home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / unix / sysv386 / 13968 < prev    next >
Encoding:
Internet Message Format  |  1992-09-02  |  4.6 KB
  1. Path: sparky!uunet!wupost!tulane!mgse!marks
  2. From: marks@mgse.UUCP (Mark Seiffert)
  3. Newsgroups: comp.unix.sysv386
  4. Subject: Re: SUMMARY: Re: Questions about MAS90 from SOA
  5. Message-ID: <1499@mgse.UUCP>
  6. Date: 3 Sep 92 04:30:44 GMT
  7. References: <BtKDCp.4tC@mudos.ann-arbor.mi.us> <1992Aug27.120658.6327@crd.ge.com> <BtoEtB.JLL@mudos.ann-arbor.mi.us>
  8. Organization: mgse
  9. Lines: 86
  10.  
  11. In article <BtoEtB.JLL@mudos.ann-arbor.mi.us> mju@mudos.ann-arbor.mi.us (Marc Unangst) writes:
  12. |In article <1992Aug27.120658.6327@crd.ge.com> davidsen@crd.ge.com (bill davidsen) writes:
  13. |>  I included this in my response to you, perhaps you missed it:
  14. |
  15. |No, I didn't miss it.  And I appreciate the suggestion.  However, I
  16. |evaluated it and found it unsuitable for what I'm trying to do.
  17. |
  18. |>Have people login as themselves then do a "su - mas90" to access the
  19. |>database. That way only the mas90 account has to be able to get at the
  20. |>data, and you can use the mas90 program itself as the login shell, or
  21. |>use a secure login shell which can start mas90. That seems to eliminate
  22. |>most of the problems you mentioned.
  23. |
  24. |It may eliminate the problems I mentioned, but it creates a host of
  25. |new ones.  First and foremost is the password for the "mas90" account.
  26. |If I set things up so that there is a password for mas90, then the
  27. |users now have to remember THREE passwords: the password for their own
  28. |account, the mas90 password, and the password for their MAS90 user-id.
  29. |I have enough trouble getting people to remember the first password
  30. |and the last without writing them down, and you want me to add a third
  31. |password?  But if I don't have a password, I open up a big security
  32. |hole.  Yes, it's about the same as allowing people to run MAS90
  33. |directly as themselves, except that now they have access to the MAS90
  34. |program files and such without a password, instead of just the data
  35. |files.  What if they convince MAS90 to let them spawn a shell, or edit
  36. |a file?
  37.  
  38. What is wrong with allowing MAS90 to be ran by the users directly.  I
  39. thought mas90 shipped with /bin/soa to run MAS90 and MAS90 is capable of 
  40. providing it's own security, they may be able to use their own passwords
  41. if they are short enough. 
  42.  
  43. The problem with spawning a shell is valid, maybe you can run MAS90 from
  44. rsh instead of sh or use chroot if you are that worried about users getting
  45. shells, but if you are that worried about users getting a shell and removing
  46. files, you may want to reconsider letting them into the computer at all.
  47.  
  48. |
  49. |>You could also use a command sutuid root which does a seteuid() and then
  50. |>starts mas90, I bet that will work, too.
  51. |
  52. |I tried that, as well as making bbx2 SUID mas90.  Unfortunately, MAS90
  53. |was not written to be SUID, so it does not handle things like real
  54. |vs. effective user-id when checking permissions.
  55.  
  56. But bbx2run does. It sets umask as high as it can and then sets the user
  57. id to the real user id and then execs bbx2.
  58.  
  59. |
  60. |The basic problem seems to be that MAS90 was coded without regard to
  61. |use in a networked environment, or use on a machine that is also used
  62. |for other applications and by non-MAS90 users.  MAS90 works without a
  63. |hitch, I'm sure, if that's the only thing you're running on the
  64. |machine and everyone has a hardwired serial connection with a Wyse-60
  65. |emulator or something.
  66.  
  67. The bbx interpreter does not work well in networks from what I have heard,
  68. especially across NFS because it is unable to get file locks. I have not
  69. played with mas90 across a network, but a co-worker has using coconet.
  70. MAS90, or rather bbx, is able to co-exist with the lp spooler system, and
  71. with word perfect and it's printer requirements. I works with Progress,
  72. Lotus, Foxbase, SCO Pro and other programs running at the same time. You
  73. may want to get on compuserve and checkout the BASIS forum, you seem to 
  74. have problems and questions regarding bbx rather than MAS90. Play with
  75. the MAS90 security and when setting up printers to talk directly to
  76. the printer port, make sure that you use lock files in config.bbx (a bbx
  77. function, not mas90) and make sure that you add the lock files to the
  78. printer interfaces. The company I work for does program development
  79. and has installations on PC-DOS, Novell, SCO Xenix/Unix, BULL BOS,
  80. Sperry 5000's, RS/6000s and even a pair of HPs (320 & 350?) with NFS.
  81.  
  82.  
  83. Mark Seiffert
  84.  
  85. |
  86. |-- 
  87. |Marc Unangst                | Real men don't make backups.  Real men never
  88. |mju@mudos.ann-arbor.mi.us   | accidentally delete files that they're going
  89. |                            | to need later.
  90.  
  91.  
  92. -- 
  93. Mark Seiffert,  Metairie, LA.
  94. uucp:           rex.cs.tulane.edu!mgse!marks or rex!mgse!marks
  95. bitnet:         marks%mgse@REX.CS.TULANE.EDU
  96. internet:       marks%mgse@rex.cs.tulane.edu or marks@mgse.UUCP
  97.