home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / unix / sysv386 / 13967 < prev    next >
Encoding:
Internet Message Format  |  1992-09-02  |  2.5 KB
  1. Path: sparky!uunet!wupost!tulane!mgse!marks
  2. From: marks@mgse.UUCP (Mark Seiffert)
  3. Newsgroups: comp.unix.sysv386
  4. Subject: Re: SUMMARY: Re: Questions about MAS90 from SOA
  5. Message-ID: <1498@mgse.UUCP>
  6. Date: 3 Sep 92 04:14:27 GMT
  7. References: <Bt7stA.1o3@mudos.ann-arbor.mi.us> <BtKDCp.4tC@mudos.ann-arbor.mi.us> <1992Aug27.120658.6327@crd.ge.com>
  8. Organization: mgse
  9. Lines: 46
  10.  
  11. In article <1992Aug27.120658.6327@crd.ge.com> davidsen@crd.ge.com (bill davidsen) writes:
  12. |In article <BtKDCp.4tC@mudos.ann-arbor.mi.us>, mju@mudos.ann-arbor.mi.us (Marc Unangst) writes:
  13. |
  14. || think I've finally gotten it to the point where it's usable.  There is
  15. || one problem that I'm still having, though -- because the bbx2
  16. || interpreter does not work properly if run SUID or SGID, I have had to
  17. || make the database directories and files writable by the people who are
  18. || going to be running MAS90.  This is a large security hole, IMHO --
  19. || this means that the people using MAS90 can remove the databases or
  20. || modify them without going through MAS90, either with a binary-file
  21. || editor or by directly typing commands into BBx.  It also means that
  22. || instead of just having to secure a "mas90" account or the root
  23. || account, I must make sure that all of the MAS90 users' accounts are
  24. || secure.
  25. |
  26. |  I included this in my response to you, perhaps you missed it:
  27. |
  28. |Have people login as themselves then do a "su - mas90" to access the
  29. |database. That way only the mas90 account has to be able to get at the
  30. |data, and you can use the mas90 program itself as the login shell, or
  31. |use a secure login shell which can start mas90. That seems to eliminate
  32. |most of the problems you mentioned.
  33. |
  34. |You could also use a command sutuid root which does a seteuid() and then
  35. |starts mas90, I bet that will work, too.
  36.  
  37. The problem is not with MAS90, (or Open Systems), but with the Business
  38. Basic interpreter, or maybe it is Unix. The program bbx2 SHOULD NOT be
  39. suid to root, but bbx2run is. bbx2run sets umask as high as possible, 
  40. and then sets the user id the the real user id. All of the MAS90 systems
  41. I deal with (with a developer) are low security and we chmod the data files
  42. to 666, the programs to 644 and typically exec /usr/bin/mas90. 
  43.  
  44. Mark Seiffert
  45.  
  46. |
  47. |-- 
  48. |bill davidsen, GE Corp. R&D Center; Box 8; Schenectady NY 12345
  49. |    I admit that when I was in school I wrote COBOL. But I didn't compile.
  50.  
  51.  
  52. -- 
  53. Mark Seiffert,  Metairie, LA.
  54. uucp:           rex.cs.tulane.edu!mgse!marks or rex!mgse!marks
  55. bitnet:         marks%mgse@REX.CS.TULANE.EDU
  56. internet:       marks%mgse@rex.cs.tulane.edu or marks@mgse.UUCP
  57.