  each  user an unique password and hit "Apply", calling the users
  76.  directly to inform them.
  77.  
  78.  Alternatively,  you  could  request  "Lock" against these users, which would
  79.  suspend  login  access to their accounts. When the users call in to get help
  80.  in logging in, you can then assign a reasonable password.
  81.  
  82.  Alternatively,  you  could  just  request the "Mail" button to select a form
  83.  letter to inform the selected users of their vulnerable state, and to change
  84.  their password immediately. You should re-check the state of their passwords
  85.  soon afterward.
  86.  
  87. 1100
  88.  FULL DISKS
  89.  
  90.  The Full Disk test is a check for those file systems which have at least 95%
  91.  of  usable  space  allocated.  For smaller and more volatile partitions, the
  92.  probability  of  overriding  the  maximum  space allocation is high, and can
  93.  cause severe system problems.
  94.  
  95.  From  the  Session  Preferences  item  in  the  Config menu, request a "Long
  96.  listing" for the "File list format".
  97.  
  98.  Using  the  File Search item from the Disk menu, select the partitions which
  99.  the  Wizard  Screen reported as full. It might be wise at this point to also
  100.  request  "Rebuild"  of the disk snapshots, to assure that the information is
  101.  up-to-date. Click on "Search Parameters" to obtain the query entry screen.
  102.  
  103.  Enter  a  criteria to search for large files in the first field of the "File
  104.  Size  between"  category  (begin with a size of at least 1MB, and reduce the
  105.  criteria as necessary for subsequent searches). Click on "Execute Search".
  106.  
  107.  Sort  the resulting File Systems Detail list by descending file size. At the
  108.  top  of  the list are those files which would produce the greatest effect if
  109.  compressed  or removed. To further focus on available candidates, select the
  110.  files  and  request  "Stats".  Those  files  which have not been modified or
  111.  accessed in a long time are most likely not to be missed if removed.
  112.  
  113.  Directly  from the File Systems Detail Screen, either apply file compression
  114.  (using   the  "Custom"  button)  or  Delete  (possibly  requesting  "Backup"
  115.  beforehand) to the files you choose. You might wish to note the owning
  116.  users and send mail regarding your actions.
  117.  
  118. 1110
  119.  SETUID PROGRAMS
  120.  
  121.  Programs which are known in UNIX as "set-uid" are those programs and scripts
  122.  which  run AS IF the user who invoked the program was the same as the actual
  123.  owner  of  the program. The most often set-uid mode programs are those which
  124.  require specialized, highly controlled access to data. Such programs include
  125.  vendor  "database traffic" programs, and programs which users call to modify
  126.  critical  personal systems data (such as the password modification routine).
  127.  Due  to the heightened access of these types of programs (often the owner is
  128.  user  "root"),  it  is  wise  to  keep an eye on them; they should be few in
  129.  number, and remain static.
  130.  
  131.  Checks  are  made  to  make  sure  that setuid programs are found in systems
  132.  directories. Certain applications, however, which do not have their binaries
  133.  loaded  in  a  system  directory may require that they have setuid mode. The
  134.  administrator  should  check  the  list for any anomalies such as files with
  135.  strange names, and files found in user's HOME directories.
  136.  
  137.  Checks are also made for world writability of a setuid mode file. The danger
  138.  exists  that  an  otherwise  legitimate  setuid  program  with  world  write
  139.  permissions  could  be  replaced  with a (e.g.) a Trojan horse type program,
  140.  which  when  executed  could  be the source of a major security hole. Before
  141.  changing  any  permissions,  please  check  it's  validity  with  (e.g.) the
  142.  software vendor from whom you purchased the software.
  143.  
  144.  Keep  up  the  Wizard  Screen for reference while you access the File Search
  145.  Screen.  Unless  you  know  that  all  the files are on specific partitions,
  146.  select  all partitions for searching. Enter the file names reported from the
  147.  Wizard  Screen  into  the "Find Filenames like:" field, with a space between
  148.  each one. Request "Execute Search", and select the whole list.
  149.  
  150.  Request  "Stats"  to look at the detailed information on each file. Note any
  151.  oddities,  such  as  odd  names  or,  an  unknown  user  or group name; this
  152.  information  might  become  useful  later  when tracing the source of errant
  153.  files.
  154.  
  155.  If  you  come  upon  files that shouldn't have set-uid permission mode, then
  156.  request "Delete" or "chmod" against them.
  157.  
  158. 1120
  159.  DEVICES NOT IN "/dev/"
  160.  
