Bundesamt für Sicherheit in der Informationstechnik

M 4.14 Obligatorischer Passwortschutz unter Unix

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Passwortschutz für jeden Account auf einem Unix-Rechner stellt sicher, dass nur ein berechtigter Benutzer sich unter seinem Login-Namen einloggen kann, indem nach Eingabe des Login-Namens eine Authentisierung durch Eingabe des Passworts erfolgt.

Bei der Verwendung von Passwörtern für Benutzer und Gruppen sind die unter M 2.11 Regelung des Passwortgebrauchs beschriebenen Regeln zu beachten. Es muss beachtet werden, dass bei einigen Systemen nur eine begrenzte Zeichenanzahl bei der Passwort-Prüfung berücksichtigt wird. Zur Realisierung dieser Maßnahmen sollten nur Programmversionen von passwd, die die Einhaltung dieser Regeln sicherstellen, oder administrative Maßnahmen, z. B. Shellskripts und entsprechende cron-Einträge, benutzt werden.

Als weitere Möglichkeit kann auch das Unix-Standard-Kommando passwd durch andere Passwort-Programme mit erweiterter Funktionalität ersetzt werden. Dazu gehören auch die Public-Domain-Programme anlpasswd, npasswd und passwd+, die bereits beim Ändern des Passwortes durch den Benutzer das neu gewählte Passwort auf seine Güte testen und zurückweisen, wenn dieses zu schwach ist. Sie sind z. B. über den FTP -Server ftp://ftp.cert.dfn.de/pub/tools/password/ erhältlich.

Die Passwörter sollen nicht in der allgemein lesbaren Datei /etc/passwd, sondern in einer für die Benutzer nicht lesbaren shadow-Passwortdatei gespeichert sein. In jedem neueren Unix-System ist diese shadow-Möglichkeit enthalten, aber leider nach einer Erstinstallation nicht immer aktiviert (so muss z. B. unter RedHat Linux nach der Standardinstallation die Verwendung der shadow-Passwortdatei mit dem Befehl pwconv aktiviert werden).

Die Datei /etc/passwd ist regelmäßig auf Benutzer-Kennungen ohne Passwort zu untersuchen. Wird eine solche gefunden, ist der Benutzer zu sperren. Ist für Gruppen Passwortzwang vereinbart worden, so ist entsprechend die Datei /etc/group zu prüfen. Es empfiehlt sich jedoch, für Gruppen keine Passwörter zu vergeben und für jede Gruppe nur so wenig Benutzer wie möglich einzutragen. Das Wechseln zwischen Gruppen, in denen der Benutzer eingetragen ist, wird dadurch erleichtert, und unberechtigtes Wechseln durch systematisches Ausprobieren von Passwörtern mit Hilfe entsprechender Programme ist nicht möglich.

Alle Logins, insbesondere diejenigen mit UID 0, sollten regelmäßig auf das Vorhandensein und die Güte von Passwörtern getestet werden (siehe auch M 2.11 Regelung des Passwortgebrauchs und M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems ). Neben den in M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems beschriebenen Programmen können diese Logins auch z. B. mit

  • awk -F: '{if ($3=="0") print $1}' /etc/passwd
  • awk -F: '{if ($2=="") print $1}' /etc/passwd

ermittelt werden.

Prüffragen:

  • Ist sichergestellt, dass alle akzeptierten Zeichen bei der Passwort-Prüfung berücksichtigt werden?

  • Werden schwache Passwörter vom IT -System zurückgewiesen?

  • Sind die Passwörter in einer für die Benutzer nicht lesbaren shadow-Passwortdatei hinterlegt?

  • Wird die Datei /etc/passwd regelmäßig auf Benutzerkennungen ohne Passwort geprüft?

Stand: 13. EL Stand 2013