home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 910906-01 < prev    next >
Encoding:
Internet Message Format  |  1991-09-11  |  1.3 KB
  1. From: wietse@wzv.win.tue.nl (Wietse Venema)
  2. Newsgroups: alt.sys.sun,alt.security
  3. Subject: Re: What breaks if /etc is not owned by bin?
  4. Message-ID: <2585@wzv.win.tue.nl>
  5. Date: 6 Sep 91 21:50:58 GMT
  6. References: <1991Sep06.135810.320@donau.et.tudelft.nl>
  7. Organization: Eindhoven University of Technology, The Netherlands
  8.  
  9. wolff@dutecaj.et.tudelft.nl (Rogier Wolff) writes:
  10.  
  11. >It strikes me that /etc is owned by bin. This makes it very easy for
  12. >attacks over NFS to break "root". 
  13. >[...]
  14. >- What would break (if anything) if we 
  15. >    chown root /dev /etc /usr/etc /var/yp /tmp /var /var/adm
  16.  
  17. As far as I know, nothing breaks if you chown root /* /usr/{lib,etc}.
  18. That is what we do here routinely (SunOS 4.1.[01]).  "chmod go-w" does
  19. not hurt either, except for things that should be world-writable.
  20.  
  21. A few more ideas:
  22.  
  23. "umask 022" at the start of our /etc/rc* files also gives no problems.
  24. Examine your /etc/inetd.conf file. Do all those daemons really have to
  25. be run with root privilege?  Does your kernel accept NFS requests from
  26. non-privileged ports (*)? There is a lot more that can be done without
  27. breaking things.
  28.  
  29. (*) This and other stuff is conditionalized on the presence or absence
  30. of /etc/security/passwd.adjunct. We modified rc.local to always choose
  31. the less insecure mode. Until today, nothing got broken.
  32.  
  33.