Bundesamt für Sicherheit in der Informationstechnik

M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Durch den Befehl su kann jeder Benutzer Super-User-Rechte erlangen, wenn er das entsprechende Passwort besitzt. Da die Anzahl fehlerhafter Versuche bei su nicht beschränkt ist, besteht ein erhöhtes Risiko, dass das Passwort durch systematisches Probieren mit Hilfe entsprechender Programme herausgefunden wird. Deshalb sollte su nur für den Super-User zugänglich sein. Alternativ könnte ein modifiziertes su installiert werden, bei dem die Anzahl erfolgloser Versuche beschränkt ist, sich die Wartezeit bis zur nächsten su-Aufrufmöglichkeit nach jedem erfolglosen Login-Versuch vergrößert und nach einer bestimmten Anzahl von Fehlversuchen die Ausführmöglichkeit und / oder das Terminal gesperrt wird. Jede Verwendung des Befehls su sollte protokolliert werden.

Wenn das System es zulässt, kann der Login-Name des Super-Users anders als root genannt werden. Als zusätzliche Super-User-Logins sollten aber nur administrative Logins (siehe M 2.33 Aufteilung der Administrationstätigkeiten unter Unix ) geschaffen werden.

Der Administrator darf nur von der Konsole aus arbeiten, um zu verhindern, dass bei einem Abhören der Leitung sein Passwort bekannt wird. Unter Solaris kann dies beispielsweise erreicht werden, indem die Datei /etc/default/login entsprechend konfiguriert wird. Alternativ können Sicherheitsfunktionen verwendet werden, die das Ausspähen von Administratorpasswörtern verhindern. Beispiele für geeignete Mechanismen sind Secure Shell (siehe Maßnahme M 5.64 Secure Shell ) und Einmalpasswörter (siehe Maßnahme M 5.34 Einsatz von Einmalpasswörtern ).

Bei BSD-Unix kann sich root nur an Terminals einloggen, die in der Datei /etc/ttytab als secure gekennzeichnet sind. Ist diese Option für alle Terminaleinträge entfernt, kann sich ein Administrator an einem Terminal nur mit dem Kommando su als root einloggen. Es sollte überlegt werden, eine Benutzergruppe einzurichten, auf die die Ausführung des Kommandos su beschränkt ist.

Ist bei BSD-Unix die Konsole in der Datei /etc/ttytab als secure gekennzeichnet, wird kein Passwort beim Hochfahren in den Single-User-Modus abgefragt, daher muss dieser Eintrag unbedingt entfernt werden.

Die Datei /etc/ftpusers enthält die Login-Namen, die sich nicht per ftp anmelden dürfen. Bei ftp werden die Passwörter über eine ungeschützte Klartextverbindung übertragen. Daher sollten administrative Zugänge (root, bin, daemon, sys, adm, lp, smtp, uucp, nuucp, etc.) hier eingetragen werden. Bei einigen Standardinstallationen steht root nicht in dieser Datei.

Wenn ein Benutzer bzw. ein Benutzer-Programm eine Super-User-Datei (Dateien mit Eigentümer root und gesetztem s-Bit) ausführt, erhält dieser Benutzer bzw. dieses Programm bei der Ausführung Super-User-Rechte. Das ist für bestimmte Anwendungen erforderlich, kann aber unter Umständen auch missbräuchlich benutzt werden. Deshalb ist darauf zu achten, dass nur die notwendigsten Programmdateien Super-User-Dateien sind und keine weiteren Super-User-Dateien von Dritten hinzugefügt werden.

Automatisches Mounten von Geräten für austauschbare Datenträger:

Mit sich auf dem gemounteten Laufwerk befindenden s-Bit-Programmen kann ein Benutzer Super-User-Rechte erlangen. Automatisches Mounten sollte daher restriktiv gehandhabt werden. Manche Unix-Versionen bieten eine Option des mount-Befehls, der dazu führt, dass das s-Bit für das entsprechende Filesystem ignoriert wird. Bei austauschbaren Datenträgern sollte überlegt werden, diese Option anzuwenden.

Bei der Freigabe von Verzeichnissen, die von anderen Rechnern gemountet werden dürfen, sind die unter M 5.17 Einsatz der Sicherheitsmechanismen von NFS beschriebenen Einschränkungen zu beachten. Es sollten insbesondere keine Verzeichnisse mit root-Rechten und nur bei Bedarf Verzeichnisse mit Schreibrechten freigegeben werden.

Diese Maßnahme wird ergänzt durch die Maßnahme M 4.18 Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-Modus .

Prüffragen:

  • Ist der su-Befehl auf die Super-User-Rolle beschränkt oder so modifiziert, dass er die Anzahl erfolgloser Login-Versuche beschränkt bzw. die Wartezeit zwischen den Versuchen erhöht?

  • Wird jede Verwendung des su-Befehls protokolliert?

  • Wird über angemessene Sicherheitsmechanismen das Ausspähen von Administratorpasswörtern verhindert ( z. B. Leitungsverschlüsselung, Einmalpasswörter)?

  • Wird (per /etc/ftpusers) verhindert, dass sich administrative Zugänge ( z. B. . root) per ftp anmelden können?

  • Wird die unautorisierte Ausführung von Super-User-Dateien verhindert?

Stand: 13. EL Stand 2013