M 5.35 Einsatz der Sicherheitsmechanismen von UUCP

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Das im Standardumfang von Unix-Systemen enthaltene und ebenfalls für andere Betriebssysteme verfügbare Programmpaket UUCP (Unix-to-Unix Copy) erlaubt den Datenaustausch zwischen IT-Systemen und die Ausführung von Kommandos auf entfernten IT-Systemen. Voraussetzung ist lediglich die Kompatibilität der uucico-Programme auf den beiden beteiligten Systemen. UUCP ist stark verbreitet, auch wenn seine Bedeutung zurückgegangen ist z.B. durch die Möglichkeit, Rechner über ISDN mittels TCP/IP zu verbinden.

UUCP wird in der Regel zum Austausch von E-Mail und News zwischen Rechnern benutzt (uucp). Es ermöglicht auch das Einloggen (cu) und das Ausführen von Programmen (uux) auf fremden Rechnern.

Es gibt verschiedene UUCP-Varianten: Neben der Implementation von Peter Honeyman, David Nowitz und Brian E. Redman von 1983 (HoneyDanBer UUCP) werden auch häufig das ursprüngliche UUCP-System der AT&T UNIX Version 7, dessen zweite Version aktuell ist (diese UUCP-Implementation wird daher auch Version 2 UUCP genannt) oder das Tahoe-UUCP (das mit BSD 4.3 ausgeliefert wurde) eingesetzt.

Die eingesetzte UUCP-Variante kann an den Dateien im Verzeichnis /usr/lib/uucp (auf einigen Systemen /etc/uucp) erkannt werden: Bei Version 2 UUCP findet sich hier die Datei L.sys, beim HoneyDanBer UUCP die Datei Systems.

Version 2 UUCP hat gravierende Sicherheitsprobleme (Fehler in uucico, Gefahr fehlerhafter Konfiguration durch die komplizierte Form der sicherheitsrelevanten Administrationsdateien). Sie sollte daher nicht benutzt werden, stattdessen sollte das HoneyDanBer UUCP eingesetzt werden.

Allgemein sollten folgende Sicherheitsfragen beim Einsatz von UUCP bedacht werden:

Für die Benutzung von UUCP müssen verschiedene Konfigurationsdateien eingerichtet werden. Alle Einstellungen sollten dokumentiert und Abweichungen der im Folgenden vorgeschlagenen Einstellungen kurz begründet werden, damit später nachvollziehbar ist, wozu diese Änderung notwendig war.

Die Verwaltung der folgenden Dateien muss besonders sorgfältig gehandhabt werden, da sie sicherheitskritische Informationen enthalten. Sie befinden sich im Verzeichnis /usr/lib/uucp bzw. /etc/uucp). Auf diese Verzeichnisse darf nur der Benutzer uucp schreibenden Zugriff haben.

Bei der Benutzung von UUCP werden automatisch verschiedene Protokollierungsdateien angelegt. Beim HoneyDanBer UUCP finden sich diese in Unterverzeichnissen von /usr/spool. Hier werden erfolgreiche und abgelehnte Verbindungsversuche festgehalten, die gesendeten und empfangenen Datenmengen, Fehlermeldungen und Datentransferstatistiken. Diese Protokollierungsdateien müssen regelmäßig ausgewertet werden (siehe auch M 4.25 Einsatz der Protokollierung im Unix-System).

Prüffragen: