home *** CD-ROM | disk | FTP | other *** search
/ Peanuts NeXT Software Archives / Peanuts-Update.iso / NEXTSTEP / tools / security / Password_Check.1.0.README < prev    next >
Encoding:
Text File  |  1997-07-30  |  2.9 KB  |  70 lines
  1.  
  2. [ 31 Jul 1997: compile quad-fat by TjL <luomat+next@luomat.peak.org> ]
  3.  
  4.  
  5. The ability to boot a UNIX system in single-user mode is a security concern, since single-user
  6. mode provides a root shell without requiring a password.  A solution is to force a password to
  7. be supplied by the user before /bin/sh starts in single user mode .  This can be accomplished
  8. by running a password checking program in the shell's startup file for root, /.profile. 
  9.  
  10. This directory contains a sample password checking program called pw_check, and a sample
  11. /.profile that runs the pw_check program to ask for a root password. The program allows 3
  12. attempts, then halts the processor if the correct password isn't entered. 
  13.  
  14. NOTE: NetInfo is not running in UNIX single user mode, so the password must be set in
  15. /etc/passwd. 
  16.  
  17. This directory also contains a makefile for the "make" utility, that will automatically
  18. install the pw_check program, the /.profile, and will protect your /etc/rc.boot file so that
  19. the startup sequence cannot be interrupted from the keyboard. 
  20.  
  21. To install the pw_check program, the /.profile file, update your rc.boot file, and place your
  22. local NetInfo domain's root password in the /etc/password file automatically, start a root
  23. UNIX shell, change to this directory, and type "make".  I.e.: 
  24.  
  25.     # cd <<this directory>>
  26.     # make
  27.  
  28. If installed automatically with "make", a backup copy of /etc/passwd will be placed in
  29. /etc/passwd.orig, a backup copy of /etc/rc.boot will be placed in /etc/rc.boot.orig, and a
  30. backup copy of /.profile will be placed in /.profile.orig. 
  31.  
  32.  
  33. To install these changes manually follow these steps:
  34.  
  35. Compile the pw_check program with the command:
  36.  
  37.     cc -o pw_check pw_check.c
  38.  
  39. Edit /.profile, and insert the following line as close as possible to the beginning of the
  40. file.  If you want correct tty setup, place this line just after "stty erase "^?" intr "^C"
  41. kill "^U" -decctlq". 
  42.  
  43.     <<name of directory>>/pw_check root
  44.  
  45. You may use another user account instead of root.  "root" is assumed if no user name is given
  46. on the command-line. 
  47.  
  48. Edit your /etc/rc.boot file, and add the following as the second line:
  49.  
  50.     trap "" 2 3
  51.  
  52. This will prevent the rc.boot file from being interrupted during startup, which would
  53. circumvent the shell running /.profile. 
  54.  
  55. Finally, you must set the password for the user root (or whichever user account you gave as an
  56. option to pw_check).  You can use nidump to generate a /etc/password format file from NetInfo
  57. and replace the appropriate line in your /etc/passwd file. 
  58.  
  59.  
  60. Disclaimer:  This system has been tested for security holes, and appears to resist concerted
  61. efforts to defeat it.  However, NeXT Computer Inc. disclaims any warranty of any kind,
  62. expressed or implied, as to its fitness for any particular use. 
  63.  
  64. Comments, questions, or problem reports may be sent to the author:
  65. Marc Majka <majka@next.com>
  66. NeXT Computer Inc.
  67. 900 Chesapeake Drive
  68. Redwood City CA 94063
  69.  
  70.