14.3 Eigenschaften der Sicherheitsebenen

Im Folgenden erhalten Sie eine Beschreibung der unterschiedlichen Sicherheits-Funktionalitäten, mit denen Ihr System durch die jeweiligen Ebenen ausgestattet wird. Diese Eigenschaften umfassen unterschiedliche Typen:

Fonktion \ Ebene012345
Globale Sicherheitsüberprüfung  jajajaja
umask für Benutzer002002002002077077
umask für root002002002002002077
Shell ohne Passwortja     
autorisiert für Verbindung mit X Serveralle lokal lokal keinerkeinerkeiner
Benutzer in der Gruppe audiojajaja   
. im $PATHjaja    
Warnungen in Datei /var/log/security.log jajajajaja
direkte Warnungen auf tty  jajajaja
Warnungen in syslog  jajajaja
Warnungen per E-Mail an root  jajajaja
suid root Dateien prüfen  jajajaja
suid root Dateien MD5 prüfen  jajajaja
schreibbare Dateien prüfen   jajaja
Berechtigungen prüfen   jajaja
suid Gruppendateien prüfen   jajaja
Besitzerlose Dateien suchen   jajaja
Suche nach neugierigen Prozessen   jajaja
Suche nach offenen Ports   jajaja
Integrität der passwd Datei prüfen   jajaja
Integrität der shadow Datei prüfen   jajaja
Täglicher Sicherheits-Check um Mitternacht   jajaja
Alle Systemereignisse werden zusätzlich auf /dev/tty12 protokolliert   jajaja
Strg-Alt-Entf darf nur root    jaja
unbekannte Dienste sind abgeschaltet    jaja
Bootpasswort (grub/LILO)    jaja
Verbindungsaufbau erlaubt füralle alle alle alle lokal keinen

Sechs der zehn periodischen Kontrollen können System-Änderungen erkennen. Nach jedem Check wird der aktuelle Systemzustand in Dateien unter /var/log/security/ gespeichert. Sollten nun Veränderungen seit dem letzten Check (normalerweise einen Tag vorher) aufgetreten sein, erhalten Sie eine Warnung. Die Checks sind:

14.3.1 ,,Globale Sicherheitsüberprüfungen``

  1. NFS filesystems globally exported: (,,Weltweit exportierte NFS-Dateisysteme``) Dies muss als unsicher angesehen werden, da keine Möglichkeiten existieren, festzustellen, wer diese Dateisysteme eingehängt und was er evtl. verändert hat.

  2. NFS mounts with missing nosuid: (,,NFS-Exporte mit fehlendem nosuid``) Diese Dateisysteme werden ohne die Option nosuid exportiert, die die Ausführung von suid-Programmen untersagt.

  3. Host trusting files contain + sign: (,,Die Rechner-Vertrauens-Datei enthält das Zeichen +``) Das bedeutet, dass mindestens eine der Dateien /etc/hosts.equiv, /etc/shosts.equiv oder /etc/hosts.lpd Rechner enthält, die sich ohne saubere Authentifizierung mit Ihrem Rechner verbinden dürfen.

  4. Executables found in the aliases files: (,,Ausführbare Programme in den Alias-Dateien gefunden``) Diese Warnung weist darauf hin, dass in mindestens einer der Dateien /etc/aliases und /etc/postfix/aliases Aliase definiert werden, die existierende Programme ,,verdecken``.

14.3.2 ,,umask für Benutzer``

Setzt die Dateierzeugungsmaske (umask) für normale Benutzerkennzeichen auf den angegebenen Wert.

14.3.3 ,,umask für root``

Setzt die Dateierzeugungsmaske (umask) für das privilegierte Benutzerkennzeichen root auf den angegebenen Wert.

14.3.4 ,,shell ohne Passwort``

Der Zugriff auf die Konsolen wird ohne Abfrage eines Passworts gestattet.

14.3.5 ,,Zugriff auf X-Anzeige erlaubt``

  1. alle: Ausnahmslos jeder kann ein X-Fenster auf Ihrem Bildschirm öffnen.

  2. lokal: nur Benutzer, die am localhost angeschlossen sind, dürfen ein X Fenster auf Ihrem Bildschirm öffnen.

  3. keiner: niemand darf das.

14.3.6 ,,Benutzer in der Gruppe audio``

Jeder Benutzer ist ein Mitglied der Gruppen audio, und cdrom. Das bedeutet, dass alle Benutzer einige spezielle Privilegien im Zusammenhang mit Soundkarten und Wechselmedien besitzen.

14.3.7 ,,. in $PATH``

Der Platzhalter für das aktuelle Verzeichnis, der Punkt (.), wird der Umgebungs-Variable $PATH hinzugefügt. Dies erleichtert die Ausführung von Programmen im aktuellen Verzeichnis (dies ist aber ebenfalls eine Sicherheitslücke, es würde jedoch zu weit führen, hier zu erläutern, in welcher Form).

14.3.8 ,,Warnungen in /var/log/security.log``

Alle MSEC-Warnungen werden in /var/log/security.log festgehalten.

14.3.9 ,,Warnungen direkt auf tty``

Jede Warnung, die von MSEC ausgegeben wird, erscheint unmittelbar auf der aktuellen Konsole.

14.3.10 ,,Warnungen in syslog``

Alle Warnungen von MSEC werden an den Dienst syslog weitergereicht.

14.3.11 ,,Warnungen per E-Mail an root``

Warnungen, die von MSEC ausgegeben werden, werden ebenfalls per E-Mail an root verschickt.

