M 4.13 Sorgfältige Vergabe von IDs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In Unix-Systemen werden anhand von Benutzer- und Gruppenkennungen von Prozessen und Dateien unter anderem Verursacher von Aktionen festgestellt und Rechte vergeben. Daher ist eine sorgfältige Vergabe dieser Kennungen erforderlich.

Jeder Login-Name, jede Benutzer-ID (UID) und jede Gruppen-ID (GID) darf nur einmal vorkommen. Auch nach dem Löschen eines Benutzers bzw. einer Gruppe sollen Login-Name und UID bzw. GID für eine bestimmte Zeit nicht neu vergeben werden. Bei vernetzten Systemen muß auch systemübergreifend darauf geachtet werden, dass Benutzernamen und IDs nicht mehrfach vergeben werden. Dies ist insbesondere bei der Verwendung von NFS wegen der Umsetzung der UIDs wichtig, damit keine Daten unberechtigt gelesen werden können.

Jeder Benutzer muss Mitglied mindestens einer Gruppe sein. Jede in der Datei /etc/passwd vorkommende GID muss in der Datei /etc/group definiert sein.

Jede Gruppe sollte nur die Benutzer enthalten, die unbedingt notwendig sind. Dieses ist insbesondere für die Systemgruppen (wie root, sys, bin, adm, news, uucp, nuucp oder daemon) wichtig.

Logins mit UID 0 ( Super-User) dürfen außer für den Systemadministrator root nur für administrative Logins nach vorher festgelegten Regeln vergeben werden (siehe M 2.33 Aufteilung der Administrationstätigkeiten unter Unix).

Es ist sinnvoll, für Login-Namen und UIDs bzw. GIDs Namenskonventionen festzulegen. Weiterhin sollte regelmäßig überprüft werden, ob alle UIDs plausibel sind. Sie sollten also z. B. nur aus Ziffern stehen bzw. keine ungültigen Kombinationen wie 00 oder 000 enthalten.

Die Dateien /etc/passwd und /etc/group sollten nicht mit Editoren bearbeitet werden, da Fehler die Systemsicherheit stark beeinträchtigen können. Es sollten ausschließlich die entsprechenden Administrationstools benutzt werden, die allerdings sehr systemspezifisch sind.

• Nach welchen Regeln werden IDs vergeben?
• Werden die Dateien /etc/passwd und /etc/group regelmäßig auf Konsistenz überprüft?
• Stehen im UID-Feld von /etc/passwd wirklich Ziffern?
• Sind alle UIDs plausibel?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.