home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 920314-01 < prev    next >
Encoding:
Text File  |  1992-03-20  |  6.7 KB  |  147 lines
  1. Newsgroups: comp.sys.sun.admin,news.sysadmin,news.admin,comp.unix.admin
  2. From: harker@harker.com (Robert Harker)
  3. Subject: Setting up security on a Sun workstation
  4. Message-ID: <1992Mar14.004545.8052@harker.com>
  5. Keywords: security sun shadow passwd cops 4.1.2
  6. Organization: Harker Systems, 1180 Hester Ave, San Jose, CA 95126
  7. Date: Sat, 14 Mar 1992 00:45:45 GMT
  8.  
  9.  
  10. The following suggestions are the recommendations I make in terms of
  11. setting up "reasonable" security on a network of sun machines, either a
  12. corporate private network or on an Internet connected network
  13. Many of the suggestions are taken from previous postings and things I have
  14. read; thanks in advance to those authors.  What I have tried to do is
  15. collect many of the security patches or suggestions that I have seen in to a
  16. single document.  If you have other suggestions or see any mistakes, please
  17. send them to me.
  18.  
  19. I am making the assumption that the site wants to run NIS, but may be working
  20. with the Domain Name Service.  If you have security related reasons not to run
  21. NIS I would like to hear them (I do not want to hear pro-DNS arguments)  If
  22. there are additional precautions I should be taking because I run NIS, please
  23. send me mail.
  24.  
  25. Thanks in advance
  26. RLH
  27.  
  28. Robert Harker        3/13/92
  29. Sun System Administration and Networking Consulting
  30. harker@harker.com
  31.  
  32. The steps I recommend are:
  33.  
  34. Upgrade all of Sun servers and workstations to SunOS 4.1.2.
  35. SunOS 4.1.2 is a maintenance release which fixes many bugs (over 600)
  36.     Many of the bugs are security related.
  37. The following security patches are still needed for SunOS 4.1.2:
  38.     Patch 100103-10 (file permissions)
  39.     Patch 100296-02 (too-long exports lines)
  40.     Patch 100383-03 (rdist)
  41.     Patch 100448 (for OW3.0)
  42.  
  43. Fix miscellaneous security problems
  44. Comment out the sync account's password by placing a * in the password field
  45. Set the correct umask for root and the daemons by putting a umask 022 command
  46.     in /etc/rc after the PATH= and HOME= lines
  47. In the /etc/rc.local file change the permission that /etc/motd gets set to
  48.     by changing the line: "chmod 666 /etc/motd" to "chmod 644 /etc/motd"
  49. Use NIS netgroups in the /etc/passwd, /etc/exports, and /etc/hosts.equiv files
  50.  
  51. Improve password security
  52. UNIX password security is the first and most powerful line of defense
  53. Password security on Sun machines can be improved by the follow:
  54. Move the NIS master text files to a secure directory
  55.     Make /var/yp/src, chown root, and chmod 700
  56.     Change value of DIR= in /var/yp/Makefile to DIR=/var/yp/src
  57.     Copy the master text files to /var/yp/src
  58.     Setup passwd and group as NIS client files, remove /etc/netgroup
  59. Implement shadow password and group files
  60.     Instructions for implement shadow passwords is available via FTP from
  61.         blacks.jpl.nasa.gov in pub/shadow
  62.     A Sun C2 patch may still be required to make yppasswd work correctly
  63. Use the npasswd utility which check new passwords for poor choices
  64.     A version of npasswd which has been modified to support C2 and NIS
  65.     better is available via FTP from blacks.jpl.nasa.gov in pub/security
  66. Run a password cracking program such as crack to check for poor passwords
  67.     crack is available via FTP from blacks.jpl.nasa.gov in pub/crack
  68.  
  69. Restrict Access to the Encrypted Password Information
  70. Another way to improve password security is to restrict who has access to
  71.     the encrypted password information.