14.3.12 ,,SUID root Dateien prüfen``

Sucht nach neuen oder gelöschten suid root Dateien im System. Werden solche Dateien entdeckt, so wird eine Auflistung dieser Dateien als Warnung ausgegeben.

14.3.13 ,,MD5-Test der Dateien SUID root``

Verifiziert die MD5-Summe jeder Datei suid root. Sollte sich herausstellen, dass sie sich geändert hat, bedeutet dies, dass das Programm verändert wurde, möglicherweise hatte Ihr System Besuch von einem Eindringling. Auch hier wird eine Warnung ausgegeben.

14.3.14 ,,Suche nach schreibbaren Dateien``

Prüft, ob sich Dateien auf dem System befinden, die von allen verändert werden können. Falls solche Dateien gefunden werden, wird eine Warnung mit einer Liste all dieser Dateien ausgegeben.

14.3.15 ,,Berechtigungen prüfen``

Dieses überprüft die Berechtigungen einiger besonderer Dateien, wie zum Beispiel .netrc oder die Konfigurationsdateien der Benutzer. Weiterhin prüft es die Berechtigungen der Benutzerheimverzeichnisse. Sollten deren Berechtigungen zu locker oder deren Benutzer unüblich sein, so wird ebenfalls eine Warnung ausgegeben.

14.3.16 ,,SUID Gruppendateien prüfen``

Überprüft neue oder gelöschte suid Gruppendateien im System. Werden solche Dateien gefunden, so wird eine Liste dieser Dateien als Warnung ausgegeben.

14.3.17 ,,Besitzerlose Dateien suchen``

Diese Überprüfung sucht nach Dateien, die entweder Benutzern oder Gruppen gehören, die dem System nicht bekannt sind. Werden solche Dateien entdeckt, so wird der Besitzer/die Gruppe automatisch auf nobody geändert.

14.3.18 ,,Suche nach neugierigen Prozessen``

Dieser Test untersucht jede Ethernet-Karte ob neugierige Prozesse alle durchkommenden Daten-Pakete mithören, auch die, die nicht für sie bestimmt sind, ob sich die Karte also im sog. ,,promiscuous``-Modus befindet. Falls ja, haben Sie einen Sniffer-Prozess auf Ihrem Rechner laufen. Dieser Test wird einmal pro Minute durchgeführt!

14.3.19 ,,Suche nach offenen Ports``

Generiert eine Liste aller offenen Ports Ihres Systems.

14.3.20 ,,Integrität der passwd Datei prüfen``

Kontrolliert, ob für jedes Benutzerkennzeichen ein Passwort (kein leeres und kein zu leicht zu erratendes) existiert und das dieses in der Datei shadow steht.

14.3.21 ,,Integrität der shadow Datei prüfen``

Stellt sicher, dass jeder Benutzer in der Datei shadow ein Passwort besitzt (welches nicht leer oder einfach zu erraten ist).

14.3.22 ,,Täglicher Sicherheits-Check um Mitternacht``

Alle vorherigen Überprüfungen werden jeden Tag um Mitternacht durchgeführt. Dies setzt die Hinzufügung eines cron Skriptes in der Datei crontab voraus.

14.3.23 ,,unbekannte Dienste sind abgeschaltet``

Nur Dienste in /etc/security/msec/init-sh/server.4 für Sicherheitsebene 4, bzw. server.5 für Ebene 5, bleiben unbehelligt, alle anderen werden angehalten. Sie werden nicht aus dem System entfernt, sondern einfach beim nächsten Wechseln des Runlevels nicht mehr gestartet. Sollten Sie einen davon wieder benötigen, können Sie ihn mit Hilfe des Programms chkconfig erneut hinzufügen (vermutlich werden Sie ihn auch erneut mit dem entsprechenden init-Skript, das Sie im Verzeichnis /etc/rc.d/init.d/ finden, starten müssen).

14.3.24 ,,Bootpasswort``

Je nach verwendetem Betriebssystem-Starter erhalten Sie hier unterschiedliches Verhalten:

Bei Verwendung von grub:

Zum Boot-Zeitpunkt fragt grub Sie nur nach dem Passwort, wenn Sie dem Kern manuell zusätzliche Parameter übergeben wollen. Das ermöglicht es Ihrem Rechner einerseits ohne menschliches Eingreifen einen Neustart durchzuführen, andererseits verhindert es, dass unautorisierte Personen durch einen Neustart des Rechners Zugriff auf das System bekommen können (etwa durch Starten in den sog. fail safe-Modus).

Bei Verwendung von LILO:

Erlaubt es Ihnen LILO durch ein Passwort zu schützen. Dies verhindert, dass (unbefugte) Personen Ihren Rechner starten, andererseits kann Ihr System dann nicht selbst einen Neustart ausführen.

14.3.25 ,,Verbindungsaufbau erlaubt für``

  1. alle: Alle Rechner dürfen sich an offenen Ports melden.

  2. lokal: Nur Prozesse Ihres Rechners (localhost) dürfen sich an offenen Ports melden.

  3. keinen: kein Rechner darf sich mit offenen Ports verbinden.

Fußnoten

[1]

Prozesse die Pakete mithören, die nicht für sie bestimmt sind.


[Tux vor dem MandrakeSoft Stern] Linux ist ein eingetragenes Warenzeichen von Linus Torvalds. Alle anderen Warenzeichen und Copyrights sind das Eigentum ihrer Inhaber.
Sofern nichts anderes Angaben ist, unterliegen die Inhalte der Seiten sowie alle Bilder dem Copyright von MandrakeSoft S.A. und MandrakeSoft Inc. 2001.
http://www.mandrakelinux.com/