Bundesamt für Sicherheit in der Informationstechnik

M 4.22 Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-System

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Mit Unix-Befehlen wie ps, finger, who, last lassen sich Informationen über einen Benutzer (z. B. Arbeitsverhalten) ermitteln. Viele Unix-Derivate enthalten dazu noch weitere Befehle wie z. B. listusers unter Solaris. Es ist zu überlegen, ob das Ausführen dieser Befehle für jeden Benutzer erlaubt sein soll (Datenschutz, Ausspähen von Login-Namen und Ähnlichem). Im Zweifelsfall sollte der Zugriff auf diese Befehle beschränkt werden.

Beim Aufruf von Kommandos dürfen keine sensitiven Informationen als Parameter mit eingegeben werden, wie z. B. ein Passwort, da andere Benutzer mit ps diese Angaben sehen können.

Die Protokolldateien wie wtmp, utmp, wtmpx, utmpx, etc. sollten nach Möglichkeit durch geeignete Zugriffsrechte vor unbefugtem Auslesen geschützt werden, da hieraus eine Vielzahl von Informationen über die Benutzer herausgelesen werden kann.

Prüffragen:

  • Hat die Institution festgelegt, wie mit Unix-Befehlen umgegangen wird, über die Benutzerverhalten ermittelt werden kann ( z. B. ps, finger, who, last, listusers)?

  • Wird verhindert, dass sensitive Informationen ( z. B. . Passwörter) als Kommandoparameter übergeben werden?

  • Werden Protokolldateien ( z. B. wtmp, utmp, wtmpx, utmpx, etc. ) durch eingeschränkte Zugriffsrechte vor unbefugtem Auslesen geschützt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK