M 2.33 Aufteilung der Administrationstätigkeiten unter Unix
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
In den meisten Unix-Systemen gibt es nur eine Administrationsrolle (den Super-User namens root mit der Benutzer-ID (UID) 0). Personen mit Zugang zu dieser Rolle haben die volle Kontrolle über das System. Insbesondere können sie unabhängig von Zugriffsrechten jede Datei lesen, verändern und löschen.
Das Super-User-Passwort darf nur den Administratoren bekannt sein. Die Weitergabe des Passworts ist auf die in Regelungen festgelegte Fälle zu beschränken und zu dokumentieren. Der Super-User-Login root kann durch Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch organisatorische Maßnahmen wie ein geteiltes Passwort. Dabei muss das Passwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei muss darauf geachtet werden, dass das Passwort in voller Mindestlänge vom System überprüft wird.
Bei etlichen Unix-Systemen ist eine Aufgabenteilung durch die Ausnutzung vorhandener Administratorrollen möglich. Diese Rollen sollen dann durch verschiedene Personen wahrgenommen werden.
Eine Reihe von Administrationstätigkeiten können auch ohne Zugang zum Login root ausgeführt werden. Wenn es Administratoren mit solchen Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden. Insbesondere, wenn in großen Systemen mehrere Personen mit Administrationsaufgaben betraut werden müssen, kann das Risiko durch eine entsprechende Aufgabenteilung vermindert werden. Es gibt dazu zwei Möglichkeiten:
- Schaffung administrativer Logins: Sie haben zwar die UID 0, jedoch wird beim Login nur ein Programm gestartet, mit dem die administrative Aufgabe ausgeführt werden kann und das mit einem Logout endet. Beispiele: Einrichten neuer Benutzer, Mounten eines Laufwerks. Zu UNIX V.4 können z. B. die administrativen Login-Namen setup, sysadm, powerdown, checkfsys, mountfsys und umountfsys mit den gleichnamigen Programmen eingerichtet werden.
- Benutzung von Logins ohne UID 0: Diese Login-Namen (sys, bin, adm, uucp, nuucp, daemon und lp) sind Eigentümer von Dateien und Programmen, die für die Funktionalität des Systems entscheidend sind und die daher besonderem Schutz unterliegen. Sie sind in den meisten Unix-Systemen zur Verwaltung der entsprechenden Dienste vorgegeben.
Um festzustellen, welche Logins Administratorrechte haben, sollten regelmäßig Hilfsprogramme (z. B. cops, tiger) eingesetzt werden, die nach Logins mit der UID 0 in der Passwort-Datei suchen.
Ergänzende Kontrollfragen
- Welchen Personen ist das Super-User-Passwort bekannt?
- Sind Administrator-Rollen getrennt worden?
- Welche Logins haben die UID 0?
- Gibt es Logins mit UID 0 und Shell-Zugriff?