home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / sys / sgi / admin / 134 < prev    next >
Encoding:
Internet Message Format  |  1993-01-07  |  4.0 KB
  1. Xref: sparky comp.sys.sgi.admin:134 comp.sys.sgi:18560
  2. Path: sparky!uunet!gatech!destroyer!caen!saimiri.primate.wisc.edu!ames!olivea!sgigate!odin!twilight!zuni!anchor!olson
  3. From: olson@anchor.esd.sgi.com (Dave Olson)
  4. Newsgroups: comp.sys.sgi.admin,comp.sys.sgi
  5. Subject: Re: security concerns revisted
  6. Message-ID: <uj8llfo@zuni.esd.sgi.com>
  7. Date: 7 Jan 93 19:05:13 GMT
  8. References: <ui2dla0@zuni.esd.sgi.com> <C0GEH4.2KJ@helios.physics.utoronto.ca> <uij5h2g@zuni.esd.sgi.com> <1993Jan7.155721.7859@cs.wayne.edu>
  9. Sender: news@zuni.esd.sgi.com (Net News)
  10. Organization: Silicon Graphics, Inc.  Mountain View, CA
  11. Lines: 62
  12.  
  13. In <1993Jan7.155721.7859@cs.wayne.edu> atems@igor.physics.wayne.edu (Dale Atems) writes:
  14.  
  15. | In article <uij5h2g@zuni.esd.sgi.com> olson@anchor.esd.sgi.com (Dave Olson) writes:
  16. | >
  17. | >I maintain (and a number of people disagree with me), that you *have*
  18. | >to ship an open root, and given that, anybody who can't scan a 
  19. | >*15 line* password file to notice the other accounts that have no
  20. | >passwords is unlikely to do anything about root either.  If they
  21. | >don't secure root, nothing else matters.  We can start all of these
  22. | >arguments all over again, but I maintain (both as a system admin in
  23. | >a number of environments, and as a tech support resource in 4 compainies)
  24. | >that we would be *crazy* as a company to do anything else.
  26. | With all due respect, Dave, I have to disagree here. Most people are
  27. | sensible enough to protect root, but either aren't aware of the other
  28.  
  29. I keep hearing this, but I simply can't believe that *anybody* who
  30. cares the slightest amount about security can't take the 5 seconds
  31. to look at a 15 line password file (I've heard via email or net
  32. postings from at least 10 people saying the people don't, so don't
  33. repeat those answers).  I continue to maintain that anybody that
  34. careless will not have a secured system for very long anyway.
  35.  
  36. I'm not saying that people are expected to be "aware" of other open
  37. accounts, merely that they have a very slight amount of common sense.
  38. No doubt these are the same people who leave the as shipped password
  39. for the field account on VMS systems...
  40.  
  41. | open accounts or put off learning how to protect them without giving up
  42. | the ability to share resources over the network (like remote printers,
  43. | etc.). People buy systems to solve problems, and many sites (like ours)
  44. | don't have full-time system administrators. The people who set up the
  45. | systems aren't idiots, they're expected to set the systems up and then
  46. | go back to writing proposals. Learning about security issues gets put
  47. | on the back burner along with getting system software upgraded, getting
  48. | clocks synched to a reliable source, diagnosing network slowdowns...
  49.  
  50. Which is basicly what I said.  We have no choice but to ship systems
  51. that are usable out of the box, for exactly these reasons!  The number
  52. of sites/users that care about security are far, far, far fewer than
  53. those who just want to use their systems.  Where people care about
  54. security, they have to do something about it on a continuing basis
  55. anyway.
  56.  
  57. | >As has been discussed here every time this has come up (and as Vernon
  58. | >mentioned in this same thread), the best thing would be to have a script
  59. | >that runs after install, similarly to the autoconfig and confmsg scripts,
  60. | >that asks the user if they want to setup a secure system, and walks them
  61. | >through it in a script.  That may still happen for a future release.
  63. | Excellent idea. How far in the future are we talking about?
  64.  
  65. Months to years.  The person that 'owns' this script is in for a lot
  66. of grief, so nobody is anxious to take it on, particularly given the
  67. very small percentage of our customers who care.  It isn't the
  68. initial script, it is the bugs, enhancements, meetings, and arguments
  69. that keep us all from just doing it.  There is always TIRIX for those
  70. who really care about security.
  71. --
  72. Let no one tell me that silence gives consent,  |   Dave Olson
  73. because whoever is silent dissents.             |   Silicon Graphics, Inc.
  74.     Maria Isabel Barreno                        |   olson@sgi.com
  75.