Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.212 Absicherung von Linux für zSeries - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.212 Absicherung von Linux für zSeries

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher, Administrator

Auf zSeries-Systemen kann auch das Betriebssystem Linux eingesetzt werden. Zur Absicherung des Betriebssystems ist in diesem Fall zusätzlich der Baustein B 3.102 Unix-Server bzw. Baustein B 3.206 Unix-System anzuwenden. Darüber hinaus sind im Folgenden einige zSeries-spezifische Besonderheiten beschrieben, die zu berücksichtigen sind.

Betriebsarten von Linux unter zSeries

Es sind drei unterschiedliche Methoden zum Betrieb von Linux unter zSeries möglich.

Linux Native auf zSeries Hardware

Das Linux-Betriebssystem wird als Single-System auf der zSeries-Hardware betrieben. Dies bedeutet, dass die gesamte zSeries-Hardware vom Linux-System benutzt wird.

Linux in einer zSeries LPAR

Bei dieser Variante erfolgt der Betrieb von Linux in einer LPAR (Logical Partition) auf der zSeries-Maschine. Der LPAR-Mode erlaubt den Betrieb von mehreren unabhängigen Betriebssystem-Installationen auf der gleichen zSeries-Hardware. Jede einzelne Partition verhält sich wie eine unabhängige Hardware. Auf diesen LPARs können unter anderem z/OS oder Linux als Betriebssystem installiert werden.

Linux unter dem Träger-System z/VM

Es können mehrere Linux-Installationen auf einem zSeries-Rechner oder innerhalb einer LPAR unter dem Träger-System z/VM betrieben werden. Das z/VM stellt sogenannte virtuelle Maschinen zur Verfügung, unter denen die einzelnen Linux-Installationen unabhängig von einander betrieben werden können.

Absicherung der Terminals

Die SE (Support Elements) und die HMC (Hardware Management Console) sind, wie in Maßnahme M 4.207 Einsatz und Sicherung systemnaher z/OS-Terminals empfohlen, zu sichern.

Absicherung von Linux unter z/VM

Für den Betrieb von Linux unter z/VM sollten zusätzlich folgende Empfehlungen berücksichtigt werden:

Linux-Authentisierung über z/OS RACF

Es ist zu überlegen, die Authentisierung von Linux-Benutzern über ein zentrales z/OS RACF mittels LDAP (Lightweight Directory Access Protocol) und ein Linux PAM (Pluggable Authentication Module) durchzuführen. Dies kann besonders bei einer hohen Anzahl zu administrierender Linux-Systeme zu einer erheblichen Reduzierung des Verwaltungsaufwands für die Kennungen führen.

Linux und Krypto-Hardware von zSeries-Maschinen

zSeries-Systeme können mit optionalen kryptographischen Prozessor-Karten vom Typ PCICA (Peripheral Component Interconnect Cryptographic Accelerator) oder PCICC (Peripheral Component Interconnect Cryptographic Coprocessor) ausgestattet werden. Diese Karten dienen der Performance-Verbesserung von Krypto-Funktionen und zur sicheren Verwahrung von digitalen Schlüsseln. Beide Karten werden auch von Linux unterstützt. Da Linux das CCF (Cryptographic Coprocessor Feature) nicht unterstützt, sollte überlegt werden, diese Krypto-Karten einzusetzen. Dies kann unter allen oben beschriebenen Installationsvarianten erfolgen. Unter z/VM können die Krypto-Karten von mehreren Linux-Systemen gleichzeitig und unabhängig von einander verwendet werden.

Kommunikation von Linux unter zSeries-Hardware

Die Kommunikation von Betriebssystemen, z/OS oder Linux, die entweder im LPAR-Mode oder unter z/VM auf derselben zSeries-Hardware installiert sind, sollte über interne Kanäle erfolgen, d. h. über HiperSockets oder virtuelle CTC-Verbindungen (Channel-to-Channel). Diese ermöglichen eine schnelle TCP/IP-Verbindung zwischen den Betriebssystem-Installationen. Im Vergleich mit der Kommunikation über das lokale Netz werden hierdurch die Fehler- und Angriffsmöglichkeiten reduziert, da die Informationen direkt innerhalb derselben Hardware von System zu System fließen.

Ergänzende Kontrollfragen: