home *** CD-ROM | disk | FTP | other *** search
/ back2roots/padua / padua.7z / padua / uucp / wUUCP_0.0.29.lha / man / userfile.doc < prev    next >
Encoding:
Text File  |  1994-06-13  |  3.6 KB  |  89 lines
  1.  
  2. NAME
  3.         UULIB:userfile
  4.  
  5. SYNOPSIS
  6.         -
  7.  
  8. DESCRIPTION
  9.         The UULIB:userfile file provides a means of minimize the vul-
  10.         nerability against break-ins, especially if you have an anon
  11.         uucp account.
  12.  
  13.         The magic behind userfile:
  14.  
  15.         The userfile is used for mapping hostnames to login names.
  16.         Only the loginname/hostname pair is used for the purpose of autosys,
  17.         which uses the loginname to check the given password against the
  18.         password file.
  19.  
  20.         Example file follows:
  21.                                       ---8<---
  22.         #   UULIB:userfile
  23.         #
  24.         #    username,system callback pathnames
  25.         #
  26.         ueumelos,eumelos     UUPUB:
  27.         udanix,danubix       UUPUB:
  28.         nuucp,               UUPUB:
  29.         uucp,                UUPUB:
  30.         ,                    UUPUB:
  31.                                       --->8---
  32.  
  33.         uucico utilizes this file automagically if it exists by taking
  34.         the local variable $USER to find an entry in the userfile. If
  35.         a matching username is found, it's corresponding system parameter
  36.         is checked against the hostname with which the calling system
  37.         identifies itself. Sound a little bit wierd, eh? ;) Ok, let's try
  38.         to build an example:
  39.  
  40.         Let's assume that the some machine logged in as `udanix' with the
  41.         propper password; this is checked by getty which then starts the
  42.         appropriate command (uucico in our case).
  43.  
  44.         (Note that your getty MUST set the local variable $USER to `udanix'
  45.         to make the following work!)
  46.  
  47.         Our uucico now says "I'm here, my name is my_name, who are you?".
  48.         The calling cico answers with "I'm danubix ...", and here's where
  49.         the userfile stuff hits the scene:
  50.  
  51.         uucico now compares the system part of udanix' userfile entry
  52.         ("udanix,danubix UUPUB:") with the name the remote uucico has given
  53.         ours. In the example above, userfile's `danubix' matches uucicos
  54.         `danubix', everthing is fine, access as system `danubix' is granted
  55.         (with all access restrictions).
  56.  
  57.         Now let's assume you do have an open uucp account (anonymous uucp,
  58.         usually with login uucp and password uucp) and you DON'T have the
  59.         usefile ability. In this case, anyone could log in with the publi-
  60.         cally know login and password and start a uucico. BUT, being con-
  61.         nected now, that remote uucico could tell our uucico "I'm danubix"
  62.         even if this isn't true. Well, at least up to AmigaUUCP 1.16, our
  63.         uucico would accept this and gladly transmit ANY data queued for
  64.         danubix to that intruder!
  65.         Well, fortunately, wUUCP offers this userfile check, finds out that
  66.         the system `danubix' does use the login `udanix'áinstead of `uucp'
  67.         and hence drops the connection immediately (telling the remote cico
  68.         that it used the wrong login name).
  69.  
  70. BUGS
  71.         This has been tested quite far, but I DO NOT guarantee that this
  72.         mechanism does prevent any attacks. You have been warned ;)
  73.         At least, it's much better than the old way without any checks.
  74.  
  75.         The pathnames filed must be non empty but is not really used by now;
  76.         it might replace the uulib:Security file(s) in the future. Comments
  77.         appreciated!
  78.  
  79. ACKNOWLEDGEMENTS
  80.         Got Initial code from Martin Brenner <martin@deepth.tue.sub.org>.
  81.         Thanks, Martin!
  82.  
  83. AUTHOR
  84.         Martin Brenner <martin@deepth.tue.sub.org>.
  85.         Adopted for wUUCP by Kai 'wusel' Siering <wusel@hactar.hanse.de>.
  86.  
  87. REFERENCES
  88.         uucico, getty, uulib:security
  89.