home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / os / vms / 18301 < prev    next >
Encoding:
Internet Message Format  |  1992-11-20  |  2.9 KB
  1. Xref: sparky comp.os.vms:18301 vmsnet.sysmgt:349
  2. Newsgroups: comp.os.vms,vmsnet.sysmgt
  3. Path: sparky!uunet!zaphod.mps.ohio-state.edu!cs.utexas.edu!sun-barr!decwrl!deccrl!news.crl.dec.com!rdg.dec.com!uvo.dec.com!e2big.mko.dec.com!nntpd.lkg.dec.com!narfvx.enet.dec.com!francini
  4. From: francini@narfvx.enet.dec.com (John Francini)
  5. Subject: Re: HELP: how to stop and prevent break in?
  6. Message-ID: <1992Nov21.074919.26668@nntpd.lkg.dec.com>
  7. Sender: usenet@nntpd.lkg.dec.com (USENET News System)
  8. Organization: Digital Equipment Corporation, Littleton, MA
  9. References: <1ds5eqINN185@merak.usc.edu> <bern.721580808@kleopatra> <1e0s7rINNd7@skat.usc.edu>
  10. Date: Sat, 21 Nov 1992 07:29:14 GMT
  11. Lines: 70
  12.  
  13.  
  14. >Thanks for the explanation of the ownerships in the posts, but the
  15. >problem we encountered is that the first name S892999 shown below is
  16. >essentially a user's name.
  18. >~~~~~~~~~~~~~~
  19. >    $ dir login.com;3 /security
  21. >    Directory $DUA0:[STUD.S882000]
  23. >    LOGIN.COM;3          [S892999,S882000]     (RWED,RWED,,)
  24. >                                 ^       ^
  25. >    Total of 1 file.         |       |
  26. >                                 |       |
  27. >             Another user's name--       --- owner of the account
  29. >~~~~~~~~~~~~~~
  31. >I'm just wondering if there is a possiblity that the name of a group
  32. >can be the same as the name of a user. Or is there any way to check
  33. >the group name in VMS? like "ypcat group" in UNIX running NIS.  
  35.  
  36. Well, the closest thing to it is to type, in AUTHORIZE:
  37.  
  38.     UAF> SHOW/ID S892999
  39.  
  40. And it should display -- in UIC format -- the "owner" of that ID.
  41. I'd bet it will be [something,177777] (may be displayed as [something,*]).
  42.  
  43. Here's a scenario how this comes about, in AUTHORIZE:
  44.  
  45. 1. Create a user FOOBAR with UIC [123,456].  SHOW FOOBAR shows a UIC of
  46. [FOOBAR] ([123,456]).
  47.  
  48. 2. Create a user FOOBAZ with UIC [123,654].  SHOW FOOBAZ shows a UIC of
  49. [FOOBAZ] ([123,654]).
  50.  
  51. 3. Add a new identifier for the FOO group (ADD/ID FOO/VALUE=UIC=[123,*]).
  52.  
  53. 4. SHOW FOOBAR and SHOW FOOBAZ again.
  54.  
  55. FOOBAR's entry now reads [FOO,FOOBAR], and FOOBAZ's reads [FOO,FOOBAZ].
  56.  
  57. You've just created the same kind of ID entry that you've mentioned above.
  58.  
  59. One way around this:  Delete the group entry, as others have indicated:
  60.  
  61.     UAF> REMOVE/ID [S892999,*]
  62.  
  63. which only removes the group ID, S892999, not all of the IDs in that group.
  64.  
  65. One way this can come about if someone once used SYS$EXAMPLES:ADDUSER.COM
  66. (or similar) and gave an account name that matched the username. 
  67. ADDUSER uses the account name as the name of the group for the UIC.  So if
  68. someone entered S892999 as a username and also as the "account name", you'd
  69. end up with a [S892999,*] ID added to the rightslist, and consequently all
  70. the user accounts will appear to be owned by [S892999,whomever].
  71.  
  72. Hope this helps, even if it's a week late...
  73.  
  74.  
  75. John Francini
  76. PATHWORKS for VMS project leader
  77. Digital Equipment Corporation
  78. Littleton, MA
  79.  
  80. francini@narfvx.enet.dec.com
  81.  
  82.  
  83.