  161.  UNIX  device  files  are used as interfaces to the system hardware. By using
  162.  devices  one  can get access to (e.g.) the hard disk and kernel memory. Such
  163.  devices  are  required  on the system but they should always be found in the
  164.  "/dev"  directory  with  the  appropriate protection mode. It is rare that a
  165.  device  is  required  outside  of  the "/dev" directory and one outside this
  166.  directory is often a security breach.
  167.  
  168.  Keep  up  the  Wizard  Screen for reference while you access the File Search
  169.  Screen. Find files of type "Block Special" and "Character Special", and Skip
  170.  Filenames  like  "/dev/*". The files found in the resulting search should be
  171.  carefully  scrutinized.  Try  to  determine  who  created  them and for what
  172.  purpose.  One  might  want to delete them or, change their ownership to root
  173.  and their permissions to 700.
  174.  
  175.  On  some UNIX 5.4 systems, such as SOLARIS 2.x, a secondary device directory
  176.  "/devices" exists. This directory, if on a UNIX 5.4 system, is considered to
  177.  be  a  legal  repository for device files. Consequently, in the File Search,
  178.  filename like "/devices/*" should also be skipped.
  179.  
  180. 1130
  181.  SYSTEM EXECUTABLES
  182.  
  183.  UNIX  requires  a  set  of specialized programs that perform the bulk of the
  184.  system's  maintenance and operation. These programs have access to extremely
  185.  sensitive  areas  of  system  data. Protecting these files from unauthorized
  186.  access is important to the health of the system.
  187.  
  188.  Keep  up  the  Wizard  Screen for reference while you access the File Search
  189.  Screen.  Unless  you  know  that  all  the files are on specific partitions,
  190.  select  all partitions for searching. Enter the file names reported from the
  191.  Wizard  Screen  into  the "Find Filenames like:" field, with a space between
  192.  each one. Request "Execute Search", and select the whole list.
  193.  
  194.  Request  "Stats"  to look at the detailed information on each file. Note any
  195.  oddities,  such as an unknown user or group name, changes in size, and other
  196.  information.  This  information  might  become useful later when tracing the
  197.  source of errant files.
  198.  
  199.  If  you  have  not  updated the operating system since the time of the basis
  200.  snapshot,  and  yet  the  File  Stats  Detail Screen shows alteration of any
  201.  critical  system  executable,  then  take action immediately. For changes in
  202.  permission  or  ownership,  reset  these files back to the original settings
  203.  using  the Disk File Detail Screen. For changes in size, it might be wise to
  204.  rename  the  program  for  later study, replacing it with a known "pristine"
  205.  copy of the program.
  206.  
  207. 1200
  208.  DOWN PRINTERS
  209.  
  210.  Printers  considered  "Down"  are  those  for  which  the  printer  queue is
  211.  currently  disabled.  A  particular  print  queue  being disabled might be a
  212.  desirable  state,  especially  for the case of a printer with multiple print
  213.  queues  that  can  handle  only one paper tray, but requires different paper
  214.  depending  on  the  type  of  print  queue.  This  Wizard  report is only an
  215.  indication that something might be wrong with the printer.
  216.  
  217.  Keep  up  the  Wizard  Screen  for  reference while you access the Configure
  218.  option  in  the  Printer  menu.  For those printers which you feel should be
  219.  active, select them and choose "Enable".
  220.  
  221.  If  a  printer cannot be permanently enabled, check the physical printer and
  222.  its connections for problems.
  223.  
  224. 1210
  225.  LONG PRINT QUEUES
  226.  
  227.  Long  printer  queues  occur  for  a variety of reasons, but are due in most
  228.  cases to either a disabled print queue or extremely long print jobs.
  229.  
  230.  Keep  up  the  Wizard  Screen  for  reference while you access the Configure
  231.  option  in  the  Printer  menu. Check the status of those printers which the
  232.  Wizard check declared to have long queues.
  233.  
  234.  For  those  print  queues  which  are inactive ("Disabled"), select them and
  235.  request  "Enable"  (as  long  as  you  know  that the queue is not sharing a
  236.  printer with another active but incompatible queue). If the printer does not
  237.  restart, check the physical printer and its connections.
  238.  
  239.  For those print queues which are active ("Enabled"), select them and request
  240.  "Jobs" to view the queued print requests and determine if they are causing a
  241.  backup.  For multiple large pending jobs, you can request "Move" to transfer
  242.  some pending jobs to another compatible print queue.
  243.  
  244. 1220
  245.  LARGE PRINT JOBS
  246.  
  247.  Large print jobs are common, but the question in a production environment is
  248.  really  over  when  it is appropriate to actually print them. Bottlenecks to
  249.  many  users' productivity can occur if just one user prints massive database
  250.  queries or images.
  251.  
