home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / security / misc / 1801 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  3.1 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!pacific.mps.ohio-state.edu!linac!uwm.edu!wupost!cs.utexas.edu!sun-barr!male.EBay.Sun.COM!jethro.Corp.Sun.COM!jethro!zen
  2. From: zen@death.corp.sun.com (d)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: anonymous FTP checklist
  5. Date: 19 Nov 92 11:34:33
  6. Organization: savage hackers
  7. Lines: 60
  8. Message-ID: <ZEN.92Nov19113433@death.corp.sun.com>
  9. References: <francis.722155745@monod>
  10. NNTP-Posting-Host: death.corp.sun.com
  11. In-reply-to: francis@monod.Biol.McGill.CA's message of Thu, 19 Nov 1992 06:49:05 GMT
  12.  
  13.  
  14. In article <francis.722155745@monod> francis@monod.Biol.McGill.CA (Francis Ouellette) writes:
  15. >   I have just installed anon ftp on my machine, and I was wonderring if
  16. >   there is a checklist somewhere of things that have to be checked for
  17. >   me to assure myself that everything is OK from a security point of
  18. >   view.
  19.  
  20.   You can try running ftp.chk with the -a flag, which comes with cops
  21. (available via anon-ftp, archive.cis.ohio-state.edu, ~pub/cops.)  The
  22. comment header has some tips on how to set up anon-ftp securely; if
  23. nothing else, you should look at that (I've enclosed it below.)
  24.  
  25.  -- d
  26.  
  27.  
  28. #  Usage: ftp.chk [-a]
  29. #
  30. #   This shell script checks to see if you've set up (mainly anonymous)
  31. # ftp correctly.  The "-a" option forces a check on your anon-ftp setup
  32. # (without the flag, this will look in your /etc/passwd, to see if user
  33. # ftp exists, and proceed onwards anyway) without that, this script 
  34. # doesn't do a whole lot -- just check to see if your ftpusers file 
  35. # doesn't have any root accounts in it.  There seems to be some different
  36. # types of ftp's around; for instance, some allow "chmod" -- and if the home
  37. # dir is owned by "ftp", you're toast.  So I've tried to err on the side of
  38. # safety...
  39. #
  40. #   See the man page for a more detailed description, here's what this
  41. # checks for:
  42. #
  43. # - User ftp exists in the password file.
  44. # - root (or all root equivalents) are in ftpusers file.
  45. # - Home directory for ftp should exist, and not be /
  46. # - The ~ftp/etc/{passwd|group} should not be the same as the real ones.
  47. # - Various critical files/directories should exist, and have correct
  48. #   permissions and owners; variables "$primary" and "$secondary" can be set
  49. # to whomever you want owning the files:
  50. #
  51. #  File/Dir          Perms           Owner      Other
  52. #  =========         ======          ======     ======
  53. #  ~ftp              non-w.w.        root
  54. #           or
  55. #  ~ftp              555             ftp    if no chmod command exists
  56. #
  57. #     All of these are ftp owned iff no chmod exists...
  58. #
  59. #  ~ftp/bin          non-w.w.        root/ftp
  60. #           or
  61. #  ~ftp/bin          non-w. and ftp w. ftp
  62. #  ~ftp/bin/ls       111             root/ftp
  63. #  ~ftp/etc          non-w.w.        root
  64. #           or
  65. #  ~ftp/etc          non-w. & ftp w. ftp
  66. #  ~ftp/etc/passwd   non-w.w.        root/ftp   0 size or nonexistant
  67. #  ~ftp/etc/group    non-w.w.        root/ftp   0 size or nonexistant
  68. #  ~ftp/pub          non-w.w.        root/ftp
  69. #  ~ftp/incoming     world-writable  root/ftp   This can be set to "pub"
  70. #  ~ftp/.rhosts      non-w.w.        root       0 size, is optional
  71. #  ~ftp/*            non-w.w.                   other dirs/files in ~ftp
  72. #
  73.