  72. If a cracker can get your /etc/passwd information with the encrypted password,
  73.     the (s)he can use a password cracking program on a remote (powerful)
  74.     host to test guessed passwords against each password entry
  75. Shadow password and group files protect the encrypted password information
  76. Use a patched version of ypserv which restricts which NIS clients can bind
  77.     to the NIS domain and extract information
  78.     Alain Brossard's patched ypserv is available via FTP from
  79.         ltisun.epfl.ch in pub/nis.patch.no.libc-01.tar.Z
  80.  
  81. Run a security auditing tool
  82. The COPS program is a very good tool for checking your system security.
  83. It checks the basic security permissions and ownerships on a system.
  84. When you install it, spend the time to correct the security problems it finds
  85. You want the normal output of cops to be clean or as short as possible.
  86. Have COPS run weekly or daily and have the results monitored by
  87.     a specific person
  88. COPS is available vi anonymous FTP from cert.sei.cmu.edu
  89.  
  90. Protect Superuser Access
  91. Do not allow direct root logins
  92. Only terminals marked as secure in the /etc/ttytab file will any user with
  93.     UID = 0 be allowed to login directly
  94. All other terminals the user will need to login as a normal user and then su
  95.     to root
  96. Marking terminals as unsecure is a good idea, although not necessary
  97.     /etc/ttytab:
  98.     # name    getty                type    status    
  99.     console "/usr/etc/getty std.9600"    sun    on    local    unsecure
  100.     ttya    "/usr/etc/getty std.9600"    vt100    off    local    unsecure
  101.     ttyd0   "/usr/etc/getty std.19200"    dialup    on        unsecure
  102.     tty00   "/usr/etc/getty std.9600"    unknown    off    local    unsecure
  103.     ttyp0    none            network    off        unsecure
  104.  
  105. Limit the users who are allowed to su to root
  106. If in the /etc/group file or NIS map the wheel group (group 0) is not a null
  107.     user list, only the members listed are allowed to su to root, all other
  108.     users will be denied, even when they enter the correct root password
  109.  
  110. Log and monitor su activity
  111. su information can be logged in a separate file by editing /etc/syslog.conf
  112.     /etc/syslog.conf:
  113.     # To log all un-successful, su failed, and root logins to a local file
  114.     auth.notice                /var/log/authlog
  115.     # To send only su failed, and root logins to the loghost machine
  116.     auth.warning        ifdef(`LOGHOST', /var/log/authlog, @loghost)
  117. On a regular basis monitor the su log by looking at the file, or having it
  118.     mailed to you
  119.  
  120. On hosts connected to the Internet you might want to use the following:
  121. tcp_wrapper (tcpw) which logs all network requests to specific
  122.     well known services
  123. tcp_wrapper is is available vi anonymous FTP from cert.sei.cmu.edu
  124.  
  125. There is a improved FTP daemon which has logging and many other features which
  126.     should be installed if you are going to have an anonymous FTP archive
  127.     machine
  128. This version of FTP is available vi
  129.     anonymous FTP from wuarchive.wustl.edu in /packages/ftpd.wuarchive.shar
  130.  
  131. William LeFebvre has developed an package, securelib, which allows an access
  132.     control list to be created for socket bind requests from remote hosts.
  133. securelib has libc replacements for the socket functions accept, recvfrom, and
  134.     recvmsg which are installed in your libc.so shared library.
  135. securelib: securing network services under SunOS  from eecs.nwu.edu" in
  136.     "pub/securelib.tar"
  137. This package is still in Beta test, so only use if if you really need to
  138.  
  139.  
  140. Robert Harker                3/13/92
  141. Harker Systems                Sun Sysadmin Consulting
  142. harker@harker.com            1180 Hester Ave
  143. apple!motcsd!harker!harker        San Jose, CA 95126
  144. uunet!harker!harker            408-295-9432
  145.  
  146.  
  147.