Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Die hier genannten Maßnahmen gelten für Dateien und Verzeichnisse eines Benutzers (incl. Mail- Dateien).
Die Benutzer sollten die Attribute ihrer Dateien und Verzeichnisse so setzen, dass andere Benutzer nicht darauf zugreifen können. Wenn anderen Benutzern der Zugriff erlaubt werden soll, sollten entsprechende Benutzergruppen eingerichtet werden.
Für benutzerspezifische Konfigurationsdateien wie .profile, .exrc, .login, .cshrc sollte nur der jeweilige Eigentümer Rechte besitzen.
Auf Unix-Systemen haben diverse Programme benutzerspezifische Konfigurationsdateien wie .exrc, .emacs oder .mailrc, die nach Programmaufruf automatisch durchlaufen werden und Variablen und Optionen für den Benutzer setzen. Damit in diesen keine trojanischen Pferde installiert werden können, sollte nur der jeweilige Eigentümer Zugriffsrechte besitzen.
Die Datei .exrc wird gelesen, bevor die Editoren ex oder vi gestartet werden. Falls sich eine gleichnamige Datei im aktuellen Verzeichnis befindet, wird diese bei einigen Unix-Versionen ausgewertet. Alle eingesetzten Unix-Versionen müssen daraufhin überprüft werden, da damit auch die Ausführung von Betriebssystemkommandos bei jedem Editoraufruf möglich ist.
Das s-Bit sollte nur gesetzt sein, wenn unbedingt erforderlich. Bei Shellskripts soll das s-Bit nicht gesetzt sein. Das s-Bit sollte nur nach Einbeziehung des Administrators gesetzt werden, die Notwendigkeit hierfür ist zu begründen und zu dokumentieren.
umask
Mit umask(user file creation mode mask) wird für jeden Benutzer festgelegt, welche Attribute zur Regelung der Zugriffsrechte eine von ihm neu angelegte Datei erhält. In den benutzerspezifischen Konfigurationsdateien wie /etc/profile oder den $HOME/.profile -Dateien sollte umask = 0027 (-rw-r-----) oder umask = 0077 (-rw-------) eingestellt sein, damit die Dateiattribute für neu angelegte Dateien nur dem Erzeuger (und evtl. der Gruppe) Zugriffsrechte geben.
Mail-Dateien
Die Attribute der Mail-Dateien sollten regelmäßig daraufhin überprüft werden, ob nur der jeweilige Eigentümer auf die Dateien Zugriff hat. Die Integrität der bei den Unix- Benutzerdateien und -verzeichnissen gesetzten Attribute sollte regelmäßig verifiziert werden, z. B. mit Tripwire oder USEIT(siehe auch M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems).
Ergänzende Kontrollfragen:© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.