home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / protocol / kerberos / 674 < prev    next >
Encoding:
Text File  |  1992-09-07  |  2.8 KB  |  74 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!ocsg.COM!glenz
  3. From: glenz@ocsg.COM (Glen Zorn)
  4. Subject: Re:  my previous question refined
  5. Message-ID: <9209050024.AA03571@ocsg.COM>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. Date: Sat, 5 Sep 1992 00:24:12 GMT
  9. Lines: 63
  10.  
  11. In article <9209042231.AA21478@ocfmail.ocf.llnl.gov>, nessett@ocfmail.ocf.llnl.gov (Danny Nessett) writes:
  12.  
  13.     Several responders suggest using a root password held by Kerberos to
  14.     gain root privileges. This means passing your root password to
  15.     the remote machine. To protect it, you probably want to logon 
  16.     originally
  17.     by executing "rlogin -x". Of course, this means either knowing ahead of
  18.     time you want to change to root, or (more likely) always executing     
  19.     "rlogin -x".
  20.     The only question remaining for this option is whether ksu allows you
  21.     to login directly as another user 
  22.  
  23. It does.
  24.  
  25.  
  26.     or whether you have to become root
  27.     and then use su to do that. Of course, this option doesn't help if you
  28.     Telnet to the machine.
  29.  
  30. Try the new, improved telnet, with Kerberos authentication *and* DES 
  31. encryption! ;-)
  32.  
  33.  
  34.     Asokan says that Waterloo has something called kesc, that *protects*
  35. *emphasis mine*
  36.     the root password as it travels to the remote machine. 
  37.  
  38. Personally, I'm not sure I'd want the root password floating about on the net,
  39. "protected" or not.  Passwords are relatively long-lived items -- a wiley 
  40. cracker would have something akin to forever to break the encryption, if the transmission was captured.  That said, kesc does sound interesting. I'd like to 
  41. take a look at it myself.
  42.  
  43.  
  44.     Finally, Jeff Schiller suggests having two identities within a Kerberos
  45.     Realm, one for ordinary work and one for root work. When you want to
  46.     do root work, you logoff the remote machine, su to root (which gets 
  47.     root
  48.     access tickets) and then logon to the remote machine. I'm not sure, but
  49.     I think this means that a user with root privilege has those privileges
  50.     on all machines.
  51.  
  52. I'm not sure, but I suspect that Jeff is suggesting the use of a root instance.
  53. If that is the case, then only those machines on which you have a root instance
  54. (i.e., nessett.root@ocfmail.ocf.llnl.gov) listed in /.klogin would allow you to rlogin as root.  By the bye, if you used ksu on the local host, you wouldn't
  55. need to kinit as root, since ksu gets an rcmd ticket itself as a safeguard.
  56.  
  57.  
  58.     Of all these suggestions, it seems like ksu is the most workable except
  59.     for the problem of passing your root password in the clear. If kesc
  60.     works with Telnet, maybe even that problem is solved (again assuming
  61.     ksu allows you to change directly to another user).
  62.  
  63. Actually, I think Jeff's suggestion is by far the most secure, though a bit
  64. cumbersome.
  65.  
  66. ~ Glen
  67.  
  68.  
  69. Glen Zorn       Network Security Analyst
  70. glenz@OCSG.COM  Open Computing Security Group
  71.  
  72.  
  73.  
  74.