Steuern des Zugriffs auf ein Computersystem

Alle an einem Arbeitsplatz mit einem Server verbundenen Computer können als ein großes, vielseitiges System betrachtet werden. Sie sind für die Sicherheit dieses größeren Systems verantwortlich. Sie müssen das Netzwerk vor Zugriffsversuchen Außenstehender schützen. Sie müssen auch die Integrität der Daten auf den Computern im Netzwerk sicherstellen.

Auf Dateiebene bietet Oracle Solaris Standardsicherheitsfunktionen, die Sie zum Schutz von Dateien, Verzeichnissen und Geräten verwenden können. Auf System- und Netzwerkebene liegen meistens die gleichen Probleme vor. Der erste Ansatz zur Gewährleistung der Sicherheit besteht darin, den Zugriff auf das System zu steuern.

Sie können den Zugriff auf das System folgendermaßen steuern und überwachen:

Gewährleisten physischer Sicherheit

Um den Zugriff auf das System zu steuern, müssen Sie die physische Sicherheit Ihrer Computerumgebung gewährleisten. Beispielsweise stellen Systeme, die nach der Anmeldung unbeaufsichtigt gelassen werden, Sicherheitsrisiken dar. Sie bieten Eindringlingen die Möglichkeit, sich Zugriff auf das Betriebssystem und das Netzwerk zu verschaffen. Die Umgebung und die Hardware des Computers muss physisch vor unberechtigtem Zugriff geschützt werden.

Sie können ein SPARC-System vor unberechtigtem Zugriff auf die Hardwareeinstellungen schützen. Verwenden Sie den Befehl eeprom, damit ein Passwort für den Zugriff auf den PROM erforderlich ist. Weitere Informationen finden Sie unter So legen Sie fest, dass ein Passwort für Hardwarezugriff erforderlich ist.

Steuern von Anmeldungen

Sie müssen außerdem unberechtigte Anmeldungen bei einem System oder Netzwerk verhindern, und zwar durch Zuweisen von Passwörtern und Steuern von Anmeldungen. Alle Konten auf einem System müssen über ein Passwort verfügen. Ein Passwort ist ein einfacher Authentifizierungsmechanismus. Mit einem Konto ohne Passwort kann sich jeder Zugriff auf das Netzwerk verschaffen, der einen Benutzernamen erraten kann. Ein starker Passwortalgorithmus schützt vor Brute-Force-Angriffen.

Wenn sich ein Benutzer beim System anmeldet, überprüft der Befehl login die Naming Service- oder Directory Service-Datenbank entsprechend den Informationen in der Datei /etc/nsswitch.conf. Diese Datei kann folgende Einträge enthalten:

files: /etc-Dateien auf dem lokalen System
ldap: LDAP-Verzeichnisservice auf dem LDAP-Server
nis: NIS-Datenbank auf dem NIS-Master-Server
nisplus: NIS+-Datenbank auf dem NIS+-Root-Server

Eine Beschreibung der Datei nsswitch.conf finden Sie auf der Manpage nsswitch.conf(4). Informationen zu Naming Services und Directory Services finden Sie in Systemverwaltungshandbuch: Naming Services und Directory Services (DNS, NIS und LDAP) oder in System Administration Guide: Naming and Directory Services (NIS+).

Der Befehl login überprüft den vom Benutzer eingegebenen Benutzernamen und das Passwort. Wenn der Benutzername in der Passwortdatei nicht vorhanden ist, verweigert der Befehl login den Zugriff auf das System. Wenn nicht das richtige Passwort für den angegebenen Benutzernamen eingegeben wird, verweigert der Befehl login den Zugriff auf das System. Wenn der Benutzer einen gültigen Benutzernamen und das entsprechende Passwort angibt, gewährt das System dem Benutzer Zugriff.

PAM-Module können die Anmeldung bei Anwendungen nach einer erfolgreichen Anmeldung beim System optimieren. Weitere Informationen finden Sie in Kapitel 17Verwenden von PAM.

Auf Oracle Solaris-Systemen stehen anspruchsvolle Authentifizierungs- und Autorisierungsmechanismen zur Verfügung. Authentifizierungs- und Autorisierungsmechanismen auf Netzwerkebene werden unter Authentifizierung und Autorisierung für Remote-Zugriff beschrieben.

Verwalten von Passwortinformationen

Wenn sich Benutzer bei einem System anmelden, müssen sie einen Benutzernamen und ein Passwort angeben. Anmeldenamen können bekannt sein, Passwörter müssen jedoch geheim gehalten werden. Passwörter sollten nur den einzelnen Benutzern bekannt sein. Bitten Sie Benutzer, ihre Passwörter mit Bedacht zu wählen. Benutzer sollten ihre Passwörter oft ändern.

