home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / unix / admin / 6613 < prev    next >
Encoding:
Text File  |  1992-12-13  |  2.2 KB  |  47 lines
  1. Newsgroups: comp.unix.admin
  2. Path: sparky!uunet!psinntp!tnl!norstar
  3. From: norstar@tnl.com (Daniel Ray)
  4. Subject: Re: How to keep users from logging in
  5. Organization: The Northern Lights
  6. Date: Fri, 11 Dec 1992 23:59:43 GMT
  7. Message-ID: <Bz4DBL.Lp6@tnl.com>
  8. Lines: 37
  9.  
  10. In article <9212061952.00@phzzzt.uucp>, mfaurot@phzzzt.uucp (Michael Faurot) writes:
  11. >  ...
  12. >I suppose it wouldn't be too difficult to create a generic shell program
  13. >that UUCP sites would get, that would eventually call uucico, although 
  14. >I've never tried it.
  15.  
  16. On TNL here (public access UNIX site) we have an elaborate system for being
  17. able to switch the system open or closed to logins, called the "closure"
  18. subsystem.
  19.  
  20. The file /etc/closure has either the value "open" or "closed". When a user
  21. logs in, /etc/login checks this file, and if the value is "closed" it denies
  22. access to all but a privileged group, locking out public users, even root,
  23. allowing only the privileged system admin group to enter. UUCP logins would
  24. be locked out this way along with public shell users. Whenever the system
  25. rejects a user this way, it posts a message to the Operations tty. This
  26. protects from the system being closed by mistake.
  27.  
  28. Similarly we have a program /usr/lib/uucp/uush that checks /etc/closureuucp,
  29. and if the system's not closed it exec()s uucico. This allows closing *just*
  30. UUCP logins. And there are other /etc/closure* files that act as switches for
  31. parts of the system. This allows automated and operator manual intervention
  32. very easily.
  33.  
  34. Various security audit programs can change the system to closed status if they
  35. detect a serious problem such as an unknown SetUID file. We have found this
  36. subsystem very very useful. While we originally relied on /etc/profile and
  37. /etc/cshrc to lock out users if the system was closed, we found that actual
  38. modification of login the most secure.
  39.  
  40. -- 
  41. norstar
  42. The Northern Lights, Troy NY                                 |      
  43. tnl dialins: +1 518 237-2163 @ 1200-2400 bps 8N1 $free     ` | /    
  44. -------------------------------------------------------  --- * ---  
  45. UUCP: uunet!uupsi3!tnl!norstar                             / | .    
  46. Internet: norstar@tnl.com                                    |      
  47.