Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
Schützen von Dateien mithilfe von UNIX-Berechtigungen
Befehle zum Anzeigen und Schützen von Dateien
Datei- und Verzeichniseigentümerschaft
Besondere Dateiberechtigungen (setuid, setgid und Sticky Bit)
Schützen von UFS-Dateien mithilfe von Zugriffssteuerungslisten
ACL-Einträge für UFS-Verzeichnisse
Befehle zum Verwalten von UFS-ACLs
Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien
Schützen von Dateien (Übersicht der Schritte)
Schützen von Dateien mithilfe von UNIX-Berechtigungen (Übersicht der Schritte)
So zeigen Sie Dateiinformationen an
So ändern Sie den Eigentümer einer lokalen Datei
So ändern Sie die Gruppeneigentümerschaft einer Datei
So ändern Sie die Dateiberechtigungen im symbolischen Modus
So ändern Sie Dateiberechtigungen im absoluten Modus
So ändern Sie besondere Dateiberechtigungen im absoluten Modus
Schützen von UFS-Dateien mit ACLs (Übersicht der Schritte)
So stellen Sie fest, ob eine Datei über eine ACL verfügt
So fügen Sie einer Datei ACL-Einträge hinzu
So ändern Sie die ACL-Einträge für eine Datei
So löschen Sie ACL-Einträge aus einer Datei
So zeigen Sie ACL-Einträge für eine Datei an
Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte)
So suchen Sie Dateien mit besonderen Dateiberechtigungen
So hindern Sie Programme an der Verwendung ausführbarer Stacks
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
In der folgenden Übersicht der Schritte wird auf Verfahren verwiesen, die Dateiberechtigungen auflisten und ändern, sowie Dateien mit besonderen Dateiberechtigungen schützen.
|
Mit dem Befehl ls zeigen Sie Informationen zu allen Dateien in einem Verzeichnis an.
% ls -la
Zeigt das lange Format an, das Benutzereigentümerschaft, Gruppeneigentümerschaft und Dateiberechtigungen enthält
Zeigt alle Dateien an, einschließlich verborgener Dateien, die mit einem Punkt (.) beginnen
Beispiel 6-1 Anzeigen von Dateiinformationen
In dem folgenden Beispiel wird eine partielle Liste von Dateien im Verzeichnis /sbin angezeigt.
% cd /sbin % ls -la total 13456 drwxr-xr-x 2 root sys 512 Sep 1 14:11 . drwxr-xr-x 29 root root 1024 Sep 1 15:40 .. -r-xr-xr-x 1 root bin 218188 Aug 18 15:17 autopush lrwxrwxrwx 1 root root 21 Sep 1 14:11 bpgetfile -> ... -r-xr-xr-x 1 root bin 505556 Aug 20 13:24 dhcpagent -r-xr-xr-x 1 root bin 456064 Aug 20 13:25 dhcpinfo -r-xr-xr-x 1 root bin 272360 Aug 18 15:19 fdisk -r-xr-xr-x 1 root bin 824728 Aug 20 13:29 hostconfig -r-xr-xr-x 1 root bin 603528 Aug 20 13:21 ifconfig -r-xr-xr-x 1 root sys 556008 Aug 20 13:21 init -r-xr-xr-x 2 root root 274020 Aug 18 15:28 jsh -r-xr-xr-x 1 root bin 238736 Aug 21 19:46 mount -r-xr-xr-x 1 root sys 7696 Aug 18 15:20 mountall . . .
Jede Zeile enthält Informationen zu einer Datei in der folgenden Reihenfolge:
Dateityp – Beispiel: d. Eine Liste von Dateitypen finden Sie unter Datei- und Verzeichniseigentümerschaft.
Berechtigungen – Beispiel: r-xr-xr-x. Eine Beschreibung finden Sie unter Datei- und Verzeichniseigentümerschaft.
Anzahl der Hard Links – Beispiel: 2
Eigentümer der Datei – Beispiel root
Gruppe der Datei – Beispiel: bin
Dateigröße in Byte – Beispiel: 7696
Erstellungsdatum oder letztes Änderungsdatum der Datei – Beispiel: Aug 18 15:20
Name der Datei – Beispiel mountall
Der Dateieigentümer, die Rolle "Primary Administrator" oder der Superuser können die Eigentümerschaft einer beliebigen Datei ändern.
