home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / security / misc / 1800 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  2.4 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!uwm.edu!cray.csd.uwm.edu!wls
  2. From: wls@cray.csd.uwm.edu (Bill Stapleton)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: anonymous FTP checklist
  5. Date: 19 Nov 1992 22:00:24 GMT
  6. Organization: Computing Services, U of Wisc-Milwaukee
  7. Lines: 43
  8. Distribution: world
  9. Message-ID: <1eh2poINN3ec@uwm.edu>
  10. References: <francis.722155745@monod> <drector.722195714@math.uci.edu>
  11. Reply-To: Bill Stapleton <wls@csd4.csd.uwm.edu>
  12. NNTP-Posting-Host: 129.89.6.69
  13. Keywords: anon FTP
  14.  
  15. In article <drector.722195714@math.uci.edu>, drector@math.uci.edu (David Rector) writes:
  16.  
  17. > If you find it necessary to have an "incoming" directory, that is a
  18. > directory with write privileges, be sure to check it regularly for
  19. > unwanted material, or you might find yourself playing host to an
  20. > unwanted---or even illegal---bulletin board.  A favorite trick of
  21. > bb creators is to hide their files from the ls command by prefixing the
  22. > file names with periods or other unprintable characters.  Use the
  23. > -a option to ls, or use du, to search for unwanted files.
  24.  
  25. If you only need an "incoming" directory for outside users to drop files
  26. off for users of the machine, try this trick:
  27.  
  28. d-wxr-xr-x  2 ftp      nobody        512 Oct 11 12:08 incoming/
  29.  
  30. Anonymous users can write files, but can't list or read them, while users
  31. on the machine can do directory listings and read the files.  You still
  32. need to clean out junk, but no "bulletin board" problems.  Note that
  33. this doesn't work if you have some brain-dead "ftpd" that doesn't make
  34. anonymous ftp files world readable (Convex).
  35.  
  36. Heck, might as well mention everything as long as I'm here.  On the flip side
  37. of "incoming" would be "pub":
  38.  
  39. dr-xrwxrwt  2 ftp      nobody        512 Nov 10 17:23 pub/
  40.  
  41. Where anonymous users can list and read but not write, while local users
  42. can do anything (except delete each others' files).
  43.  
  44. As for the rest, most should be mode 555:  the parent directory, as well as
  45. bin, and any other needed stuff (etc, dev, ...), owned by root.  Depending
  46. on how much info you want to give out, you can either omit etc/passwd and
  47. etc/group altogether, or include modified versions (passwd: no passwords,
  48. groups, home directories, shell of /bin/false just in case;  group: no
  49. passwords or user lists).  The "ftpd" man page usually gives some info about
  50. which other files are needed, for shared libraries, etc.
  51.  
  52. Anybody else have any helpful hints?
  53.  
  54. --
  55. Bill Stapleton
  56.      wls@csd4.csd.uwm.edu
  57.      uwmcsd4!wls
  58.