Passwörter werden anfänglich bei der Einrichtung eines Benutzerkontos erstellt. Um die Sicherheit der Benutzerkonten zu gewährleisten, können Sie Benutzer mithilfe der Passwortdatierung zur regelmäßigen Änderung ihrer Passwörter zwingen. Sie können ein Benutzerkonto auch deaktivieren, indem Sie das Passwort sperren. Detaillierte Informationen zur Verwaltung von Passwörtern finden Sie in Kapitel 4, Managing User Accounts and Groups (Overview) in System Administration Guide: Basic Administration und auf der Manpage passwd(1).

Lokale Passwörter

Wenn in Ihrem Netzwerk lokale Dateien zur Authentifizierung von Benutzern verwendet werden, sind die Passwortinformationen in den Dateien /etc/passwd und /etc/shadow des Systems enthalten. Der Benutzername und andere Informationen befinden sich in der Datei /etc/passwd. Das verschlüsselte Passwort befindet sich in einer separaten shadow-Datei, /etc/shadow. Dank dieser Sicherheitsmaßnahme haben Benutzer keinen Zugriff auf die verschlüsselten Passwörter. Während die Datei /etc/passwd für jeden verfügbar ist, der sich bei einem System anmelden kann, kann nur der Superuser oder eine entsprechende Rolle die Datei /etc/shadow lesen. Mit dem Befehl passwd können Sie das Passwort eines Benutzers auf einem lokalen System ändern.

NIS- und NIS+-Passwörter

Wenn in Ihrem Netzwerk NIS zur Authentifizierung von Benutzern verwendet wird, befinden sich die Passwortinformationen in der NIS-Passwort-Map. NIS unterstützt keine Passwortdatierung. Mit dem Befehl passwd -r nis ändern Sie ein in einer NIS-Passwort-Map gespeichertes Benutzerpasswort.

Wenn in Ihrem Netzwerk NIS+ zur Authentifizierung von Benutzern verwendet wird, werden Passwortinformationen in der NIS+-Datenbank gespeichert. Informationen in der NIS+-Datenbank können geschützt werden, indem der Zugriff auf autorisierte Benutzer beschränkt wird. Mit dem Befehl passwd -r nisplus können Sie das in einer NIS+-Datenbank gespeicherte Passwort eines Benutzers ändern.

LDAP-Passwörter

Der Oracle Solaris LDAP-Naming Service speichert Passwort- und Shadow-Informationen im Container ou=people des LDAP-Verzeichnisbaums. Auf dem Oracle Solaris LDAP-Naming Service-Client können Sie das Passwort eines Benutzers mit dem Befehl passwd -r ldap ändern. Der LDAP-Naming Service speichert das Passwort im LDAP-Repository.

Die Passwortrichtlinie wird auf dem Sun Java System Directory Server durchgesetzt. Insbesondere das Modul pam_ldap des Clients wird von den Passwortrichtlinien gesteuert, die auf dem Sun Java System Directory Server durchgesetzt werden. Weitere Informationen finden Sie unter LDAP-Naming Services-Sicherheitsmodell in Systemverwaltungshandbuch: Naming Services und Directory Services (DNS, NIS und LDAP).

Passwortverschlüsselung

Starke Passwortverschlüsselung bietet einen vorzeitigen Schutz gegen Angriffe. Oracle Solaris-Software bietet sechs Passwortverschlüsselungsalgorithmen. Die Algorithmen Blowfish, MD5 und SHA bieten eine robustere Passwortverschlüsselung als der UNIX-Algorithmus.

Passwort-Algorithmuskennungen

Die Algorithmuskonfiguration für einen Standort wird in der Datei /etc/security/policy.conf angegeben. In der Datei policy.conf werden die in der folgenden Tabelle genannten Kennungen für Algorithmen verwendet. Eine Zuordnung zwischen Kennung und Algorithmus finden Sie in der Datei /etc/security/crypt.conf.

Tabelle 2-1 Passwortverschlüsselungsalgorithmen

Kennung	Beschreibung	Algorithmus-Manpage
`1`	Der MD5-Algorithmus ist mit den MD5-Algorithmen auf BSD- und Linux-Systemen kompatibel.	`crypt_bsdmd5`(5)
`2a`	Der Blowfish-Algorithmus ist mit dem Blowfish-Algorithmus auf BSD-Systemen kompatibel.	`crypt_bsdbf`(5)
`md5`	Im Vergleich zur BSD- und Linux-Version von MD5 gilt der Sun MD5-Algorithmus als stärker.	`crypt_sunmd5`(5)
`5`	Der SHA256-Algorithmus. SHA steht für Secure Hash Algorithm. Dieser Algorithmus gehört zur SHA-2-Familie. SHA256 unterstützt Passwörter mit 255 Zeichen.	`crypt_sha256`(5)
`6`	Der SHA512-Algorithmus	`crypt_sha512`(5)
`__unix__`	Der traditionelle UNIX-Verschlüsselungsalgorithmus. Dieser Algorithmus ist das Standardmodul in der Datei `policy.conf`.	`crypt_unix`(5)

