Bundesamt für Sicherheit in der Informationstechnik

M 4.212 Absicherung von Linux für zSeries

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Auf zSeries-Systemen kann auch das Betriebssystem Linux eingesetzt werden. Zur Absicherung des Betriebssystems ist in diesem Fall zusätzlich der Baustein B 3.102 Server unter Unix bzw. Baustein  B 3.204 Client unter Unix anzuwenden. Darüber hinaus sind im Folgenden einige zSeries-spezifische Besonderheiten beschrieben, die zu berücksichtigen sind.

Betriebsarten von Linux unter zSeries

Es sind drei unterschiedliche Methoden zum Betrieb von Linux unter zSeries möglich.

Linux Native auf zSeries Hardware

Das Linux-Betriebssystem wird als Single-System auf der zSeries-Hardware betrieben. Dies bedeutet, dass die gesamte zSeries-Hardware vom Linux-System benutzt wird.

Linux in einer zSeries LPAR

Bei dieser Variante erfolgt der Betrieb von Linux in einer LPAR (Logical Partition) auf der zSeries-Maschine. Der LPAR-Mode erlaubt den Betrieb von mehreren unabhängigen Betriebssystem-Installationen auf der gleichen zSeries-Hardware. Jede einzelne Partition verhält sich wie eine unabhängige Hardware. Auf diesen LPARs können unter anderem z/OS oder Linux als Betriebssystem installiert werden.

Linux unter dem Träger-System z/VM

Es können mehrere Linux-Installationen auf einem zSeries-Rechner oder innerhalb einer LPAR unter dem Träger-System z/VM betrieben werden. Das z/VM stellt sogenannte virtuelle Maschinen zur Verfügung, unter denen die einzelnen Linux-Installationen unabhängig von einander betrieben werden können.

Absicherung der Terminals

Die SE (Support Elements) und die HMC (Hardware Management Console) sind, wie in Maßnahme M 4.207 Einsatz und Sicherung systemnaher z/OS-Terminals empfohlen, zu sichern.

Absicherung von Linux unter z/VM

Für den Betrieb von Linux unter z/VM sollten zusätzlich folgende Empfehlungen berücksichtigt werden:

  • Für z/VM müssen die aktuellen Patch-Stände eingehalten werden. Es ist darauf zu achten, nicht mit veralteten Systemen zu arbeiten.
  • Die Berechtigungen des z/VM Systemadministrators sind sehr hoch. Er kann unter z/VM weitere virtuelle Maschinen einrichten oder löschen. Dies beinhaltet eine Vertrauensstellung, in der dem Administrator bewusst sein muss, dass er für die Sicherheit der Systeme mitverantwortlich ist.
  • Nach der Installation von z/VM müssen das voreingestellte Login-Passwort und das voreingestellte Minidisk-Passwort sofort geändert werden.
  • Unter z/VM definierte virtuelle Maschinen sollten nur die für die jeweiligen Aufgaben notwendigen Ressourcen erhalten, beispielsweise Minidisks, Adressen usw. Die Zugriffe werden über z/VM kontrolliert. Die strenge Trennung der virtuellen Maschinen muss eingehalten werden.
  • Auch unter z/VM dürfen nur die benötigten Dienste gestartet werden. Nicht benötigte Dienste sind zu deaktivieren.
  • Die Sicherheitsadministration von z/VM muss über RACF für z/VM erfolgen. RACF für z/VM dient als Security Manager und kann nur die Rechte der z/VM-Benutzer verwalten. Darüber hinaus sollten Virtual Machines, Minidisks und - falls gewünscht - auch Terminals über RACF Resource Profile geschützt werden. Zugriff auf diese Ressourcen dürfen nur diejenigen Anwender erhalten, die diese Rechte im Rahmen ihrer Tätigkeit benötigen. RACF kann jedoch nicht die Rechte der Linux-Benutzer und deren Zugriffe auf Systemressourcen innerhalb des Linux-Betriebssystems verwalten. Linux-Benutzer werden nach erfolgreichem Aktivieren des virtuellen Linux-Systems von den normalen Linux-Sicherheitsmechanismen kontrolliert. Sicherheitskritische System-Kommandos von z/VM (wie z. B. CP DIAL) sollten über RACF geschützt werden.
  • Zur Verwaltung der Dateien und Verzeichnisse von z/VM ist zu überlegen, das Utility DIRMAINT einzusetzen. Es erlaubt eine übersichtliche Verwaltung der Anwenderverzeichnisse und hilft dadurch bei der Vermeidung von Administrationsfehlern. DIRMAINTs Sicherheitsmechanismen sollten immer auf RACF für z/VM basieren. Kommandos und Nachrichten im Rahmen der DIRMAINT-Administration sollten unter Audit-Kontrolle stehen.
  • Die Journaling-Funktion von z/VM und die Audit-Funktionen von RACF sollten für Audits eingesetzt werden (siehe auch M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS ).
  • Es sollten die unter Unix bzw. Linux üblichen Standardmechanismen zur Absicherung von TCP/IP-Anbindungen eingesetzt werden. Darüber hinaus ist zu überlegen, ob zusätzlich die von Linux unterstützten KERBEROS Authentication Services oder Secure SocketLayer (SSL) eingesetzt werden sollen.
  • Die Linux-Definitionen sollten so eingestellt sein, dass der Aufruf rekursiver Funktionen nicht zur Überlastung des Betriebssystems führen kann (siehe auch G 3.69 Fehlerhafte Konfiguration der Unix System Services unter z/OS ).

