home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / sun / admin / 8300 < prev    next >
Encoding:
Internet Message Format  |  1992-11-16  |  4.0 KB
  1. Path: sparky!uunet!haven.umd.edu!darwin.sura.net!gatech!rutgers!cmcl2!prism.poly.edu!kapela
  2. From: kapela@prism.poly.edu (Theodore S. Kapela)
  3. Newsgroups: comp.sys.sun.admin
  4. Subject: Re: writing down root password
  5. Message-ID: <1992Nov16.140310.4113@prism.poly.edu>
  6. Date: 16 Nov 92 14:03:10 GMT
  7. References: <1dnuccINNgb@uniwa.uwa.edu.au> <janet.721445867@dunnart> <1992Nov11.220238.23297@grebyn.com>
  8. Organization: Polytechnic University, New York
  9. Lines: 67
  10.  
  11. In article <1992Nov11.220238.23297@grebyn.com> mfraioli@grebyn.com (Marc Fraioli) writes:
  12. >
  13. >our site was doing some fiddling with NIS, and accidentally overwrote
  14. >/etc/passwd with the version NIS distributes.  Note that these are not
  15. >the same-- NIS doesn't distribute all the daemon accounts, nor does it
  16. >distribute the root account (at least not the way we use it).  He had
  17. >saved a copy of /etc/passwd, but of course we couldn't restore without
  18. >being root!  We had to L1-A, go to single user, and put it back.
  19. >Without this ability, the fix would have been a much bigger pain.t te 
  20.  
  21. I may have misinterpretted this, but:
  22. If /etc/passwd was indeed trashed, and the "root" entry was either missing
  23. or wrong, what good would it do to have the root password at all?  If
  24. you can't become root in multi-user, and the console is marked as not
  25. being secure in /etc/ttytab, you can't become root via booting
  26. single-user either, unless you boot from some other device (another bootable
  27. partition, CD, tape, net, etc. . .)
  28.  
  29. More about passwords: (My opinions. . .)
  30.  
  31. In general, it is a *BAD* idea to write down passwords (at all).  I have 
  32. heard of some sites where some executive *insisted* on having the root
  33. password, in case the sys-admin wasn't around when there was a problem
  34. (The executive could "find" someone else to take care of it).  There were
  35. several solutions, but one which would probably work:  The sysadmin writes
  36. down the password(s) on a piece of safety-paper (similar to what many
  37. bank-checks are made of).  The paper is folded, placed into an envelope
  38. (prefereably also made of safety-paper), and *sealed*.  The envelope
  39. is then placed in a secure location (IE: a safe) where the executive
  40. has access.  Occasionly, the sysadm will check to verify the envelope
  41. is still intact.  If the executive ever needed to open the envelope, he
  42. would notify the sysadm and the password(s) would be changed.
  43.  
  44. Just writing the password down and leaving it in your top desk drawer
  45. is a *VERY*BAD*IDEA*.  I have seen people that actually do this.
  46.  
  47. Passwords should be something "not easily guessed" (Given enough time, 
  48. any brute-force method would *eventually* discover a password.  The
  49. question is would it be in our lifetime?  Pick a decent password and
  50. it isn't likely to be).  The password should also be easy for the
  51. person to remember.  If the password is easy to remember, there is
  52. really no need to write it down.  Many people have come up with ways
  53. of selecting passwords easy to remember.  These include using the
  54. all of the first (or second, or third) letters of your favorite 
  55. quote or saying (This should *NOT* be something common, such as
  56. "To be, or Not to be. . .").  Some people use initials/birthday combinations.
  57. Some people take two halves of two completely different words to form
  58. a nonsense-word.
  59.  
  60. Another poster also mentioned clusters of workstations, where each
  61. machine had its own root password.  If these machines are all administered
  62. by the same person(s), why not have one root password for them all?
  63. (It is true that if someone discovers the root password on one, they
  64. are limited to that one machine if differents passwords are used).
  65.  
  66.  
  67. Remember:  Security and Ease-of-Use/Ease-of-Administration are opposites.
  68. It is part of the administrator's job to ensure that the right combination
  69. is employed.  The most secure systems are the toughest to use/administer.
  70. The easiest to use/administer are the least secure.
  71.  
  72.  
  73. -- 
  74. ..............................................................................
  75.  Theodore S. Kapela                kapela@poly.edu
  76.  Center for Applied Large-Scale Computing    
  77.  Polytechnic University
  78.