Bundesamt für Sicherheit in der Informationstechnik

M 4.220 Absicherung von Unix System Services bei z/OS-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Unix System Services (USS) ist ein Posix-kompatibles Subsystem, das unter dem z/OS-Betriebssystem läuft. Für den generellen Schutz der Unix System Services müssen die im Baustein B 3.102 Server unter Unix beschriebenen Maßnahmen umgesetzt werden. Weiterhin müssen einige zusätzliche Sicherheitsaspekte berücksichtigt werden:

Doppelte UID-Vergabe

Es muss sichergestellt werden, dass UIDs nicht doppelt vergeben werden, da sonst keine genaue Zuordnung zur MVS-User-ID möglich ist.

HFS-Dateien

HFS-Dateien (Hierarchical File System), die das Unix-Dateisystem beinhalten, sind über RACF-Datei-Profile zu schützen. Auf diese RACF-Profile sollte nur die Unix Started Task Zugriff erhalten. Ein Backup der HFS-Dateien sollte über HSM-Funktionen (Hierarchical Storage Manager) erfolgen. HFS-Dateien sollten jedoch nicht durch HSM migriert werden. Diese Empfehlungen gelten ebenfalls für zFS-Dateien.

Das ROOT-Dateisystem sollte mit der Option READ-ONLY gemounted sein.

Es ist zu überlegen, HFS-Dateien von Anwendern über die RACF-Profile der Kennung des jeweiligen Anwenders zu schützen. Um zu verhindern, dass jeder Anwender mit eigener HFS-Datei die Befehle mount und umount ausführen muss, sollte überlegt werden, die Automount-Funktion einzusetzen.

Member BPXPRMxx

Die wesentlichen USS-Parameter werden in der Parmlib im Member BPXPRMxx definiert. Einige Parameter beschreiben die zur Verfügung stehenden Ressourcen (z. B. MAXPROCSYS oder MAXPROCUSER). Diese Parameter müssen entsprechend der Leistungsfähigkeit der zSeries-Hardware bzw. LPAR eingestellt werden, um eine Überlastung des Systems zu verhindern.

Es sollten symbolische Variablen zur Definition dieses Members verwendet werden.

APF -Autorisierung

Es sollte im USS-Dateisystem keine APF-Autorisierung (Authorized Program Facility) über das File Security Packet (FSP) geben. Statt dessen sollten die Module von APF-Dateien des z/OS-Betriebssystems geladen werden.

Superuser UID(0) und UNIXPRIV

Viele System-Kommandos, für deren Nutzung unter anderen Unix-Systemen die Berechtigung Superuser (UID 0) nötig ist, können bei USS über die RACF-Profile in der RACF-Klasse UNIXPRIV geschützt werden. Dies bedeutet, dass die Rechte der Administration durch RACF verwaltet werden können und so die Superuser-Berechtigung nur in sehr wenigen Ausnahmefällen vergeben werden muss. Die Empfehlungen zum Umgang mit Superuser-Rechten sind in M 2.289 Einsatz restriktiver z/OS-Kennungen aufgeführt.

RACF-Profile BPX.xxx der Klasse FACILITY

Zur Absicherung vieler USS-Funktionen sollten zusätzlich zu den Profilen in der Klasse UNIXPRIV die RACF-Profile BPX.xxx der Klasse FACILITY eingesetzt werden. Dadurch können in vielen Fällen höhere Autorisierungen vermieden werden (z. B. UID 0).

Audit und Monitoring

Für das Audit und Monitoring der USS sollten die gleichen Mechanismen wie für z/OS genutzt werden. Die Vorgänge im USS schreiben SMF-Sätze. Zugriffsverletzungen werden in RACF-Nachrichten übersetzt und erzeugen Meldungen im Syslog. Beide Quellen sollten, wie in Maßnahme M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS beschrieben, ausgewertet werden. Einige Unix-Tasks, wie z. B. der mitgelieferte Webserver, schreiben Protokoll-Informationen in eigene Dateien. Diese sollten ebenfalls ausgewertet werden, falls die entsprechenden Programme aktiviert sind.

Zeichensatzkonvertierung

Es sollten die Empfehlungen in M 4.218 Hinweise zur Zeichensatzkonvertierung bei z/OS-Systemen beim Einsatz des USS-Subsystems beachtet werden.

Prüffragen:

  • Ist sichergestellt, dass die UID s unter USS im z/OS -System nicht doppelt vergeben werden?

  • Sind zFS- und HFS -Dateien, die das Unix-Dateisystem beinhalten, unter z/OS über RACF -Datei-Profile geschützt?

  • Wird das Root-Dateisystem für USS des z/OS -Systems mit der Option READ-ONLY gemounted?

  • Ist sichergestellt, dass es im USS -Dateisystem des z/OS -Systems keine APF -Autorisierung über das File Security Packet gibt?

  • Werden für das Audit und Monitoring der USS die gleichen Mechanismen wie für z/OS genutzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK