Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die hier genannten Maßnahmen gelten für Dateien und Verzeichnisse, für die der Administrator zuständig ist, das heißt für solche, die entweder für alle Benutzer von Bedeutung sind oder die Administrationszwecken dienen. Es reicht nicht aus, die Rechte eines Programms zu überprüfen, es muss auch die Rechtevergabe aller Programme überprüft werden, die von diesem Programm aus aufgerufen werden (insbesondere zur Vermeidung Trojanischer Pferde).
Die Attribute aller Systemdateien sollten möglichst so gesetzt sein, dass nur der Systemadministrator Zugriff darauf hat. Verzeichnisse dürfen nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen.
Das s-Bit sollte nur gesetzt sein, wenn unbedingt erforderlich. Bei Shellskripts soll das s-Bit nicht gesetzt sein. Das s-Bit darf nur vom Administrator gesetzt werden, die Notwendigkeit hierfür ist zu begründen und zu dokumentieren.
In Verzeichnissen, in denen alle Benutzer Schreibrechte haben müssen (z. B./tmp), sollte das t- Bit (Sticky-Bit) gesetzt sein.
Die Integrität aller bei Unix-Systemdateien und -verzeichnissen gesetzten Attribute sollte regelmäßig verifiziert werden, z. B. mit Tripwire oder USEIT(siehe auch M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems).
Ergänzende Kontrollfragen:© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.