home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / unix / aix / 13677 < prev    next >
Encoding:
Internet Message Format  |  1993-01-24  |  2.6 KB
  1. Path: sparky!uunet!cs.utexas.edu!ut-emx!emx.utexas.edu!hartmans
  2. From: hartmans@npc.ece.utexas.edu (Sam Hartman)
  3. Newsgroups: comp.unix.aix
  4. Subject: Re: Inhibit root login on pty's ?
  5. Message-ID: <HARTMANS.93Jan23215706@npc.ece.utexas.edu>
  6. Date: 24 Jan 93 02:57:06 GMT
  7. References: <HHViXB7w165w@samhh.hanse.de> <C11DsI.1CHn@austin.ibm.com>
  8. Sender: news@ut-emx.uucp
  9. Organization: The University of Texas at Austin
  10. Lines: 54
  11. In-reply-to: konopik@konopik.austin.ibm.com's message of 18 Jan 93 06:24:18 GMT
  12.  
  13.  
  14. >>>>> On 18 Jan 93 06:24:18 GMT, konopik@konopik.austin.ibm.com (Brad Konopik) said:
  15.  
  16. In article <C11DsI.1CHn@austin.ibm.com> konopik@konopik.austin.ibm.com (Brad Konopik) writes:
  17.  
  18. es> In article <HHViXB7w165w@samhh.hanse.de> muehlenw@samhh.hanse.de (Stefan A. Muehlenweg) writes:
  19. >Hi Folks,
  20. >
  21. >does somebody know, how I can inhibit direct login as 'root' from another
  22. >place as console?
  23. >
  24.  
  25. es> the following entry to the stanza...
  26.  
  27. es>         ttys = /dev/console
  28.  
  29. es> This allows only login from the console.
  30.  
  31. >
  32. >Many thanks for your help.
  33. >PM is welcome.
  34. >
  35. >Stefan
  36. >
  37. > ---
  38. > Stefan A. M"uhlenweg                       muehlenw@samhh.hanse.de
  39. > D-W-2000 Hamburg 73, Liliencronstr. 6,     Phone: +49 (40) 6 77 60 97
  40.  
  41.  
  42. es> -- 
  43. es> internet: konopik@austin.ibm.com          |  Brad Konopik
  44. es>    uunet: uunet!austin.ibm.com!konopik    |  IBM AIX Porting Center
  45. es>  ibmvnet: KONOPIK at AUSTIN               |  Austin, Texas
  46.     I see two problems with this solution.  First, it tends to
  47. indicate that there is no way of accomplishing the same result from
  48. smit. Under smit users, there is a ttys field for each user.
  49.  
  50.     The second problem is much more serious: not only does it
  51. prevent login as root from anywhere besides the console, but at least,
  52. when I tried it, it also prevents users from using su anywhere besides
  53. console. I cannot think of an easy solution to the problem; you could
  54. write an authentication method, which would somehow find out if it was
  55. being called from su or login and would apply tty restrictions (stored
  56. in a different place than the standard AIX tty restrictions) only to
  57. logins. You could simply disable remote logins (including telnets),
  58. which might be exactly what you need if you don't have any
  59. direct-attached terminals besides the console. To do this:
  60. smit chuser
  61. Enter root at the user name prompt, press enter, go down to "user can
  62. rlogin?", and select false. Alternatively, you can insert
  63. "rlogin=false" in /etc/security/user in the "root" stanza.
  64.  
  65.     There really should be a better way of handling this situation
  66. for those who do have terminals connected directly to their systems.
  67.