home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / hp / 13159 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  1.6 KB
  1. From: franks@hpuamsa.neth.hp.com (Frank Slootweg CRC)
  2. Date: Thu, 19 Nov 1992 14:39:48 GMT
  3. Subject: Re: root access to nfs filesystems
  4. Message-ID: <28510360@hpuamsa.neth.hp.com>
  5. Organization: Hewlett-Packard, The Netherlands
  6. Path: sparky!uunet!cs.utexas.edu!sdd.hp.com!hpscit.sc.hp.com!scd.hp.com!hpscdm!hplextra!hpcc05!hpbbn!hpuamsa!franks
  7. Newsgroups: comp.sys.hp
  8. References: <1992Nov16.234717.18547@nosc.mil>
  9. Lines: 24
  10.  
  11. b_kondalski@vssi.trw.com (Brian J. Kondalski) writes:
  12.  
  13. >In article <1992Nov17.170956.29695@lmpsbbs.comm.mot.com> bennett@areaplg2.corp.mot.com writes:
  14. >>That will be supported as of 9.0. Currently you can do it by modifying the
  15. >>kernal, However, this is a security hole because it maps all pcnfs users to root.
  16. >
  17. >My pcnfs users have a userid when they mount via nfs from my 750.  If they
  18. >don't have permission to modify a file, then they can't.  And I have patched
  19. >my kernel to allow root export.  Where does this security hole come in?
  20.  
  21. 1. Probably your pcnfs users can modify all/most files on "their" PC. If
  22.    so then they can become pseudo-root on their PC and hence real root
  23.    on your NFS server(s).
  24.  
  25. 2. Even if 1 is unlikely/impossible then Mr. Hacker comes along with
  26.    *his* laptop (palmtop? :-)) connects it to your LAN and has full root
  27.    access to your NFS server(s).
  28.  
  29.   In many/most cases root access via NFS is not needed, i.e.  ARPA/
  30. Berkeley services (including fbackup, rdump, etc.) can often be used as
  31. an alternative. If you really need such access, then you'd better wait
  32. till 9.0 for the reasons given above.
  33.  
  34. Frank Slootweg, HP, Dutch Customer Response Center
  35.