Bundesamt für Sicherheit in der Informationstechnik

M 4.382 Auswahl und Prüfung der OpenLDAP-Installationspakete

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In Abhängigkeit von der verwendeten Infrastruktur ist zu entscheiden, ob Open LDAP aus einem Quelltext- oder Binärpaket installiert wird. Wird eine Betriebssystemdistribution eingesetzt, ist darin oft auch OpenLDAP als Binärpaket enthalten. Dies bietet den Vorteil, dass Abhängigkeiten zu anderen Softwarepaketen meist automatisch aufgelöst und zusätzlich benötigte Pakete nachinstalliert werden. In jedem Fall muss eine geeignete aktuelle Version ausgewählt, beschafft und deren Authentizität überprüft werden (siehe auch M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen ). Die Auswahl und Herkunft der zu installierenden Software sollte ebenso wie der Prozess der Integritätsprüfung der Software dokumentiert werden.

Grundsätzliches zur Auswahl der Version

Die Entwickler von OpenLDAP stellen den aktuellen Quelltext und Zwischenversionen der Software regelmäßig über eine Versionsverwaltung zur Verfügung. Aus dieser Versionsverwaltung kann jederzeit die aktuellste Version aller Dateien bezogen werden (Head-Branch).

In unregelmäßigen Abständen wird ein erreichter Entwicklungsstand von der weiteren Entwicklung separiert, das heißt, diesem werden bewusst keine neuen Funktionen mehr hinzugefügt (Feature Freeze). Dieser Software-Stand wird bereinigt, getestet und als Release (Veröffentlichung) veröffentlicht. Ein Release erhält eine Versionsnummer in der Form [Software-Generation].[Hauptversion].[Release-Nr.], wie beispielsweise 2.4.23.

OpenLDAP ist als Open Source Software für zahlreiche Betriebssysteme und in zahlreichen Umgebungen nutzbar. Es ist nicht möglich, dass ein Release von den Entwicklern von OpenLDAP in allen möglichen Konstellationen und für alle möglichen Einsatzzwecke getestet wird. Allerdings werten die Entwickler von OpenLDAP die Rückmeldungen von Anwendern und professionellen Distributoren zu einem Release sorgfältig aus. Werden Probleme aufgedeckt, wird in der Regel ein neues Release bereitgestellt. Wird ein Release über einen hinreichend langen Zeitraum von erfahrenen Anwendern und Distributoren verwendet und treten dabei keine Probleme auf, so wird das Release von den OpenLDAP-Entwicklern zum Stable Release (stabile Veröffentlichung) erklärt. Über Releases informieren die OpenLDAP-Entwickler mit der Mailingliste "openldap-announce" (http://www.openldap.org/lists/openldap-announce). Die Liste sollte zur Überwachung der OpenLDAP-Entwicklung abonniert und die erhaltenen Nachrichten archiviert werden.

Installation aus einem Quelltextpaket

Auf der Internetseite von OpenLDAP wird auf mehrere weltweit verteilte Server verwiesen, von denen die aktuelle Release und Stable Release Versionen heruntergeladen werden können. Über einen FTP-Server werden auch ältere Software-Versionen zum Download bereitgestellt. Durch das Versionsverwaltungssystem sind zudem der aktuelle Entwicklungsstand und Zwischenversionen, die keinem Release entsprechen, verfügbar. In Produktionsumgebungen dürfen ausschließlich Releases oder Stable Releases eingesetzt werden. Es wird empfohlen, den aktuellsten Stable Release zu verwenden. Keinesfalls dürfen der aktuelle Entwicklungsstand oder eine andere, nicht für den Betrieb empfohlene Version eingesetzt werden.

Die Entwickler von OpenLDAP verwenden keine digitalen Signaturen, um die Quelltextpakete abzusichern. Allerdings werden von der komprimierten Version des Quelltextes eines Releases (Datei mit der Endung "tgz") die Hashwerte mit den Verfahren MD5 und SHA 1 berechnet und in der zugehörigen Nachricht zum Release über die Mailingliste openldap-announce mitgeteilt. Vor der Installation eines Paketes sollten möglichst beide Hashwerte erstellt und mit den erwarteten Werten abgeglichen werden. Wird nur ein Hashwert berechnet, ist SHA1 zu bevorzugen, da das Verfahren sicherer ist. Die Software und die Information über den Hashwert dürfen nicht zeitgleich vom gleichen Server heruntergeladen werden. Statt dessen sind die Hashwerte aus der Mailingliste openldap-announce zur Prüfung zu verwenden.

Installation aus Binärpaketen der Distribution

Wird OpenLDAP aus den offiziellen Installationsquellen der verwendeten Distribution installiert, so ergibt sich die einzusetzende Version in der Regel aus dem Angebot des Distributors. Wird ein Paketmanager (zum Beispiel yum oder rpm) eingesetzt, so stellt dieser auch die Authentizität und Integrität der Pakete sicher.

Installation aus Binärpaketen fremder Quellen

Werden Binärpakete aus Installationsquellen bezogen, die nicht Teil der eingesetzten Distribution sind, so muss sichergestellt werden, dass es sich um einen vertrauenswürdigen Anbieter handelt. Bei OpenLDAP gilt dies insbesondere für Windows-Installationspakete, die von Software-Portalen zum Download angeboten werden, aber nicht von den Entwicklern von OpenLDAP erstellt wurden. Die Auswahl der Version sowie die Überprüfung der Authentizität der Binärpakete erfolgen sukzessive, wie im Abschnitt "Installation aus einem Quelltextpaket" oder im Abschnitt "Installation aus Binärpaketen der Distribution" beschrieben.

Prüffragen:

  • Wird die Herkunft der OpenLDAP-Installationspakete dokumentiert und eine Integritätsprüfung vorgenommen?

  • Ist sichergestellt, dass in Produktionsumgebungen ausschließlich Releases oder Stable Releases eingesetzt werden?

Stand: 13. EL Stand 2013