home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / comp / sys / apollo / 3310 < prev    next >
Encoding:
Text File  |  1992-08-18  |  4.6 KB  |  108 lines
  1. Newsgroups: comp.sys.apollo
  2. Path: sparky!uunet!munnari.oz.au!metro!maths.su.oz.au!szabo_p
  3. From: szabo_p@maths.su.oz.au (Paul Szabo)
  4. Subject: Securing SR10.4
  5. Message-ID: <1992Aug19.035015.2519@ucc.su.OZ.AU>
  6. Keywords: security permission ACL break-in node_data
  7. Sender: szabo_p@maths.su.oz.au (Paul Szabo)
  8. Nntp-Posting-Host: adder.maths.su.oz.au
  9. Reply-To: szabo_p@maths.su.oz.au (Paul Szabo)
  10. Organization: Mathematics, University of Sydney
  11. Date: Wed, 19 Aug 1992 03:50:15 GMT
  12. Lines: 94
  13.  
  14. Now I have installed SR10.4 on a couple of nodes. Here are some random
  15. thoughts on security and 10.4.
  16.  
  17. One very bad security hole seems to be patched (thanks HP!); the crp problem
  18. has also been solved satisfactorily. I urge everyone to upgrade to SR10.4.
  19.  
  20. Still, the out-of-the-box permissions on SR10.4 are an invitation for a
  21. break-in. If you wish to improve the security of your Apollos, I have some
  22. scripts which set sensible permissions on all system files. They are
  23. available by anonymous ftp from maths.su.oz.au (129.78.68.2) in directory
  24. protect, and mirror sites (notably ftp.eb.ele.tue.nl, thanks Willem Jan).
  25.  
  26. There have been problems reported with /bsd4.3/usr/lib/sendmail (maybe only
  27. a problem of configuration files), /sys/harcopy/prmgr and prsvr, and
  28. /bsd4.3/bin/test; I have found some problems with /sys/mbx/mbx_helper (will
  29. die unless it can run as user.server.none). It seems that for all these you
  30. can simply use the SR10.3 versions. In the case of prmgr/prsvr, I found that
  31. the SR10.4 versions worked for me (maybe because I have some other prmgr's
  32. on the network?); in fact, the SR10.3 version of my printer driver seems to
  33. work fine with the SR10.4 prsvr. (Still, I am working on a new version.)
  34.  
  35. Below is the README file for these scripts.
  36.  
  37. Paul Szabo - System Manager   //        School of Mathematics and Statistics
  38. szabo_p@maths.su.oz.au        //   University of Sydney, NSW 2006, Australia
  39.  
  40.  
  41. ---
  42.  
  43.  
  44. -------------------------- DISCLAIMER - WARNING --------------------------
  45. The use of these scripts may make your nodes more secure than what they are
  46. at present, or they may in fact open up any number of holes or render your
  47. system un-useable. These scripts come with no warranty of any kind. Use them
  48. at your own risk only: YOU are responsible for what YOU run on YOUR nodes.
  49. -------------------------- DISCLAIMER - WARNING --------------------------
  50.  
  51. HOW TO USE
  52.  
  53. Unpack the archive scripts.tar.Z, using something like
  54.   zcat scripts.tar.Z | tar xvf -
  55.  
  56. Create the following person entries in your registry:
  57.   d3m dial dpcc ftp netmain ns_helper prfd sbp sf_helper spm writed
  58. and the following groups:
  59.   d3m dial dpcc ftp netmain ns_helper prfd sbp sf_helper spm writed postman
  60.  
  61. Execute the protect_software script, using something like
  62.   protect_software //nodename SR10.X
  63.  
  64. Copy the other files to appropriate places.
  65.  
  66. If you run netman (have any diskless nodes), then execute
  67.   /sys/net/netman.rc template any
  68. before running protect_software (or maybe run it again: it cannot hurt).
  69.  
  70.  
  71. NOTES
  72.  
  73. protect_software will happily change ACLs on trees pointed to by links, e.g.
  74. if you installed /domain_examples by a link
  75.   /domain_examples -> //master_node/domain_examples
  76. This will of course take quite a long time, besides being wasteful (as the
  77. directory will be protected, again, when running on //master_node). We have
  78. all such links pointing to /master instead, e.g.
  79.   /domain_examples -> /master/domain_examples
  80.   /bsd4.3/usr/man -> /master/bsd4.3/usr/man
  81. where /master is a link pointing to some appropriate place. (When install++
  82. asks for a //nodename, just enter /master.) The protect_software script will
  83. first rename the /master link, so that none of the linked directories are
  84. found while changing ACLs, and renames it back when finished.
  85.  
  86. These scripts work together. Maybe you can use the new /etc/rc with the
  87. default Apollo permissions, or the original /etc/rc after protect_software,
  88. but more likely you cannot. You need to replace /sys/net/netman.rc (this is
  89. a link to netman_bin.sh or netman_com.sh) otherwise your protection would be
  90. quite useless.
  91.  
  92. Do not change permissions in arbitrary ways. Opening things up may allow
  93. seemingly unrelated attacks, while tightening things might make the node
  94. unuseable.
  95.  
  96.  
  97. REQUEST
  98.  
  99. If you can make your nodes more secure please let me know, I would love to
  100. hear from you. On the other hand, if these scripts cause you some trouble,
  101. just drop me a line and I will try my best to help you.
  102.  
  103.  
  104. Paul Szabo - System Manager   //        School of Mathematics and Statistics
  105.                               //   University of Sydney, NSW 2006, Australia
  106. szabo_p@maths.su.oz.au        //        Phone (+61 2) 692-3806, FAX 692-4534
  107.  
  108.