Bundesamt für Sicherheit in der Informationstechnik

M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Unix-Betriebssysteme bieten standardmäßig verschiedene Sicherheitseigenschaften an. Diese können jedoch nur zum Erfolg führen, wenn sie sinnvoll eingesetzt werden. Die hierfür notwendigen Einstellungen sollen mit Hilfe von Tools automatisiert überprüft werden, um

  • Inkonsistenzen innerhalb eines Unix-Systems erkennen und beseitigen zu können und
  • den Systemverwalter in die Lage zu versetzen, das Unix-Betriebssystem unter optimaler Ausnutzung der gegebenen Sicherheitsmechanismen zu verwalten.

Diese Prüfung kann mit im Unix-System vorhandenen Programmen, selbsterstellten Shellskripts oder Public-Domain-Programmen erfolgen. Für einige Unix-Varianten sind auch kommerzielle Programme verfügbar.

Beispiele:

  • pwck
    Dieser Befehl gehört zu den Standard-Betriebssystemkommandos. Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/passwd vor. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob das Login-Verzeichnis für den Benutzer existiert und ob das Login-Programm vorhanden ist. Ähnliche Funktionen beinhaltet unter Solaris der Befehl logins, mit dem auch Accounts ohne Passwort gefunden werden können.
  • grpck
    Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/group vor. Er gehört ebenfalls zu den Standard-Betriebssystemkommandos. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob alle Mitglieder einer Gruppe auch in der Benutzerpasswortdatei vorhanden sind und ob die Gruppennummer mit der dort angegebenen übereinstimmt.
  • tripwire
    Mit diesem Programm können Integritätsprüfungen von Dateien durchgeführt werden. Dazu werden Prüfsummen über Dateien gebildet und in einer Datenbank gespeichert. tripwire ist in verschiedenen kostenlosen Versionen verfügbar.
  • cops
    Dieses Public-Domain-Programm dient zur Überprüfung der Sicherheit von Unix-Systemen, z. B. werden verschiedene Systemeinstellungen, Zugriffsrechte, SUID-Dateien etc. überprüft und potentielle Sicherheitslücken aufgezeigt.
  • tiger
    Mit diesem Public-Domain-Programm können Unix-Systeme ähnlich wie mit cops auf Sicherheitslücken überprüft werden.
  • SATAN
    Mit diesem Public-Domain-Programm kann die Netz-Sicherheit analysiert werden. Es überprüft vernetzte Unix-Systeme auf bekannte, aber oftmals nicht beseitigte Schwachstellen.
  • crack
    Mit diesem Public-Domain-Programm überprüft man, ob zu einfache, leicht erratbare Passwörter vorhanden sind.

Prüffragen:

  • Werden die Sicherheitseinstellungen eines Unix-Systems regelmäßig mit Hilfe von Tools automatisiert überprüft?

Stand: 13. EL Stand 2013