home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / next / sysadmin / 4881 < prev    next >
Encoding:
Internet Message Format  |  1992-08-26  |  2.5 KB
  1. Path: sparky!uunet!cs.utexas.edu!uwm.edu!ogicse!reed!horde
  2. From: horde@reed.edu (Mr. Heiji Horde)
  3. Newsgroups: comp.sys.next.sysadmin
  4. Subject: Re: Security leak or bug?
  5. Message-ID: <1992Aug26.183027.6687@reed.edu>
  6. Date: 26 Aug 92 18:30:27 GMT
  7. Article-I.D.: reed.1992Aug26.183027.6687
  8. References: <HARDY.92Aug24163755@golem.ps.uci.edu> <1992Aug26.090053.28832@unibi.uni-bielefeld.de>
  9. Organization: Twisted Genius Rehabilitation Center, a Division of MHE
  10. Lines: 39
  11.  
  12. In article <1992Aug26.090053.28832@unibi.uni-bielefeld.de> mib@bio128.uni-bielefeld.de writes:
  13. >6. REMOVE any pd apps you received in binary form.  NEVER AND I MEAN NEVER 
  14. >   install pd binaries on ANY machine.  If you can't get the source for the pd    
  15. >   stuff then don't install it.
  16.  
  17. Hmm...sounds like most of the NeXT apps I've seen out there. Especially
  18.   some that are fairly useful to our users.
  19.  
  20. >7. Give the machines a boot password.  Anybody can bring a NeXT to single user 
  21. >   mode and change password
  22.  
  23. Are you talking about a hardware password? I sure hope you don't forget it.
  24.   What we do here is simply have "exec /bin/login -p root" as the last
  25.   line of /.profile. Works well.
  26.  
  27. Here's a few that you missed:
  28.   A) Make sure you remove "decode" alias from /usr/lib/aliases. I was only
  29.      mildly amused when some tried to break in that way. Good thing we
  30.      don't run sendmail here, otherwise it would have worked.
  31.      (okay, so you mentioned this in #5, just not explicitly)
  32.   B) There's something involving IFS and "some setuid root program". None
  33.      of us here have been able to duplicate this. No fix either because
  34.      you'd need to patch /bin/sh and you need source for that.
  35.   C) Go through the password file and make sure no accounts have home
  36.      directories in /tmp. It was annoying that ALL our NeXT stations came
  37.      that way. Took no time to become user "daemon" using this. And daemon
  38.      to root takes only a bit longer.
  39.   D) People who administrate NeXTs on the INTERNET should really go through
  40.      Chapter 16 of the Network and Systems Administration manual. They
  41.      describe some of the things you must do to secure your NeXTs since
  42.      they shipped open (like several other systems). The one about getting
  43.      netinfo to give you the password file is probably something to look at.
  44.  
  45.     -Heiji
  46.  
  47. ===========================================================================
  48.  Mr. Heiji Horde    (Non NeXT mail only please)     e-mail: horde@reed.edu
  49.    All insane acts are done in affiliation with Madd Hacker Enterprises
  50.     The opinions expressed here are stolen from the person next to me.
  51.