home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / hp / 9757 < prev    next >
Encoding:
Text File  |  1992-08-26  |  2.5 KB  |  48 lines
  1. Newsgroups: comp.sys.hp
  2. Path: sparky!uunet!sun-barr!ames!ncar!ico!spatial!alek
  3. From: alek@spatial.com (Alek O. Komarnitsky)
  4. Subject: Re: Sun Vs. HP system administration
  5. Message-ID: <1992Aug27.043211.29758@spatial.com>
  6. Keywords: YP
  7. Sender: usenet@spatial.com
  8. Organization: Spatial Technology, Inc. (Boulder, Colorado)
  9. References: <1992Aug26.052741.24845@spatial.com> <STEINAR.HAUG.92Aug26161118@delab.sintef.no> <37274@sdcc12.ucsd.edu>
  10. Date: Thu, 27 Aug 1992 04:32:11 GMT
  11. Lines: 35
  12.  
  13. In article <37274@sdcc12.ucsd.edu> xm9@sdcc12.ucsd.edu (richard g. adair) writes:
  14. >In article <STEINAR.HAUG.92Aug26161118@delab.sintef.no> Steinar.Haug@delab.sintef.no (Steinar Haug) writes:
  15. >>Seems to work just fine, but there are security problems:
  16. >>
  17. >>programs) at their leisure. Sun's patch enables you to control which hosts
  18. >>(which IP addresses) are allowed to access your YP servers.
  19. >
  20. >Sun's own PC/NFS defeats this "security" with the ability of the PC
  21. >user to change his/her IP address at will.  Any user can do this, so
  22. >think again about even such SUNisms as -root=machine in your mount
  23. >tables.  False security is worse than no security...
  24. I suspect Steinar is well aware of this. Physical security is a really
  25. tough one, and there really is no easy solution today, although stuff
  26. like Kerboros may help down the road. As you pointed out, giving a 
  27. knowledgeable user physical access to the network can be dangerous; why
  28. impersonate a host when you could just "sniff" for passwords, etc. 
  29. I'll skip the dangers of physical access to machines, since this has been
  30. discussed a lot recently (IMHO, Sun seems to be a leg up here also).
  31.  
  32. I think all Steiner was trying to point out is that Sun's YP implementation
  33. is a bit better - preventing "off-site" users from rebinding your ypbind (is
  34. this really possible - yuck!) and/or downloading your passwd file *is*
  35. desireable. I understand that NIS+ tightens things up a lot. NFS exports
  36. w/-root=machine is another (first level) attempt to slow down the bad guys. 
  37.  
  38. Bottom line: No system is entirely secure. But it's desireable IMHO to
  39. add some security rather than throw one's hands up because a perfect job
  40. is impossible. 
  41.  
  42. Alek Komarnitsky                                      303-449-0649
  43. Software Tools Manager, Spatial Technology, Inc.      2425 55th Street, Bldg A
  44. alek@spatial.com                                      Boulder, CO 80301-5704
  45.  
  46. P.S. I normally would send this via E-mail rather than post, but I hope 
  47.      others will take the last paragraph to heart. 
  48.