Bundesamt für Sicherheit in der Informationstechnik

M 4.13 Sorgfältige Vergabe von IDs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In Unix-Systemen werden anhand von Benutzer- und Gruppenkennungen von Prozessen und Dateien unter anderem Verursacher von Aktionen festgestellt und Rechte vergeben. Daher ist eine sorgfältige Vergabe dieser Kennungen erforderlich.

Jeder Login-Name, jede Benutzer-ID (UID) und jede Gruppen-ID (GID) darf nur einmal vorkommen. Auch nach dem Löschen eines Benutzers bzw. einer Gruppe sollen Login-Name und UID bzw. GID für eine bestimmte Zeit nicht neu vergeben werden. Bei vernetzten Systemen muss auch systemübergreifend darauf geachtet werden, dass Benutzernamen und IDs nicht mehrfach vergeben werden. Dies ist insbesondere bei der Verwendung von NFS wegen der Umsetzung der UIDs wichtig, damit keine Daten unberechtigt gelesen werden können.

Jeder Benutzer muss Mitglied mindestens einer Gruppe sein. Jede in der Datei /etc/passwd vorkommende GID muss in der Datei /etc/group definiert sein.

Jede Gruppe sollte nur die Benutzer enthalten, die unbedingt notwendig sind. Dieses ist insbesondere für die Systemgruppen (wie root, sys, bin, adm, news, uucp, nuucp oder daemon) wichtig.

Logins mit UID 0 (Super-User) dürfen außer für den Systemadministrator root nur für administrative Logins nach vorher festgelegten Regeln vergeben werden (siehe M 2.33 Aufteilung der Administrationstätigkeiten unter Unix ).

Es ist sinnvoll, für Login-Namen und UIDs bzw. GIDs Namenskonventionen festzulegen. Weiterhin sollte regelmäßig überprüft werden, ob alle UIDs plausibel sind. Sie sollten also z. B. nur aus Ziffern stehen bzw. keine ungültigen Kombinationen wie 00 oder 000 enthalten.

Die Dateien /etc/passwd und /etc/group sollten nicht mit Editoren bearbeitet werden, da Fehler die Systemsicherheit stark beeinträchtigen können. Es sollten ausschließlich die entsprechenden Administrationstools benutzt werden, die allerdings sehr systemspezifisch sind.

Prüffragen:

  • Ist sichergestellt, dass unter Unix die Benutzer- und Gruppenkennungen sorgfältig vergeben werden?

  • Ist unter Unix jeder Benutzer Mitglied einer Gruppe?

  • Ist unter Unix jede in der Datei /etc/passwd vorkommende GID in der Datei /etc/group definiert?

  • Enthalten unter Unix alle Gruppen nur die notwendigen Benutzer?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK