M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Unix-Betriebssysteme bieten standardmäßig verschiedene Sicherheitseigenschaften an. Diese können jedoch nur zum Erfolg führen, wenn sie sinnvoll eingesetzt werden. Die hierfür notwendigen Einstellungen sollen mit Hilfe von Tools automatisiert überprüft werden, um

• Inkonsistenzen innerhalb eines Unix-Systems erkennen und beseitigen zu können und
• den Systemverwalter in die Lage zu versetzen, das Unix-Betriebssystem unter optimaler Ausnutzung der gegebenen Sicherheitsmechanismen zu verwalten.

Diese Prüfung kann mit im Unix-System vorhandenen Programmen, selbsterstellten Shellskripts oder Public-Domain-Programmen erfolgen. Für einige Unix-Varianten sind auch kommerzielle Programme verfügbar.

Beispiele:

Dieser Befehl gehört zu den Standard-Betriebssystemkommandos. Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/passwd vor. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob das Login-Verzeichnis für den Benutzer existiert und ob das Login-Programm vorhanden ist. Ähnliche Funktionen beinhaltet unter Solaris der Befehl logins, mit dem auch Accounts ohne Passwort gefunden werden können.

Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/group vor. Er gehört ebenfalls zu den Standard-Betriebssystemkommandos. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob alle Mitglieder einer Gruppe auch in der Benutzerpasswortdatei vorhanden sind und ob die Gruppennummer mit der dort angegebenen übereinstimmt.

Mit diesem Programm können Integritätsprüfungen von Dateien durchgeführt werden. Dazu werden Prüfsummen über Dateien gebildet und in einer Datenbank gespeichert. tripwire ist in verschiedenen kostenlosen Versionen verfügbar.

Dieses Public-Domain-Programm dient zur Überprüfung der Sicherheit von Unix-Systemen, z. B. werden verschiedene Systemeinstellungen, Zugriffsrechte, SUID-Dateien etc. überprüft und potentielle Sicherheitslücken aufgezeigt.

Mit diesem Public-Domain-Programm können Unix-Systeme ähnlich wie mit cops auf Sicherheitslücken überprüft werden.

Mit diesem Public-Domain-Programm kann die Netz-Sicherheit analysiert werden. Es überprüft vernetzte Unix-Systeme auf bekannte, aber oftmals nicht beseitigte Schwachstellen.

USEIT hat das BSI entwickeln lassen, um es Systemverwaltern zu ermöglichen, mit einem Tool die Sicherheitseinstellungen eines Unix-Systems automatisiert zu überprüfen. Es werden Prüfungen der Konsistenz von Systemdateien und des Systems selbst vorgenommen, die Passwortstärke wird geprüft und unsichere Prozesse festgestellt. Es werden Prüfsummen von Dateien und Dateiattributen erzeugt und geprüft. Die Netzsicherheit wird überprüft und Penetrationstests können durchgeführt werden. Unsichere Ports und Dienste werden geprüft. Die Protokollierung wird überwacht. Kontrollen der eingespielten Hersteller-Patches und der zutreffenden CERT-Veröffentlichungen werden durchgeführt. Weitere Details zu USEIT können der IT- Grundschutz-CD entnommen werden.

Mit diesem Public-Domain-Programm überprüft man, ob zu einfache, leicht erratbare Passwörter vorhanden sind.

• Werden die Durchführung und die Ergebnisse des Sicherheitschecks dokumentiert?
• Welche Schwachstellen werden durch die eingesetzten Programme und Shellskripts überprüft?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.