home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / protocol / nfs / 3231 < prev    next >
Encoding:
Internet Message Format  |  1993-01-28  |  2.2 KB
  1. Path: sparky!uunet!europa.eng.gtefsd.com!emory!sol.ctr.columbia.edu!howland.reston.ans.net!usc!elroy.jpl.nasa.gov!ames!sun-barr!male.EBay.Sun.COM!news2me.EBay.Sun.COM!seven-up.East.Sun.COM!tyger!geoff
  2. From: geoff@tyger.East.Sun.COM (Geoff Arnold @ Sun BOS - R.H. coast near the top)
  3. Newsgroups: comp.protocols.nfs
  4. Subject: Re: Open a fixed securety-hole
  5. Date: 28 Jan 1993 14:20:30 GMT
  6. Organization: SunSelect
  7. Lines: 33
  8. Distribution: world
  9. Message-ID: <1k8q3eINN3ac@seven-up.East.Sun.COM>
  10. References: <KAZ.93Jan28124128@haegar2.uni-paderborn.de>
  11. Reply-To: geoff@tyger.East.Sun.COM
  12. NNTP-Posting-Host: tyger.east.sun.com
  13.  
  14. In article 93Jan28124128@haegar2.uni-paderborn.de, kaz@uni-paderborn.de (Kay Mueller) writes:
  15. ##Hi out there,
  16. ##
  17. ##We are running the rpc.pcnfsd on a server with a restricted passwd.
  18. ##(only those users who are in /etc/netgroup on our nisserver are allowed to
  19. ##log in)
  20. ##The old deamon (PCNFS 3.5) did not care aboutthis, and every user could do
  21. ##his net name *
  22. ##But the new pcnfsd (pcnfsd.92.11.05) checks the local /etc/passwd and returns an
  23. ##"Authentication Failiure" to everyone not mentioned in /etc/netgroup.
  24. ##
  25. ##How can I open this securety hole?
  26.  
  27. pcnfsd doesn't check /etc/netgroup for anything. It calls getpwnam()
  28. to find the passwd record for the user, but then it alsways has done.
  29. The only new thing in the 92.11.05 daemon which might affect you is
  30. the check for the presence of a valid user shell in the passwd record.
  31. pcnfsd will use setusershell()/getusershell()/endusershell() if configured
  32. to do so; otherwise it insists that the last two characters are "sh".
  33. (A null shell field - equivalent to /bin/sh - is acceptable.)
  34.  
  35. If you are enforcing restricted logins via a custom shell, and you have 
  36. defined USE_GETUSERSHELL, you will have to make sure that your custom
  37. shell is included in /etc/shells. (See "man getusershell" for details.)
  38. Otherwise, you can hack the code in pcnfsd_misc.c to cope with
  39. your special setup.
  40.  
  41. ---
  42. Geoff Arnold, PC-NFS architect, Sun Select. (geoff.arnold@East.Sun.COM)
  43. --------------------------------------------------+-------------------
  44. "What if they made the whole thing up?            | "The Great Lie" by
  45.  Four guys, two thousand years ago, over wine..." |    The Tear Garden
  46.  
  47.