home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / unix / bsd / 11672 < prev    next >
Encoding:
Text File  |  1993-01-21  |  2.6 KB  |  64 lines
  1. Newsgroups: comp.unix.bsd
  2. Path: sparky!uunet!gatech!news.byu.edu!ux1!fcom.cc.utah.edu!cs.weber.edu!terry
  3. From: terry@cs.weber.edu (A Wizard of Earth C)
  4. Subject: Re: PC-NFS and 386BSD
  5. Message-ID: <1993Jan21.214922.9598@fcom.cc.utah.edu>
  6. Sender: news@fcom.cc.utah.edu
  7. Organization: Weber State University  (Ogden, UT)
  8. References: <wmbfmk.727536467@rw8.urc.tue.nl> <CGD.93Jan20080244@eden.CS.Berkeley.EDU>
  9. Date: Thu, 21 Jan 93 21:49:22 GMT
  10. Lines: 52
  11.  
  12. In article <CGD.93Jan20080244@eden.CS.Berkeley.EDU> cgd@eden.CS.Berkeley.EDU (Chris G. Demetriou) writes:
  13. >In article <wmbfmk.727536467@rw8.urc.tue.nl> wmbfmk@rw8.urc.tue.nl (Marc van Kempen) writes:
  14. >>I have included '/usr -root=0' in my /etc/exports file, and have
  15. >>rebooted several times since, so the file should have been read.
  16. >>
  17. >>Any clues?
  18. >
  19. >yes,
  20. >
  21. >you need to be invoking mountd as "mountd -n".
  22. >
  23. >man mountd for the reason; the answer's plain as day in there...
  24.  
  25. Well, almost:
  26.  
  27.     OPTIONS
  28.          -n   Do not check that the clients are  root  users.  Though
  29.           this  option makes things slightly less secure, it does
  30.           allow older versions (pre-3.0) of client NFS to work.
  31.  
  32.  
  33. The *method* mountd uses to determine if the client is root is if it
  34. is using a "secure port" (<1024) for the socket it is connecting from.
  35. In a normal TCP/IP impementation, only a user with root credentials is
  36. allowed to allocate a secure port... therefore anyone coming in on one
  37. is assumed to be root.
  38.  
  39. In reality, this is a somewhat bogus "security" feature, since it is
  40. a "vouchsafe" protection (if you're root there, you can be root here)
  41. rather than some other protection (if your root here, you can be root
  42. here; so if you don't have the password, beat it!).
  43.  
  44. An unpatched 386BSD can not use a reserved port to communicated with
  45. the remote mountd.  Patches have been posted here, and archived in
  46. all the normal places for 386BSD patches, but like I said, the
  47. protection granted is somewhat a false sense of security.  The main
  48. application would be if you had people on local machines who wrote
  49. programs that acted like NFS clients for the localhost or some other
  50. local machine.
  51.  
  52.  
  53.                     Terry Lambert
  54.                     terry@icarus.weber.edu
  55.                     terry_lambert@novell.com
  56. ---
  57. Any opinions in this posting are my own and not those of my present
  58. or previous employers.
  59. -- 
  60. -------------------------------------------------------------------------------
  61.                                         "I have an 8 user poetic license" - me
  62.  Get the 386bsd FAQ from agate.berkeley.edu:/pub/386BSD/386bsd-0.1/unofficial
  63. -------------------------------------------------------------------------------
  64.