Linux-Authentisierung über z/OS RACF

Es ist zu überlegen, die Authentisierung von Linux-Benutzern über ein zentrales z/OS RACF mittels LDAP (Lightweight Directory Access Protocol) und ein Linux PAM (Pluggable Authentication Module) durchzuführen. Dies kann besonders bei einer hohen Anzahl zu administrierender Linux-Systeme zu einer erheblichen Reduzierung des Verwaltungsaufwands für die Kennungen führen.

Linux und Krypto-Hardware von zSeries-Maschinen

zSeries-Systeme können mit optionalen kryptographischen Prozessor-Karten vom Typ PCICA (Peripheral Component Interconnect Cryptographic Accelerator) oder PCICC (Peripheral Component Interconnect Cryptographic Coprocessor) ausgestattet werden. Diese Karten dienen der Performance-Verbesserung von Krypto-Funktionen und zur sicheren Verwahrung von digitalen Schlüsseln. Beide Karten werden auch von Linux unterstützt. Da Linux das CCF (Cryptographic Coprocessor Feature) nicht unterstützt, sollte überlegt werden, diese Krypto-Karten einzusetzen. Dies kann unter allen oben beschriebenen Installationsvarianten erfolgen. Unter z/VM können die Krypto-Karten von mehreren Linux-Systemen gleichzeitig und unabhängig von einander verwendet werden.

Kommunikation von Linux unter zSeries-Hardware

Die Kommunikation von Betriebssystemen, z/OS oder Linux, die entweder im LPAR-Mode oder unter z/VM auf derselben zSeries-Hardware installiert sind, sollte über interne Kanäle erfolgen, d. h. über HiperSockets oder virtuelle CTC-Verbindungen (Channel-to-Channel). Diese ermöglichen eine schnelle TCP/IP-Verbindung zwischen den Betriebssystem-Installationen. Im Vergleich mit der Kommunikation über das lokale Netz werden hierdurch die Fehler- und Angriffsmöglichkeiten reduziert, da die Informationen direkt innerhalb derselben Hardware von System zu System fließen.

Prüffragen:

  • Wird z/VM auf zSeries-Systemen immer auf dem aktuellen Patch-Stand gehalten?

  • Wurden nach der Installation von z/VM auf zSeries-Systemen das voreingestellte Login-Passwort und das Minidisk-Passwort durch neue Passwörter ersetzt?

  • Sind unter z/VM auf zSeries-Systemen alle nicht benötigten Dienste deaktiviert?

  • Werden die Journaling-Funktion von z/VM und die Audit-Funktionen von RACF auf zSeries-Systemen für Audits eingesetzt?

  • Erfolgt die Kommunikation von Betriebssystemen ( z/OS oder Linux), die im LPAR -Mode oder unter z/VM auf derselben zSeries-Hardware installiert sind, über interne Kanäle?

Stand: 13. EL Stand 2013