home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / mail / uucp / 2046 < prev    next >
Encoding:
Internet Message Format  |  1992-11-11  |  2.2 KB
  1. Path: sparky!uunet!airs!ian
  2. From: ian@airs.com (Ian Lance Taylor)
  3. Newsgroups: comp.mail.uucp
  4. Subject: Re: What to do about forgeries?
  5. Message-ID: <5899@airs.com>
  6. Date: 12 Nov 92 01:55:31 GMT
  7. References: <1992Nov11.103240.2922@ms.uky.edu>
  8. Sender: news@airs.com
  9. Distribution: usa
  10. Lines: 41
  11.  
  12. fehr@ms.uky.edu (Jeff Davis) writes:
  13.  
  14. >We have always run a system based upon trust: a single login,
  15. >nuucp, for all of our nodes. Everyone has always behaved and
  16. >no one has pretended to be another node to scarf up another
  17. >node's mail. Now, we find that we are in need of more security
  18. >but simply adding more logins doesn't appear to change anything:
  19. >someone logging in under, say, xuucp still has access to the 
  20. >entire scope of the mail system. Obviously, we don't know
  21. >squat since this seems to be a fairly elemental question, but
  22. >how can we prevent a node from pretending to be another node?
  23. >Or gaining access to mail it shouldn't get? Is it just a question
  24. >of an after-the-fact check of xferstats? That doesn't really
  25. >appear to be quite adequate.
  26.  
  27. I'm going to assume that you are using HDB UUCP, since you mentioned
  28. the xferstats file.
  29.  
  30. You need to set up your Permissions file.  The semantics are somewhat
  31. confusing (at least to me).  The simple way to do it is for each
  32. system that calls in, put a line in Permissions that looks like this:
  33.  
  34. MACHINE=sys LOGNAME=Usys VALIDATE=sys
  35.  
  36. You can then give READ, WRITE, etc. commands if you wish, although the
  37. defaults are probably fine.  See the man page on Permissions for what
  38. you can specify.
  39.  
  40. Use a different LOGNAME for each system.  Enter each LOGNAME in
  41. /etc/passwd with the same uid as nuucp and with a different password
  42. for each one.  Tell the people who call you to start using the new
  43. login name and password, since nuucp will no longer work.
  44.  
  45. Then the data routed for each system is secure (from other remote
  46. systems, not necessarily from local users) so long as nobody else
  47. finds out their password.
  48. -- 
  49. Ian Taylor | ian@airs.com | First to identify quote wins free e-mail message:
  50. ``Things are either isolated units, or they form one inseparable whole.  If
  51.   that whole be God, then all is well; but if aimless chance, at least you
  52.   need not be aimless also.''
  53.