home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / sun / admin / 5995 < prev    next >
Encoding:
Internet Message Format  |  1992-08-31  |  2.7 KB
  1. Xref: sparky comp.sys.sun.admin:5995 comp.unix.admin:4804
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!sample.eng.ohio-state.edu!purdue!news.cs.indiana.edu!umn.edu!lynx!zia.aoc.nrao.edu!rmilner
  3. From: rmilner@zia.aoc.nrao.edu (Ruth Milner)
  4. Newsgroups: comp.sys.sun.admin,comp.unix.admin
  5. Subject: Re: NIS, slave servers and DNS access
  6. Message-ID: <1992Sep1.001928.17876@zia.aoc.nrao.edu>
  7. Date: 1 Sep 92 00:19:28 GMT
  8. References: <92241.144541QQ11@LIVERPOOL.AC.UK> <1992Aug28.163833.28635@fwi.uva.nl>
  9. Reply-To: rmilner@zia.aoc.nrao.edu (Ruth Milner)
  10. Organization: National Radio Astronomy Observatory, Socorro NM
  11. Lines: 47
  12.  
  13. In article <1992Aug28.163833.28635@fwi.uva.nl> casper@fwi.uva.nl (Casper H.S. Dik) writes:
  14. >QQ11@LIVERPOOL.AC.UK (Alan Thew) writes:
  15. >
  16. >>I have a machine that requires DNS access which normally means running
  17. >>NIS (yes I know it can be done without NIS but that's not possible in my
  18. >>case). The machine will be a mail hub.
  19. >
  20. >>2) Can I take the password maps and somehow disable the passwords so that I
  21. >>   have a list of usernames but they cannot logon to the mail hub.
  22. >
  23. >Disable passwords:
  24. >
  25. >+:*:0:0:::
  26.  
  27. Well, I've held off a few days waiting to see whether anyone else would
  28. emphasize this, and nobody has (only Casper's brief mention below).
  29.  
  30. Disabling an account by putting some string, such as an asterisk, in the 
  31. password field *does not work* if the user is coming in with rsh or rlogin 
  32. from a trusted host (i.e. one listed in /etc/hosts or the user's .rhosts).
  33. In this case, the password field is simply not looked at, period. If the
  34. user can get onto some other system, say, their private workstation, they
  35. can log onto any other system so long as their account name exists and their
  36. hostname is in /etc/hosts.equiv (or in their own .rhosts file - which may be
  37. provided to them by the server).
  38.  
  39. This goes for *all* accounts, not just general users. For example, bin.
  40.  
  41. Perhaps some of you will say "this is obvious", and perhaps, if you sit down
  42. and think the whole process through, it should be. However, it is *not* obvious
  43. simply from the documentation (passwd(5), for example, says nothing about
  44. this being bypassed by the trusted hosts mechanism), and from many of the
  45. messages I've seen here recently, it doesn't seem to be something that a lot
  46. of people are consciously aware of.
  47.  
  48. This is why CERT recommends giving accounts like bin and sys false shells to
  49. prevent access. If you haven't done so yet, do it *now*, and any other accounts
  50. you have "disabled" as well.
  51.  
  52. >But better is a different login shell (.rhosts and all that):
  53. >
  54. >+::0:0:::/etc/nologin
  55.  
  56. This is the *only* way to truly disable an account (other than deleting it).
  57. -- 
  58. Ruth Milner                          NRAO/VLA                  Socorro NM
  59. Computing Division Head      rmilner@zia.aoc.nrao.edu
  60.