home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / unix / aix / 9371 < prev    next >
Encoding:
Internet Message Format  |  1992-09-03  |  3.0 KB
  1. Path: sparky!uunet!cs.utexas.edu!ut-emx!ibmchs!auschs!awdprime.austin.ibm.com!ekhadafi.austin.ibm.com!curt
  2. From: curt@ekhadafi.austin.ibm.com (Curt Finch 903 2F021 curt@aixwiz.austin.ibm.com 512-838-2806)
  3. Newsgroups: comp.unix.aix
  4. Subject: Re: Need assorted low level helps... -security questions really-
  5. Message-ID: <1992Sep3.224031.23460@awdprime.austin.ibm.com>
  6. Date: 3 Sep 92 22:40:31 GMT
  7. References: <199209011555.AA12231@cc.ysu.edu>
  8. Sender: news@awdprime.austin.ibm.com (USENET News)
  9. Organization: IBM AWD, Austin
  10. Lines: 57
  11.  
  12. I sent your questions to a really smart aix security guy.
  13. This is his response:
  14.  
  15. In article <199209011555.AA12231@cc.ysu.edu> PHD985W@SMSVMA.bitnet ("Patrick H. Day, Systems Programmer") writes:
  16. >1.  Where do you set an inactivity timeout variable?  If a user has been
  17. >    inactive for over 30 minutes, I would like the 560 to drop them.
  18.  
  19. A rather hard thing to design actually. If we had a real login server
  20. which handled all logins, this would be easy. But we don't and so
  21. it's not. 
  22.  
  23.     (note from curt - i'm not aware of any unixes that do)
  24.  
  25. You'd have to modify all the things that do logins - telnet,
  26. rlogin, tsm.  Some shells try to do this, but this can always be
  27. defeated if you're persistent enough.
  28. You also have to clarify what is meant by a login? cron sessions, eg?
  29. Something which has a real control tty?
  30.  
  31.  
  32. >2.  Is there a small script file or routine that can be run to limit
  33. >    users to only one login session?  We have users that have accounts
  34. >    logging in on two X-stations to allow those who don't have accounts
  35. >    to use the machine.  IBM gave us a cute little script file that
  36. >    doesn't work.
  37.  
  38. It's not clear what he wants. (How can someone without an account use the
  39. machine?) But you could always do this as an authentication method which
  40. would simply look at the utmp file to see if the user is already logged
  41. in, and return failure if so. Every user would have to have this 
  42. authentication method in addition to their normal one. 
  43.  
  44.     (note from curt - secondary auth mechs are already supported in
  45.             aix, so u can already do this)
  46.  
  47. >3.  I would like to write a script file that would compare the /etc/passwd
  48. >    file and the /etc/security/lastlogin file to give me a user's name,
  49. >    account id and the last date logged in.  Is there a program to
  50. >    unscramble the time_last_login in /etc/security/lastlogin?
  51.  
  52. I didn't do the lastlogin stuff, but I thought this was like the 
  53. BSD command which could ask for the last login time of an arbitrary
  54. user. If so, this shouldn't be real hard.
  55.  
  56.  
  57. >4.  Is there a way to match a users id with the IP address they came in on?
  58.  
  59.     You could do this by adding an ioctl to the pty driver.
  60.  
  61.     (note from curt - rlogind already does this doesn't it?  it tells
  62.         you via 'last' or 'who' what machine someone is logged in
  63.         from, rite?)
  64. -- 
  65. --
  66. curt@aixwiz.austin.ibm.com (Curt L. Finch) | AIX NFS/NIS Field Quality 
  67. My views are unrelated to those of IBM     |        Austin, TX
  68.  FICA doesn't help the poor.  It mostly goes to old people with incomes >$40k.
  69.