Algorithmuskonfiguration in der Datei `policy.conf`

Der folgende Abschnitt zeigt die Standard-Algorithmuskonfiguration in der Datei policy.conf:

#
…
# crypt(3c) Algorithms Configuration
#
# CRYPT_ALGORITHMS_ALLOW specifies the algorithms that are allowed to
# be used for new passwords.  This is enforced only in crypt_gensalt(3c).
#
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6

# To deprecate use of the traditional unix algorithm, uncomment below
# and change CRYPT_DEFAULT= to another algorithm.  For example,
# CRYPT_DEFAULT=1 for BSD/Linux MD5.
#
#CRYPT_ALGORITHMS_DEPRECATE=__unix__

# The Solaris default is the traditional UNIX algorithm.  This is not
# listed in crypt.conf(4) since it is internal to libc.  The reserved
# name __unix__ is used to refer to it.
#
CRYPT_DEFAULT=__unix__
…

Wenn Sie den Wert für CRYPT_DEFAULT ändern, werden die Passwörter neuer Benutzer mit dem Algorithmus verschlüsselt, der durch den neuen Wert angegeben wird.

Wenn vorhandene Benutzer ihre Passwörter ändern, wirkt sich die Verschlüsselung des alten Passworts auf diejenige des neuen Passwort aus. Nehmen Sie beispielsweise Folgendes an: CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 und CRYPT_DEFAULT=1 . Die nachstehende Tabelle zeigt, welche Algorithmen verwendet werden, um das verschlüsselte Passwort zu generieren.

Kennung = Passwortalgorithmus		Erläuterung
Anfängliches Passwort	Geändertes Passwort	Erläuterung
`1` = `crypt_bsdmd5`	Verwendet den gleichen Algorithmus	Die Kennung `1` ist auch der Wert von `CRYPT_DEFAULT`. Das Passwort des Benutzers wird weiterhin mit dem Algorithmus `crypt_bsdmd5` verschlüsselt.
`2a` = `crypt_bsdbf`	Verwendet den gleichen Algorithmus	Die Kennung `2a` befindet sich in der Liste `CRYPT_ALGORITHMS_ALLOW`. Daher wird das neue Passwort mit dem Algorithmus `crypt_bsbdf` verschlüsselt.
`md5` = `crypt_md5`	Verwendet den gleichen Algorithmus	Die Kennung `md5` befindet sich in der Liste `CRYPT_ALGORITHMS_ALLOW`. Daher wird das neue Passwort mit dem Algorithmus `crypt_md5` verschlüsselt.
`5` = `crypt_sha256`	Verwendet den gleichen Algorithmus	Die Kennung `5` befindet sich in der Liste `CRYPT_ALGORITHMS_ALLOW`. Daher wird das neue Passwort mit dem Algorithmus `crypt_sha256` verschlüsselt.
`6` = `crypt_sha512`	Verwendet den gleichen Algorithmus	Die Kennung `6` befindet sich in der Liste `CRYPT_ALGORITHMS_ALLOW`. Daher wird das neue Passwort mit dem Algorithmus `crypt_sha512` verschlüsselt.
`__unix__` = `crypt_unix`	Verwendet den Algorithmus `crypt_bsdmd5`	Die Kennung `__unix__` befindet sich in der Liste `CRYPT_ALGORITHMS_ALLOW`. Daher kann der Algorithmus `crypt_unix` nicht verwendet werden. Das neue Passwort wird mit dem Algorithmus `CRYPT_DEFAULT` verschlüsselt.

Weitere Informationen zur Konfiguration von Algorithmusoptionen finden Sie auf der Manpage policy.conf(4). Informationen zur Angabe der Passwortverschlüsselungsalgorithmen finden Sie unter Ändern des Passwortalgorithmus (Übersicht der Schritte).

Spezielle Systemkonten

Das root-Konto ist eines von mehreren speziellen Systemkonten. Von diesen Konten verfügt nur das root-Konto über ein Passwort und kann zur Anmeldung verwendet werden. Das nuucp-Konto kann zur Anmeldung bei Dateiübertragungen verwendet werden. Die anderen Systemkonten schützen entweder Dateien oder führen administrative Vorgänge aus, ohne vollständige root-Berechtigung.

Achtung - Ändern Sie nie die Passworteinstellung eines Systemkontos. Ein Konto mit NP oder *LK*sys im zweiten Feld der shadow-Datei ist ein Systemkonto.

