home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Internet Tools 1993 July / Internet Tools.iso / RockRidge / security / cops / cops_104 / perl / passwd.chk < prev    next >
Encoding:
Text File  |  1992-03-10  |  4.7 KB  |  134 lines
  1. #!/bin/sh -- need to mention perl here to avoid recursion
  2. 'true' || eval 'exec perl -S $0 $argv:q';
  3. eval '(exit $?0)' && eval 'exec perl -S $0 ${1+"$@"}'
  4. & eval 'exec /usr/local/bin/perl -S $0 $argv:q'
  5.         if 0;
  6.  
  7. #
  8. #   passwd.chk
  9. #
  10. # composer@chem.bu.edu
  11. #
  12. # Check password file -- /etc/passwd -- for incorrect number of fields,
  13. # duplicate uid's, non-alphanumeric uids, and non-numeric group id's.
  15. # Mechanism:  This script ensures that each line of the passwd file (in
  16. # $etc, line 47) has 7 fields and is non-blank, as well as examining the
  17. # file for any duplicate users.  It then checks to ensure that the first
  18. # character of the login name is alphanumeric, and that all uid and gid
  19. # numbers are indeed numeric and non-negative.  It also checks the
  20. # validity of the home directory.
  22. # For yellow pages passwords, it does the same checking, but in order to
  23. # get a listing of all members of the password file, it does a "ypcat
  24. # passwd" and uses the output from that as a passwd file.
  26. # The /etc/passwd file has a very specific format, making the task fairly
  27. # simple.  Normally it has lines with 7 fields, each field separated by a
  28. # colon (:).  The first field is the user id, the second field is the
  29. # encrypted password (an asterix (*) means the group has no password,
  30. # otherwise the first two characters are the salt), the third field is the
  31. # user id number, the fourth field is the group id number, the fifth field
  32. # is the GECOS field (basically holds miscellaneous information, varying
  33. # from site to site), the sixth field is the home directory of the user,
  34. # and lastly the seventh field is the login shell of the user.  No blank
  35. # lines should be present.  Uid's will be flagged if over 8 chars, unless
  36. # the $OVER_8 variable (line 45) is set to "YES".
  38. # If a line begins with a plus sign (+), it is a yellow pages entry.  See
  39. # passwd(5) for more information, if this applies to your site.
  41.  
  42. require 'pathconf.pl';
  43. require 'pass.cache.pl';
  44.  
  45. package passwd_chk;
  46.  
  47. #   Used for Sun C2 security group file. 'FALSE' (default) will flag
  48. # valid C2 passwd syntax as an error, 'TRUE' attempts to validate it.
  49. # Thanks to Pete Troxell for pointing this out.
  50. $C2='FALSE' if ! defined($C2);
  51.  
  52. #  Some systems allow long uids; set this to 'TRUE', if so (thanks
  53. # to Pete Shipley (lot of petes around here, eh?)):
  54. $OVER_8='NO' if ! defined($OVER_8);
  55.  
  56. #
  57. # Important files:
  58. $etc_passwd = $'PASSWD || '/etc/passwd';
  59.  
  60. #   Check $etc_passwd for potential problems, or use the alternate method
  61. # set in cops.cf:
  62. if (!"$'GET_PASSWD") {
  63.     open(Passwd, $etc_passwd) ||
  64.         warn "$0: Can't open $etc_passwd: $!\n";
  65.     }
  66. else {
  67.     open(Passwd, "$'GET_PASSWD|") ||
  68.         warn "$0: Can't open $etc_passwd: $!\n";
  69.     }
  70. &chk_passwd_file_format('Passwd');
  71. close Passwd;
  72.  
  73. # check ypcat passwd for potential problems... (same checks)
  74. if (-s $'YPCAT && -x _) {
  75.     open(YPasswd, "$'YPCAT passwd 2>/dev/null |")
  76.     || die "$0: Can't popen $'YPCAT: $!\n";
  77.     &chk_passwd_file_format('YPasswd');
  78.     close YPasswd;
  79. }
  80.   
  81. sub chk_passwd_file_format {
  82.     local($file) = @_;
  83.     local($W) = "Warning!  $file file,";
  84.     undef %users;
  85.   
  86.     while (<$file>) {
  87.     # should really check for correct YP syntax
  88.     next if /^[-+]/;    # skipping YP lines for now
  89.  
  90.     print "$W line $., is blank\n", next if /^\s*$/;
  91.  
  92.     # make code a little more readable .. use names.. 
  93.     ($user,$pass,$uid,$gid,$gcos,$home,$shell) = split(?:?);
  94.     $users{$user}++;    # keep track of dups
  95.     print "$W line $., does not have 7 fields:\n\t$_" if (@_ != 7);
  96.     print "$W line $., nonalphanumeric username:\n\t$_"
  97.         if $user !~ /^[_A-Za-z0-9-]+$/;
  98.     print "$W line $., numeric username:\n\t$_"
  99.         if $user =~ /^\d+$/;
  100.     print "$W line $., login name > 8 characters:\n\t$_"
  101.         if ( ! $OVER_8 && length($user) > 8);
  102.     print "$W line $., no password:\n\t$_" unless $pass;
  103.     print "$W line $., invalid password field for C2:\n\t$_"
  104.         if ($C2 && $pass =~ /^##/ && "##$user" ne $pass);
  105.     if ($uid !~ /^\d+$/) {
  106.         if ($uid < 0) {
  107.         print "$W line $., negative user id (uid):\n\t$_";
  108.         } else {
  109.         print "$W line $., nonnumeric user id (uid):\n\t$_";
  110.         }
  111.     }
  112.     # what about checks for certain ranges of UIDs .. -composer
  113.     print "$W line $., user $user has uid == 0 and is not root\n\t$_"
  114.         if $uid == 0 && $user ne "root";
  115.     print "$W line $., nonnumeric group id (gid):\n\t$_"
  116.         unless $gid =~ /^\d+$/;
  117.     print "$W line $., invalid home directory:\n\t$_"
  118.         unless $home =~ m:^/:;
  119.  
  120.     }
  121.     # find duplicate usernames
  122.     # not the best way, but it works ...
  123.     $dup_warned = 0;
  124.     for (sort keys %users) {
  125.     (print "Warning!  Duplicate username(s) found in $file:\n"),
  126.         $dup_warned++ if !$dup_warned && $users{$_} > 1;
  127.     print "$_ " if $users{$_} > 1;
  128.     }
  129.     print "\n" if $dup_warned;
  130. }
  131.   
  132. 1;
  133. # end of passwd.chk file
  134.