home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / security / misc / 767 < prev    next >
Encoding:
Text File  |  1992-07-22  |  1.5 KB  |  34 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!caen!hellgate.utah.edu!lanl!beta.lanl.gov!jfowler
  3. From: jfowler@beta.lanl.gov (John C. Fowler)
  4. Subject: Re: root-owned world-writable files
  5. Message-ID: <1992Jul22.134745.17309@newshost.lanl.gov>
  6. Sender: news@newshost.lanl.gov
  7. Organization: Los Alamos National Laboratory
  8. References: <62524@cup.portal.com> <1992Jul21.201056.662@newshost.lanl.gov> <14htt0INNiep@hilbert.math.ksu.edu>
  9. Date: Wed, 22 Jul 1992 13:47:45 GMT
  10. Lines: 22
  11.  
  12. In article <14htt0INNiep@hilbert.math.ksu.edu> tar@math.ksu.edu (Tim Ramsey) writes:
  13. >How do you get a complete list of files that are trusted by root, or by
  14. >programs that root trusts (that is, are setuid root)?
  15.  
  16. To find out if a file is trusted, go to the man directories and grep the
  17. filename on everything, then read the associated man pages where the filename
  18. turned up (important files usually have their own man pages as well).
  19.  
  20. To find setuid root files, use the "find" command.
  21.  
  22. >Much easier to simply not have world-writable files owned by root.
  23.  
  24. Agreed.  Much easier to simply not have world-writable files at all, unless
  25. you can come up with a real reason for needing them.  With UNIX supporting
  26. setuid and setgid programs, it's fairly easy to work around these days.
  27.  
  28. But I still contend that there's nothing "special" about root owning a
  29. world-writable file that would allow a user to exploit it over anyone else
  30. owning the same file, other than getting around quotas.
  31.  
  32. -- 
  33. John C. Fowler, jfowler@lanl.gov
  34.