In der folgenden Tabelle werden einige Systemkonten und ihre Verwendung aufgeführt. Die Systemkonten haben spezielle Funktionen. Jedes Konto hat eine UID unter 100.

Tabelle 2-2 Systemkonten und ihre Verwendung

Systemkonto	GID	Verwendung
`root`	`0`	Hat fast keine Beschränkungen. Kann andere Schutzmaßnahmen und Berechtigungen überschreiben. Das `root`-Konto hat Zugriff auf das gesamte System. Das Passwort für die `root`-Anmeldung muss sorgfältig geschützt werden. Das `root`-Konto (Superuser) verfügt über Zugriff auf die meisten Oracle Solaris-Befehle.
`daemon`	`1`	Steuert die Hintergrundverarbeitung
`bin`	`2`	Verfügt über Zugriff auf einige Oracle Solaris-Befehle
`sys`	`3`	Verfügt über Zugriff auf zahlreiche Systemdateien
`adm`	`4`	Verfügt über Zugriff auf einige administrative Dateien
`lp`	`71`	Verfügt über Zugriff auf die Objektdatendateien und gespoolten Datendateien für den Drucker
`uucp`	`5`	Verfügt über Zugriff auf die Objektdatendateien und gespoolten Datendateien für UUCP, das Programm zum Kopieren von UNIX zu UNIX
`nuucp`	`9`	Wird von Remote-Systemen zur Anmeldung bei Systemen und zum Starten der Dateiübertragung verwendet

Remote-Anmeldungen

Remote-Anmeldungen stellen eine Versuchung für Eindringlinge dar. Oracle Solaris bietet mehrer Befehle zum Überwachen, Beschränken und Deaktivieren von Remote-Anmeldungen. Die Vorgänge werden unter Schützen von Anmeldungen und Passwörtern (Übersicht der Schritte) beschrieben.

Standardmäßig können Systemgeräte, wie beispielsweise die Maus, die Tastatur, der Bildspeicher oder ein Audiogerät, mit bestimmten Anmeldungen nicht gesteuert oder gelesen werden. Weitere Informationen finden Sie auf der Manpage logindevperm(4).

Einwahlanmeldungen

Wenn über ein Modem oder einen Einwahlport auf einen Computer zugegriffen wird, können Sie weitere Sicherheitsmaßnahmen ergreifen. Sie können ein Einwahl-Passwort für Benutzer festlegen, die über ein Modem oder einen Einwahlport auf ein System zugreifen. Ein Benutzer muss dieses zusätzliche Passwort eingeben, bevor er Zugriff auf das System erhält.

Nur ein Superuser kann ein Einwahl-Passwort erstellen oder ändern. Ändern Sie das Passwort ungefähr einmal im Monat, um die Integrität des Systems zu gewährleisten. Diese Funktion wird am effizientesten verwendet, um ein Einwahl-Passwort für den Zugriff auf ein Gateway-System anzufordern. Informationen zur Einrichtung von Einwahl-Passwörtern finden Sie unter So erstellen Sie ein Einwahl-Passwort.

Zwei Dateien sind an der Erstellung eines Einwahl-Passworts beteiligt: /etc/dialups und /etc/d_passwd. Die Datei dialups enthält eine Liste von Ports, für die ein Einwahl-Passwort eingegeben werden muss. Die Datei d_passwd enthält eine Liste von Shell-Programmen, für die ein verschlüsseltes Passwort als zusätzliches Einwahl-Passwort eingegeben werden muss. Die Informationen in diesen beiden Dateien werden wie folgt verarbeitet:

Wenn die Anmelde-Shell des Benutzers in /etc/passwd einem Eintrag in /etc/d_passwd entspricht, muss der Benutzer ein Einwahl-Passwort angeben.
Wenn die Anmelde-Shell des Benutzers in /etc/passwd nicht in /etc/d_passwd gefunden wird, muss der Benutzer das Standardpasswort eingeben. Das Standardpasswort entspricht dem Eintrag für /usr/bin/sh.
Wenn das Feld für die Anmelde-Shell in /etc/passwd leer ist, muss der Benutzer das Standardpasswort eingeben. Das Standardpasswort entspricht dem Eintrag für /usr/bin/sh.
Wenn /etc/d_passwd keinen Eintrag für /usr/bin/sh enthält, werden die Benutzer, deren Feld für die Anmelde-Shell in /etc/passwd leer ist oder die mit keinem Eintrag in /etc/d_passwd übereinstimmen, nicht zur Eingabe eines Einwahl-Passworts aufgefordert.
Einwahl-Anmeldungen sind deaktiviert, wenn /etc/d_passwd nur den Eintrag /usr/bin/sh:*: enthält.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices