Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In den meisten Unix-Systemen gibt es nur eine Administrationsrolle (den Super-User namens root mit der Benutzer-ID (UID) 0). Personen mit Zugang zu dieser Rolle haben die volle Kontrolle über das System. Insbesondere können sie unabhängig von Zugriffsrechten jede Datei lesen, verändern und löschen.
Das Super-User-Passwort darf nur den Administratoren bekannt sein. Die Weitergabe des Passworts ist auf die in Regelungen festgelegte Fälle zu beschränken und zu dokumentieren. Der Super-User-Login root kann durch Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch organisatorische Maßnahmen wie ein geteiltes Passwort. Dabei muss das Passwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei muss darauf geachtet werden, dass das Passwort in voller Mindestlänge vom System überprüft wird.
Bei etlichen Unix-Systemen ist eine Aufgabenteilung durch die Ausnutzung vorhandener Administratorrollen möglich. Diese Rollen sollen dann durch verschiedene Personen wahrgenommen werden.
Eine Reihe von Administrationstätigkeiten können auch ohne Zugang zum Login root ausgeführt werden. Wenn es Administratoren mit solchen Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden. Insbesondere wenn in großen Systemen mehrere Personen mit Administrationsaufgaben betraut werden müssen, kann das Risiko durch eine entsprechende Aufgabenteilung vermindert werden. Es gibt dazu zwei Möglichkeiten:
Um festzustellen, welche Logins Administratorrechte haben, sollten regelmäßig Hilfsprogramme (z. B. USEIT, cops, tiger) eingesetzt werden, die nach Logins mit der UID 0 in der Passwort-Datei suchen.
Ergänzende Kontrollfragen:© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.