home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / hp / 9763 < prev    next >
Encoding:
Text File  |  1992-08-27  |  2.4 KB  |  51 lines
  1. Newsgroups: comp.sys.hp
  2. Path: sparky!uunet!mcsun!sunic!aun.uninett.no!ugle.unit.no!Steinar.Haug
  3. From: Steinar.Haug@delab.sintef.no (Steinar Haug)
  4. Subject: Re: Sun Vs. HP system administration
  5. In-Reply-To: alek@spatial.com's message of Thu, 27 Aug 1992 04:32:11 GMT
  6. Message-ID: <STEINAR.HAUG.92Aug27164938@delab.sintef.no>
  7. Sender: news@ugle.unit.no (NetNews Administrator)
  8. Organization: SINTEF DELAB, Trondheim, Norway.
  9. References: <1992Aug26.052741.24845@spatial.com>
  10.     <STEINAR.HAUG.92Aug26161118@delab.sintef.no> <37274@sdcc12.ucsd.edu>
  11.     <1992Aug27.043211.29758@spatial.com>
  12. Date: 27 Aug 92 16:49:38
  13. Lines: 36
  14.  
  15. In article <1992Aug27.043211.29758@spatial.com>, alek@spatial.com writes:
  16. > I suspect Steinar is well aware of this. Physical security is a really
  17. > tough one, and there really is no easy solution today, although stuff
  18. > like Kerboros may help down the road. As you pointed out, giving a 
  19.  
  20. Yes, indeed, I am well aware of that... Yes, we have been wondering about
  21. using Kerberos, but that certainly doesn't solve all problems either. There
  22. are no "silver bullets" when it comes to security.
  23.  
  24. > I think all Steiner was trying to point out is that Sun's YP implementation
  25. > is a bit better - preventing "off-site" users from rebinding your ypbind (is
  26. > this really possible - yuck!) and/or downloading your passwd file *is*
  27. > desireable. I understand that NIS+ tightens things up a lot. NFS exports
  28. > w/-root=machine is another (first level) attempt to slow down the bad guys. 
  29.  
  30. As far as I know, in earlier versions of SunOS it *was* possible to rebind
  31. the ypbind process at a machine with an RPC call. (What do you think the
  32. /usr/etc/yp/ypset program does?)  That's why Sun changed the default
  33. behavior of ypbind (no rebinding allowed), and introduced explicit options
  34. (-ypsetme, -ypset) to help you if you really *needed* the possibility of
  35. changing the YP binding from the outside.
  36.  
  37. I have (just now) verified that I can rebind the ypbind *on another HP*
  38. with ypset on my local workstation. As a normal user. Talk about gaping
  39. holes in security...
  40.  
  41. > Bottom line: No system is entirely secure. But it's desireable IMHO to
  42. > add some security rather than throw one's hands up because a perfect job
  43. > is impossible. 
  44.  
  45. Couldn't agree more.
  46.  
  47. Steinar Haug, system/networks administrator
  48. SINTEF DELAB, University of Trondheim, NORWAY
  49. Email: Steinar.Haug@delab.sintef.no, 
  50.     sthaug@idt.unit.no, steinar@tosca.er.sintef.no
  51.