home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 910822-02 < prev    next >
Encoding:
Internet Message Format  |  1991-09-11  |  2.9 KB
  1. From: henk@cs.vu.nl (Henk Smit)
  2. Newsgroups: alt.security
  3. Subject: Netgroup troubles (was: Re: Unresponsiveness of .....)
  4. Message-ID: <10728@star.cs.vu.nl>
  5. Date: 22 Aug 91 22:28:23 GMT
  6. References: <1991Aug21.151548.11339@nntp.hut.fi> <scs.682808164@wotan.iti.org>
  7.  
  8. scs@iti.org (Steve Simmons) writes:
  9.  
  10. >.........  We also supplied a fix that would let yp-based systems
  11. >still have interoperation within their domains, but close off
  12. >systems outside that domain.  It's easy -- create a netgroup
  13. >consisting of all hosts in the domain (it's a one-liner -- something
  14. >like 
  15. >  localdomain (,,`domainname`)
  16. >and then put
  17. >  +@localdomain
  18. >into the hosts.equiv file.  I dunno how this would react with the
  19. >DNS stuff, but it was pretty good as of '86.
  20.  
  21.  
  22.  From the manpage for netgroup(5) in SunOS4.1.1:
  23.  
  24.  
  25. NETGROUP(5)               FILE FORMATS                NETGROUP(5)
  26.      ........
  27.      The domainname field must either be the local domain name or
  28.      empty  for  the  netgroup entry to be used.  This field does
  29.      not limit the netgroup or provide security.  The  domainname
  30.      field refers to the domain in which the triple is valid, not
  31.      the domain containing the trusted host.
  32.  
  33.      ........
  34. WARNINGS
  35.      The  triple,  (,,domain),  allows  all  users  and  machines
  36.      trusted access, and has the same effect as the triple, (,,).
  37.  
  38.      To correctly restrict access to a specific set  of  members,
  39.      use the hostname and username fields of the triple.
  40.  
  41.  
  42.  
  43.   So, obviously your solution does not work (anymore).
  44.  The scary thing is, it used to work in SunOS4.0.3. We found out about the
  45.  change only a couple of weeks after upgrading to SunOS4.1.1. The whole
  46.  Internet was able to mount our filesytems without us knowing, because
  47.  the (,,cs.vu.nl) netgroup in our /etc/exports did not work anymore.
  48.  
  49.   Another problem is that the data field in a dbm entry can only be 1024
  50.  characters long. So if you have a lot of machines, you can't just put
  51.  all your machines in one netgroup. If the line exceeds 1024 characters
  52.  (the blocksize, see dbm(3), BUGS section), something goes wrong. Now your
  53.  netgroup is equivalent with (,,) again !
  54.  
  55.   I have seen some sites which think they protect their filesystems by
  56.  using netgroups, but in fact, their filesystems are world mountable !
  57.  I guess there are much more sites like this then you would expect.
  58.  
  59.  
  60.   The problem in my eyes is not the bad mechanism itself, but the change
  61.  of mechanism (syntax) without proper warning. You think that you have set
  62.  up some security, and then all of a sudden, after an ugrade, your setup
  63.  is worthless without you knowing it.
  64.   Though these (important) changes are in the man pages, I can't recall
  65.  seeing anything about it in the release notes.
  66.  
  67.  
  68.                      Henk.
  69.  
  70. --
  71. Henk Smit                               Vrije Universiteit     Amsterdam
  72. Internet: henk@cs.vu.nl                 Faculteit Informatica  kamer S4.10
  73. Phone:    +31 20 548 6218
  74.  
  75.