  252.  Keep up the Wizard Screen for reference while you access the Queue option in
  253.  the  Printer  menu.  Choose print jobs you feel are inappropriate and either
  254.  "Cancel"  them  or  "Move" them to other unburdened or disabled print queues
  255.  for later printing.
  256.  
  257.  If  a  current job must finish, then you could instead select the reasonable
  258.  jobs and request "Move" to transfer them to another compatible, active print
  259.  queue.  Inform  the  users  of  the  move so they know where to obtain their
  260.  printouts.
  261.  
  262. 1300
  263.  SERVERS UP
  264.  
  265.  The  Server test is accomplished by connecting to a common network-available
  266.  facility  on the targeted hosts. If the connection is not accomplished, then
  267.  the  server  is  considered "down". This might not actually be the case; the
  268.  server's  daemon  which  enables the network connection might have died, and
  269.  may need to be restarted (this situation is improbable but still possible).
  270.  
  271.  Try  alternative methods to connect to the server, especially rlogin, rsh or
  272.  telnet. If these do not work, check the physical connections and the console
  273.  of the server itself.
  274.  
  275. 1310
  276.  SWAP SPACE
  277.  
  278.  UNIX  requires  "swap  space"  to temporarily house process information when
  279.  programs  exceed the available memory resources of the system. The method of
  280.  storing  this  information,  and  its  burden  on the system, differs widely
  281.  between  vendors.  There  are  "rules of thumb" for estimating the resources
  282.  required,  but  only  through  experience  can  an administrator gain enough
  283.  knowledge  to  accurately  configure  a  system. Results from exceeding swap
  284.  allocation  can be difficult to trace; often recently started processes seem
  285.  to  just  disappear  without  warning. Using the Enlighten Wizard check, the
  286.  administrator can get some idea of allocation problems.
  287.  
  288.  When  swap  space  is  reportedly  low according to the Wizard test, request
  289.  "Process  Status" from the User/Activity Monitor menu. (You can also request
  290.  either a User or System-TTY CPU Summary to review a smaller set of data).
  291.  
  292.  Sort  the  resulting  screen  by descending memory usage. The result are the
  293.  most likely swap space hogs rising to the top of the list.
  294.  
  295.  Check  the  list  for  commands  (located  at the far right) that are either
  296.  unnecessary  or  inappropriate  (such  as games). Select these processes and
  297.  request "Terminate" to free their resources.
  298.  
  299.  Recheck the swap space through Wizard, and take further action as required.
  300.  
  301. 1400
  302.  HOST ADDRESS CONFLICT
  303.  
  304.  The  hosts  database,  which  contains  a  list  of  known  hosts  and their
  305.  associated IP addresses, has been tested for host names which are associated
  306.  with more than one IP address.
  307.  
  308.  For  host  names which are found to have more than one IP address associated
  309.  with  them,  you  must decide which address is the correct one. You can then
  310.  use  the Host Configuration menu to modify the selected host entries. Either
  311.  modify  the  selected  host  entries to have the proper address, or copy the
  312.  correct address to each host which has an incorrect address.
  313.  
  314.  Run  the  Enlighten  Expert  on  a  regular  basis to check for host address
  315.  conflicts.
  316.  
  317. 1410
  318.  HOST NAME CONFLICT
  319.  
  320.  The  hosts  database,  which  contains  a  list  of  known  hosts  and their
  321.  associated  IP  addresses,  has  been tested for host IP addresses which are
  322.  associated with more than one host name.
  323.  
  324.  For  host  IP  addresses  which  are  found  to have more than one host name
  325.  associated  with  them,  you must decide which host name is the correct one.
  326.  You  can  then  use  the Host Configuration menu to modify the selected host
  327.  entries. Either modify the selected host entries to have the proper name, or
  328.  copy the correct host name to each host which has an incorrect name.
  329.  
  330.  Run  the  Enlighten  Expert  on  a  regular  basis  to  check  for host name
  331.  conflicts.
  332.  
  333. 1420 
  334.  HOST ALIAS CONFLICT
  335.  
  336.  The  hosts  database,  which  contains  a  list  of  known  hosts  and their
  337.  associated  IP  addresses,  has  been  tested  for  host  aliases  which are
  338.  associated with more than one host name.
  339.  
  340.  For  host aliases which are found to have more than one host name associated
  341.  with  them, you must decide which host has the right to use the given alias.
  342.  You  can  then  use  the Host Configuration menu to modify the selected host
  343.  entries.  For  example,  modify the selected host entries to have the proper
  344.  alias.
  345.  
  346.  Run  the  Enlighten  Expert  on  a  regular  basis  to  check for host alias
  347.  conflicts.
  348.