home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud3 / cud333i.txt < prev    next >
Text File  |  1992-10-10  |  3KB  |  58 lines
  1. ------------------------------
  2.  
  3. Date: Tue, 27 Aug 91 17:36:25 EST
  4. From: Gene Spafford <spaf@CS.PURDUE.EDU>
  5. Subject: File 9--Spaf's Response to Reviews of _Unix Security_
  6.  
  7. Just a couple of quick comments on some of the points made in the
  8. reviews of "Practical Unix Security" in Volume #3.30.
  9.  
  10. Jim Thomas noted that we were brief in our explication of the laws
  11. concerning computer intrusion.  That was intended -- rather than giving
  12. inexpert legal advice, we would prefer that the readers discover the
  13. finer points through consultation with trained legal counsel.  Although
  14. we got advice from some experts in the area, we didn't feel up to a
  15. formal treatment of the legal aspects related to security; we made
  16. reference to other appropriate references in the appendix, and felt it
  17. best left at that.  Legal action is a serious step that should not be
  18. undertaken solely on the basis of our treatment in the book!
  19.  
  20. Neil Rickert commented in his review about our recommendation not to
  21. make the mail command the login shell on an account.  He states that
  22. the user would get the login shell using the shell escape (viz., doing
  23. a ~ will result in a new invocation of mail), and this is not as clear
  24. a problem.
  25.  
  26. On at least one system I have used, doing a "~!/bin/sh" has given me a
  27. shell no matter what the login shell was.  On some systems, escaping
  28. into the editor with "~e" then allows the user to call up a shell.  On
  29. some versions (including SunOS), doing a "~:set SHELL=/bin/sh" lets me
  30. bypass the current idea of login shell. Rather than give all the
  31. what-ifs, we decided to recommend against the practice -- it is a major
  32. accountability hole, too.
  33.  
  34. Neil caught an error with the statement about "su" -- we were both
  35. thinking "suid" when we proofread it, and it slipped by.  Mea culpa.
  36.  
  37. As for us making sound Unix scarier that it is, well, some versions of
  38. Unix are pretty scary!  We tried to keep the paranoia from overcoming
  39. us, but after 500 pages of describing potential problems in all the
  40. myriad forms of Unix, it became a losing battle. Then too, to get in
  41. the proper frame of mind to do serious security work, one needs a touch
  42. of paranoia.
  43.  
  44. That's probably one of the key concepts that we must not have stressed
  45. enough later in the book -- not every system is vulnerable to every
  46. problem we described.  Some systems have been tightened up, and others
  47. are like Swiss cheese.
  48.  
  49. Simson and I are grateful for any other comments people care to make,
  50. here or in mail.
  51.  
  52. ------------------------------
  53.  
  54. End of Computer Underground Digest #3.33
  55. ************************************
  56.  
  57. Downloaded From P-80 International Information Systems 304-744-2253
  58.