home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / comp / sys / sgi / 12530 < prev    next >
Encoding:
Text File  |  1992-08-17  |  1.4 KB  |  37 lines
  1. Newsgroups: comp.sys.sgi
  2. Path: sparky!uunet!elroy.jpl.nasa.gov!ames!sgi!rhyolite!vjs
  3. From: vjs@rhyolite.wpd.sgi.com (Vernon Schryver)
  4. Subject: Re: shutdown by user
  5. Message-ID: <on7kv68@rhyolite.wpd.sgi.com>
  6. Organization: Silicon Graphics, Inc.  Mountain View, CA
  7. References: <o6a8rsk@zuni.esd.sgi.com> <1992Aug13.180112.2505@ctr.com> <1992Aug17.195429.2312@epas.toronto.edu>
  8. Date: Tue, 18 Aug 1992 04:04:14 GMT
  9. Lines: 26
  10.  
  11. In article <1992Aug17.195429.2312@epas.toronto.edu>, adam@epas.utoronto.ca (Adam Iles) writes:
  12. > In article <ojsf4ek@rhyolite.wpd.sgi.com> vjs@rhyolite.wpd.sgi.com (Vernon Schryver) writes:
  13. > >True, but that hole does not exist if you use a line like
  14. > >
  15. > >shutdown:asdfasdf:0:0:shutdown:/:/etc/halt
  17. > You may want to make sure that you add shutdown to your /etc/ftpusers
  18. > file!  If you let a person ftp as root there is no reason why he would
  19. > not be able to just upload a new /etc/passwd file, or am I missing some
  20. > basic piece of security that has already been discussed?
  22. > Never trust anyone to have addressed ALL of the security issues.
  23.  
  24.  
  25. How is this "shutdown" entry any more or less of a security hole
  26. for ftp than the "root" entry in /etc/passwd?
  27.  
  28. If you can use FTP and "shutdown" to change /etc/passwd without knowing
  29. the right password, then you can use FTP and "root" without knowning
  30. the password.
  31.  
  32. In other words, I do not think this line creates any additional
  33. security holes.
  34.  
  35.  
  36. Vernon Schryver,  vjs@sgi.com
  37.