home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1678 < prev    next >
Encoding:
Internet Message Format  |  1992-11-08  |  2.1 KB
  1. Path: sparky!uunet!usc!cs.utexas.edu!chinacat!rpp386!jfh
  2. From: jfh@rpp386.lonestar.org (John F. Haugh II)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: GNU su doesn't restrict root access? Why?
  5. Message-ID: <21839@rpp386.lonestar.org>
  6. Date: 7 Nov 92 15:37:30 GMT
  7. References: <21805@rpp386.lonestar.org> <720912396snx@nemesys.demon.co.uk>
  8. Reply-To: jfh@rpp386.cactus.org (John F. Haugh II)
  9. Organization: Los Tejanos SCUBA Club and Beer Joint, Austin, Tejas
  10. Lines: 28
  11.  
  12. In article <720912396snx@nemesys.demon.co.uk> gvm@nemesys.demon.co.uk (Granville Moore) writes:
  13. >I'm not sure what you mean by a non-distributed system, here.  Assuming
  14. >you mean "distributed", then if it uses NIS, or similar, then only
  15. >the encrypted passwords are copied to the other systems, so each one
  16. >will have exactly the same salt as it had before, and there is no
  17. >change in vulnerabilty (from this point of view, anyway).  If the
  18. >systems don't use NIS, then the password lists are independent, and
  19. >your cracker has a list of 20 to work with, rather than 10.  He/she
  20. >therefore naturally has a better chance of getting 2 salts which
  21. >coincide.  It still doesn't help a lot, though - about a 1 in 20
  22. >chance of getting 2 the same, and 18 different.  The chances of 3
  23. >the same will be about 1 in 4000ish.
  24.  
  25. By "non-distributed" I mean schemes by which the password file isn't
  26. shared by all systems through a central "distributed" database.  This
  27. could be Andrew or NIS or ...  Each /etc/passwd is maintained on its
  28. own.  Updating your password means going to <N> different machines
  29. and saying "passwd".
  30.  
  31. In this situation if you have 2 machines with 10 users all sharing
  32. root but with different account names, yes, the odds are not much
  33. better.  But make that 10 or 20 machines and suddenly the odds get
  34. to swing in favor of the cracker.  With 20 machines and only 1 user,
  35. it doesn't matter - even if two of them have the same salt, you still
  36. have to find out which SINGLE password it is.
  37. -- 
  38. John F. Haugh II                  [  TSAKC  ] !'s: ...!cs.utexas.edu!rpp386!jfh
  39. Ma Bell: (512) 251-2151           [ DoF #17 ]        @'s: jfh@rpp386.cactus.org
  40.