home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / sys / sgi / admin / 115 < prev    next >
Encoding:
Internet Message Format  |  1993-01-06  |  2.3 KB
  1. Xref: sparky comp.sys.sgi.admin:115 comp.sys.sgi:18533
  2. Newsgroups: comp.sys.sgi.admin,comp.sys.sgi
  3. Path: sparky!uunet!zaphod.mps.ohio-state.edu!darwin.sura.net!sgiblab!sgigate!odin!twilight!zuni!anchor!olson
  4. From: olson@anchor.esd.sgi.com (Dave Olson)
  5. Subject: Re: is wide-open tftpd ever needed for install from remote?
  6. Message-ID: <ui2dla0@zuni.esd.sgi.com>
  7. Sender: news@zuni.esd.sgi.com (Net News)
  8. Organization:  Silicon Graphics, Inc.  Mountain View, CA
  9. References: <1992Dec24.193457.16465@u.washington.edu> <C0G7I2.JM3@helios.physics.utoronto.ca>
  10. Date: Wed, 6 Jan 93 21:19:38 GMT
  11. Lines: 36
  12.  
  13. In <C0G7I2.JM3@helios.physics.utoronto.ca> sysmark@helios.physics.utoronto.ca (Mark Bartelt) writes:
  14.  
  15. | Last month Dave Dittrich posted an article taking SGI to task for the
  16. | fact that IRIX's initial /etc/passwd includes several accounts which
  17. | have null passwords, a potential worry if the system is attached to a
  18. | network.  (He's not the first to grouse about this, nor is he likely
  19. | to be the last.)  Anyway, that discussion reminded me of yet another
  20. | security-related issue ...
  22. | Section 3.2 of the IRIS Software Installation Guide ("Enabling Network
  23. | Access to Remote Workstations") suggests modifying inetd.conf so that
  24. | tftpd runs in unrestricted mode.  I wonder how many people have done
  25. | this, and have forgotten to put tftpd back into restricted mode.
  26.  
  27. That *exact* same section explictly reminds you to put it back.
  28. It *also* tells you how you can modify the entry to leave security
  29. on, but only allow a couple of directories.
  30.  
  31. | But my question is, why should this ever be necessary at all?  Right
  32. | after suggesting that the tftpd "-s ..." stuff be removed, the guide
  33. | tells us that we might want to consider appending "<CDdir>/dist" (or
  34. | whatever) to the "-s /usr/local/boot" at the end of the tftpd entry
  35. | in inetd.conf instead, which certainly seems preferable.
  36.  
  37. Because we did *just* that first, and an amazing number of people didn't
  38. seem to be able to handle the typing involved ;)
  39.  
  40. | Given the security worries related to a unrestricted-mode tftpd, why
  41. | does the documentation even suggest running it that way in the first
  42. | place?
  43.  
  44. See above.
  45. --
  46. Let no one tell me that silence gives consent,  |   Dave Olson
  47. because whoever is silent dissents.             |   Silicon Graphics, Inc.
  48.     Maria Isabel Barreno                        |   olson@sgi.com
  49.