home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / comp / sys / sgi / 12534 < prev    next >
Encoding:
Internet Message Format  |  1992-08-17  |  2.1 KB
  1. Path: sparky!uunet!dtix!oasys!hendrix
  2. From: hendrix@oasys.dt.navy.mil (Dane Hendrix)
  3. Newsgroups: comp.sys.sgi
  4. Subject: Re: shutdown by user
  5. Message-ID: <23754@oasys.dt.navy.mil>
  6. Date: 18 Aug 92 11:22:16 GMT
  7. References: <o6a8rsk@zuni.esd.sgi.com> <on7kv68@rhyolite.wpd.sgi.com>
  8. Reply-To: hendrix@oasys.dt.navy.mil (Dane Hendrix)
  9. Organization: Code 1542, DTMB, Bethesda, MD
  10. Lines: 37
  11.  
  12. In comp.sys.sgi, vjs@rhyolite.wpd.sgi.com (Vernon Schryver) writes:
  13. |In article <1992Aug17.195429.2312@epas.toronto.edu>, adam@epas.utoronto.ca (Ada
  14. |m Iles) writes:
  15. |> In article <ojsf4ek@rhyolite.wpd.sgi.com> vjs@rhyolite.wpd.sgi.com (Vernon Sc
  16. |hryver) writes:
  17. |> >True, but that hole does not exist if you use a line like
  18. |> >
  19. |> >shutdown:asdfasdf:0:0:shutdown:/:/etc/halt
  20. |>
  21. |> You may want to make sure that you add shutdown to your /etc/ftpusers
  22. |> file!  If you let a person ftp as root there is no reason why he would
  23. |> not be able to just upload a new /etc/passwd file, or am I missing some
  24. |> basic piece of security that has already been discussed?
  25. |>
  26. |> Never trust anyone to have addressed ALL of the security issues.
  27. |
  28. |How is this "shutdown" entry any more or less of a security hole
  29. |for ftp than the "root" entry in /etc/passwd?
  30. |
  31. |If you can use FTP and "shutdown" to change /etc/passwd without knowing
  32. |the right password, then you can use FTP and "root" without knowning
  33. |the password.
  34. |
  35. |In other words, I do not think this line creates any additional
  36. |security holes.
  37.  
  38. I agree with the need for an /etc/ftpusers entry.  The reason for having 
  39. a shutdown account was so that a less closely held password could 
  40. enable users to shutdown the system.  If there is no entry in the 
  41. /etc/ftpusers file for the shutdown account, the damage possible due
  42. to disclosure of the shutdown password is nearly(?) as great as that 
  43. due to disclosure of the root password.
  44.  
  45. Dane Hendrix                              | email: dane@wizard.dt.navy.mil 
  46. DTMB (a.k.a. Headquarters, Carderock Div.,|  or hendrix@oasys.dt.navy.mil
  47. Naval Surface Warfare Center)             |  or hendrix@nas.nasa.gov 
  48. Code 1542, Bethesda, MD 20084-5000        | phone: (301)227-1340
  49.