Bundesamt für Sicherheit in der Informationstechnik

M 4.25 Einsatz der Protokollierung im Unix-System

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Protokollmöglichkeiten des einzelnen Unix-Systems sind einzusetzen und gegebenenfalls durch Programme oder Shellskripts zu ergänzen.

Folgende Maßnahmen sollen ergriffen werden:

  • Die Protokoll-Dateien müssen regelmäßig ausgewertet werden. Die Auswertung sollte nicht immer zum selben Zeitpunkt erfolgen, um zu verhindern, dass ein Angreifer diese Tatsache ausnutzt. Wenn z. B. der Administrator jeden Tag um 17.00 Uhr die Systemaktivitäten überprüft, kann ein Angreifer um 18.00 Uhr unbemerkt tätig werden.
  • Je nach Art der protokollierten Ereignisse kann es erforderlich sein, schnellstmöglich einzugreifen. Damit der Administrator über solche Ereignisse (z. B. Protokolldatei zu groß, wichtige Serverprozesse abgebrochen, mehrfach versuchte root-Logins während ungewöhnlicher Tageszeiten, etc.) automatisch informiert wird, sollten halbautomatische Logfileparser für die Alarmierung eingesetzt werden (z. B. swatch, logsurfer oder checksyslog).
  • Soweit erforderlich, sollten die Protokolldateien gesichert werden, bevor sie zu groß oder vom System gelöscht werden. Es ist zu prüfen, welche gesetzlichen oder vertraglichen Aufbewahrungsfristen beachtet werden müssen.
  • Informationen aus Dateien wie wtmp, utmp, wtmpx, utmpx, etc. sollten mit Skepsis betrachtet werden, da diese Dateien leicht zu manipulieren sind.
  • Die Datei-Attribute der Protokolldateien sollten so gesetzt sein, dass Unberechtigte keine Änderungen oder Auswertungen der Protokolle vornehmen können.
  • Folgende Protokolldateien sollten mindestens erstellt und kontrolliert werden: Logins (auch Fehlversuche), Aufruf von su, Fehlerprotokollierungsdatei / Protokollierung wichtiger Vorgänge (errorlog), Administratortätigkeiten (insbesondere von root ausgeführte Befehle). Weitere Einzelheiten finden sich in M 4.106 Aktivieren der Systemprotokollierung .
    Der Befehl last zeigt Login- und Logout-Informationen wie Zeitpunkt und Terminal für jeden Benutzer an. Der Administrator sollte mit diesem Befehl regelmäßig überprüfen, ob sich Benutzer auf ungewöhnlichem Weg anmelden, z. B. über Modemleitungen oder über FTP .

Wenn auf vielen Systemen Protokolldaten anfallen sollten, empfiehlt sich der Einsatz eines dedizierten Loghosts, der besonders abgesichert ist. Das Weiterleiten (Forward) der Syslog-Meldungen auf diesen Loghost muss in der Syslog-Konfigurationsdatei aktiviert werden (siehe M 4.106 Aktivieren der Systemprotokollierung .

Die anfallenden Protokolldaten dürfen nur benutzt werden, um die ordnungsgemäße Anwendung der IT-Systeme zu kontrollieren, nicht für andere Zwecke, insbesondere nicht zur Erstellung von Leistungsprofilen von Benutzern (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Prüffragen:

  • Existiert eine Regelung zur Festlegung von protokollierenden Ereignissen ( z. B. erfolgreicher Login, nicht erfolgreicher Login, Aufruf von su, Protokollierung wichtiger Vorgänge, errorlog, administrative Tätigkeiten/ Befehle unter root)?

  • Werden die Protokolldateien regelmäßig ausgewertet?

  • Werden Tools (Logfileparser) zur halbautomatisierten Auswertung und Alarmierung bei protokollierten Ereignissen eingesetzt?

  • Wird die Einhaltung von gesetzlichen und/oder vertraglichen Aufbewahrungsfristen von Protokolldateien gewährleistet?

  • Wird ein dedizierter und besonders gesicherter Loghost für Protokolldaten eingesetzt?

  • Werden die Protokolldaten der Systeme im Push-Verfahren an den Loghost übertragen?

  • Entspricht die Protokollierung den geltenden Datenschutzbestimmungen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK