M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unix-Betriebssysteme bieten standardmäßig verschiedene Sicherheitseigenschaften an. Diese
können jedoch nur zum Erfolg führen, wenn sie sinnvoll eingesetzt werden. Die hierfür
notwendigen Einstellungen sollen mit Hilfe von Tools automatisiert überprüft werden, um
-
Inkonsistenzen innerhalb eines Unix-Systems erkennen und beseitigen zu können und
- den Systemverwalter in die Lage zu versetzen, das Unix-Betriebssystem unter optimaler Ausnutzung der
gegebenen Sicherheitsmechanismen zu verwalten.
Diese Prüfung kann mit im Unix-System vorhandenen Programmen, selbsterstellten Shellskripts oder
Public-Domain-Programmen erfolgen. Für einige Unix-Varianten sind auch kommerzielle Programme
verfügbar.
Beispiele:
- pwck
Dieser Befehl gehört zu den Standard-Betriebssystemkommandos. Mit diesem Befehl nimmt man eine
Konsistenzprüfung der Datei /etc/passwd vor. Es wird überprüft, ob alle notwendigen
Einträge vorgenommen wurden, ob das Login-Verzeichnis für den Benutzer existiert und ob das
Login-Programm vorhanden ist. Ähnliche Funktionen beinhaltet unter Solaris der Befehl logins, mit
dem auch Accounts ohne Passwort gefunden werden können.
- grpck
Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/group vor. Er gehört
ebenfalls zu den Standard-Betriebssystemkommandos. Es wird überprüft, ob alle notwendigen
Einträge vorgenommen wurden, ob alle Mitglieder einer Gruppe auch in der Benutzerpasswortdatei
vorhanden sind und ob die Gruppennummer mit der dort angegebenen übereinstimmt.
- tripwire
Mit diesem Programm können Integritätsprüfungen von Dateien durchgeführt werden.
Dazu werden Prüfsummen über Dateien gebildet und in einer Datenbank gespeichert. tripwire
ist in verschiedenen kostenlosen Versionen verfügbar.
- cops
Dieses Public-Domain-Programm dient zur Überprüfung der Sicherheit von Unix-Systemen, z. B.
werden verschiedene Systemeinstellungen, Zugriffsrechte, SUID-Dateien etc. überprüft und
potentielle Sicherheitslücken aufgezeigt.
- tiger
Mit diesem Public-Domain-Programm können Unix-Systeme ähnlich wie mit cops auf
Sicherheitslücken überprüft werden.
- SATAN
Mit diesem Public-Domain-Programm kann die Netz-Sicherheit analysiert werden. Es überprüft
vernetzte Unix-Systeme auf bekannte, aber oftmals nicht beseitigte Schwachstellen.
- BSI-Tool Sichere Unix-Administration (USEIT)
USEIT hat das BSI entwickeln lassen, um es Systemverwaltern zu ermöglichen, mit einem Tool die
Sicherheitseinstellungen eines Unix-Systems automatisiert zu überprüfen. Es werden
Prüfungen der Konsistenz von Systemdateien und des Systems selbst vorgenommen, die
Passwortstärke wird geprüft und unsichere Prozesse festgestellt. Es werden Prüfsummen von
Dateien und Dateiattributen erzeugt und geprüft. Die Netzsicherheit wird überprüft und
Penetrationstests können durchgeführt werden. Unsichere Ports und Dienste werden geprüft.
Die Protokollierung wird überwacht. Kontrollen der eingespielten Hersteller-Patches und der zutreffenden
CERT-Veröffentlichungen werden durchgeführt. Weitere Details zu USEIT können der IT-
Grundschutz-CD entnommen werden.
- crack
Mit diesem Public-Domain-Programm überprüft man, ob zu einfache, leicht erratbare Passwörter
vorhanden sind.
Ergänzende Kontrollfragen:
-
Werden die Durchführung und die Ergebnisse des Sicherheitschecks dokumentiert?
- Welche Schwachstellen werden durch die eingesetzten Programme und Shellskripts überprüft?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.