M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Unix-Betriebssysteme bieten standardmäßig verschiedene Sicherheitseigenschaften an. Diese können jedoch nur zum Erfolg führen, wenn sie sinnvoll eingesetzt werden. Die hierfür notwendigen Einstellungen sollen mit Hilfe von Tools automatisiert überprüft werden, um
- Inkonsistenzen innerhalb eines Unix-Systems erkennen und beseitigen zu können und
- den Systemverwalter in die Lage zu versetzen, das Unix-Betriebssystem unter optimaler Ausnutzung der gegebenen Sicherheitsmechanismen zu verwalten.
Diese Prüfung kann mit im Unix-System vorhandenen Programmen, selbsterstellten Shellskripts oder Public-Domain-Programmen erfolgen. Für einige Unix-Varianten sind auch kommerzielle Programme verfügbar.
Beispiele:
- pwck
Dieser Befehl gehört zu den Standard-Betriebssystemkommandos. Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/passwd vor. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob das Login-Verzeichnis für den Benutzer existiert und ob das Login-Programm vorhanden ist. Ähnliche Funktionen beinhaltet unter Solaris der Befehl logins, mit dem auch Accounts ohne Passwort gefunden werden können. - grpck
Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/group vor. Er gehört ebenfalls zu den Standard-Betriebssystemkommandos. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob alle Mitglieder einer Gruppe auch in der Benutzerpasswortdatei vorhanden sind und ob die Gruppennummer mit der dort angegebenen übereinstimmt. - tripwire
Mit diesem Programm können Integritätsprüfungen von Dateien durchgeführt werden. Dazu werden Prüfsummen über Dateien gebildet und in einer Datenbank gespeichert. tripwire ist in verschiedenen kostenlosen Versionen verfügbar. - cops
Dieses Public-Domain-Programm dient zur Überprüfung der Sicherheit von Unix-Systemen, z. B. werden verschiedene Systemeinstellungen, Zugriffsrechte, SUID-Dateien etc. überprüft und potentielle Sicherheitslücken aufgezeigt. - tiger
Mit diesem Public-Domain-Programm können Unix-Systeme ähnlich wie mit cops auf Sicherheitslücken überprüft werden. - SATAN
Mit diesem Public-Domain-Programm kann die Netz-Sicherheit analysiert werden. Es überprüft vernetzte Unix-Systeme auf bekannte, aber oftmals nicht beseitigte Schwachstellen. - crack
Mit diesem Public-Domain-Programm überprüft man, ob zu einfache, leicht erratbare Passwörter vorhanden sind.
Prüffragen:
-
Werden die Sicherheitseinstellungen eines Unix-Systems regelmäßig mit Hilfe von Tools automatisiert überprüft?