home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / sys / sgi / 11261 < prev    next >
Encoding:
Text File  |  1992-07-23  |  1.5 KB  |  38 lines
  1. Newsgroups: comp.sys.sgi
  2. Path: sparky!uunet!cs.utexas.edu!torn!watserv1!watmath!rblander
  3. From: rblander@math.waterloo.edu (Robyn Landers)
  4. Subject: indigo security
  5. Message-ID: <1992Jul23.171949.5812@math.waterloo.edu>
  6. Organization: University of Waterloo
  7. Date: Thu, 23 Jul 1992 17:19:49 GMT
  8. Lines: 28
  9.  
  10.  
  11.     A teaching lab here at the University of Waterloo has just
  12. purchased four Iris Indigos.  Our hardware people tell us 
  13. that the video cable has to be kept pretty short (unlike the
  14. video cable on say our 4D/340 with BNC connectors which we
  15. have extended to a hundred feet or so).
  16. This means that the Indigos have to be in the same room
  17. as the monitors, leaving them vulnerable to malicious students.
  18.  
  19.     It appears to me that it is pretty easy to break in as root:
  20. 1) turn the power off and on
  21. (steps 2,3,4 omitted, but trust me they're obvious and easy)
  22. 5) presto, it boots single user and you're root.
  23.  
  24.     I've sifted through the IRIX Site Admin's Guide on Security and
  25. PROM monitor and have seen no way to password-protect the PROM
  26. monitor, enforce direct uninterruptable boot to multiuser using initstate,
  27. (unless shut down nicely), or otherwise prevent such a break-in.
  28. I also haven't seen anything like Sun's "secure" option in
  29. /etc/ttytab to require root's password when booting single user.
  30.  
  31.     I really hope I've missed something.
  32. Can anybody tell me what it is?  Thanks.
  33.  
  34.  
  35. Robyn Landers
  36. rblanders@math.uwaterloo.ca
  37. University of Waterloo, Math Faculty Computing Facility
  38.