home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / sys / sun / admin / 4914 < prev    next >
Encoding:
Internet Message Format  |  1992-07-23  |  2.5 KB

  1. Xref: sparky comp.sys.sun.admin:4914 comp.security.misc:799
  2. Path: sparky!uunet!olivea!decwrl!access.usask.ca!news
  3. From: skeeter@skatter.usask.ca
  4. Newsgroups: comp.sys.sun.admin,comp.security.misc
  5. Subject: Re: 0 users?
  6. Message-ID: <1992Jul23.194048.24358@access.usask.ca>
  7. Date: 23 Jul 92 19:40:48 GMT
  8. References: <1992Jul20.224045.21724@Princeton.EDU>
  9. Sender: news@access.usask.ca (USENET News System)
  10. Organization: University of Saskatchewan
  11. Lines: 53
  12. Nntp-Posting-Host: cygnus.usask.ca
  13.  
  14. From article <1992Jul20.224045.21724@Princeton.EDU>, by mikulska@crux.Princeton.EDU (Margaret Mikulska):
  15. > The following happened on one of our systems; I'm a bit concerned about
  16. > it, since the only other time I saw this behavior, it turned out to be
  17. > a security problem (to put it mildly).
  18. > A user logs in to his workstation:
  19. > -------------------------------------------------------------------------
  20. > Last login: <some_date> from <...>
  21. > SunOS Release 4.1.1-IPX (HOSTNAME) #6: Wed Feb 26 23:30:32 EST 1992
  22. > You have mail.
  23. >  10:29pm  up 3 days, 10:13,  0 user,  load average: 0.09, 0.02, 0.01
  24. > hostname% users
  25. > hostname% finger
  26. > No one logged on
  27. > hostname% who
  28. > joe      ttyp0   Jul 17 22:29
  29. > hostname% finger
  30. > No one logged on
  31. > hostname% finger joe
  32. > Login name: joe                         In real life: Joe R.User
  33. > Directory: /u/joe                       Shell: /bin/csh
  34. > On since <date> on ttyp0               13 seconds Idle Time
  35. > Mail last read <some_date>
  36. > No Plan.
  37. > hostname%
  38. > --------------------------------------------------------------------------
  39. > Why would finger and uptime show '0 user' while 'joe' is on the system?
  40. > I presume that /etc/utmp was truncated - could there be any harmless
  41. > reason for that?  Any other harmless reason for having '0 user'?
  42. > Any advice appreciated.
  43. > Margaret Mikulska
  44. > mikulska@phoenix.princeton.edu
  45.  
  46. When a person logs in (normally or with rlogin) an entry in made in
  47. /etc/utmp which is checked by finger and uptime.  When someone
  48. does an 'rsh' instead, it will show up only with 'w' or 'who'.
  49.     I routinely do this:
  50. "rsh skatter -n bin/Xremote $HOST cmdtool -Wt 6x13 -Wl skatter \&"
  51. where a script (Xremote) is run on skatter which 
  52. 1. sets the DISPLAY (using $HOST (which is the machine I'm really
  53. on)) and other environment variables.
  54. 2. starts a cmdtool on skatter (which is better because it's a sun4 and I'm using a sun3).  
  55.     Using this method I show up with a 'w' or a 'who' but not finger.
  56.  
  57. Skeeter Abell-Smith                skeeter@skatter.usask.ca
  58. System Administrator                (no nifty .sig  *sniff*)
  59. Saskatchewan Accelerator Laboratory
  60.