% ls -l example-file -rw-r--r-- 1 janedoe staff 112640 May 24 10:49 example-file
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# chown stacey example-file
# ls -l example-file -rw-r--r-- 1 stacey staff 112640 May 26 08:50 example-file
Beispiel 6-2 Benutzern erlauben, die Eigentümerschaft für ihre eigenen Dateien zu ändern
Sicherheitshinweis: Ändern Sie die Einstellung der Variablen rstchown nicht ohne guten Grund in null. Diese Einstellung ermöglicht einem Benutzer, für die eigenen Dateien einen anderen Eigentümer zu definieren.
In diesem Beispiel ist die Variable rstchown in der Datei /etc/system auf null eingestellt. Diese Einstellung ermöglicht dem Eigentümer einer Datei, mit dem Befehl chown einen anderen Benutzer als Eigentümer der Datei zu definieren. Diese Einstellung ermöglicht dem Eigentümer, mit dem Befehl chgrp eine Gruppe, zu der er selbst nicht gehört, als Eigentümer der Datei zu definieren. Die Änderung wird erst nach einem Neustart des Systems wirksam.
set rstchown = 0
Weitere Informationen finden Sie auf den Manpages chown(1) und chgrp(1).
Beachten Sie, dass das Ändern von Eigentümerschaft und Gruppen bei über NFS eingehängten Dateisystemen noch weiter eingeschränkt ist. Weitere Informationen zum Einschränken des Zugriffs auf über NFS eingehängten Systemen finden Sie in Kapitel 6, Zugreifen auf Netzwerkdateisysteme (Referenz) in Systemverwaltungshandbuch: Netzwerkdienste.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
$ chgrp scifi example-file
Informationen zum Einrichten von Gruppen finden Sie in Kapitel 4, Managing User Accounts and Groups (Overview) in System Administration Guide: Basic Administration.
$ ls -l example-file -rw-r--r-- 1 stacey scifi 112640 June 20 08:55 example-file
Weitere Informationen finden Sie unter Beispiel 6-2.
Nur der aktuelle Eigentümer oder der Superuser kann die Berechtigungen für eine Datei oder ein Verzeichnis mit dem Befehl chmod ändern.
% chmod who operator permissions filename
Gibt an, wessen Berechtigungen geändert werden
Gibt an, welcher Vorgang ausgeführt wird
Gibt an, welche Berechtigungen geändert werden sollen Eine Liste gültiger Symbole finden Sie in Tabelle 6-5.
Gibt die Datei oder das Verzeichnis an.
% ls -l filename
Beispiel 6-3 Ändern der Berechtigungen im symbolischen Modus
In dem folgenden Beispiel wird anderen Benutzern die Leseberechtigung entzogen.
% chmod o-r example-file1
In dem folgenden Beispiel werden dem Benutzer, der Gruppe und anderen Benutzern Lese- und Ausführungsberechtigungen gewährt.
$ chmod a+rx example-file2
In dem folgenden Beispiel werden der Gruppe Lese-, Schreib- und Ausführungsberechtigungen zugewiesen.
$ chmod g=rwx example-file3
Nur der aktuelle Eigentümer oder der Superuser kann die Berechtigungen für eine Datei oder ein Verzeichnis mit dem Befehl chmod ändern.
% chmod nnn filename
Gibt die Oktalwerte an, die den Berechtigungen des Dateieigentümers, der Dateigruppe und der anderen Benutzer (in dieser Reihenfolge) entspricht. Eine Liste der gültigen Oktalwerte finden Sie in Tabelle 6-4.
Gibt die Datei oder das Verzeichnis an.
Hinweis - Wenn Sie mit dem Befehl chmod die Dateigruppenberechtigungen für eine Datei mit ACL-Einträgen ändern, werden sowohl die Dateigruppenberechtigungen als auch die ACL-Maske an die neuen Dateigruppenberechtigungen angepasst. Beachten Sie, dass die neuen ACL-Maskenberechtigungen die Berechtigungen für andere Benutzer und Gruppen ändern können, die über ACL-Einträge für die Datei verfügen. Stellen Sie mit dem Befehl getfacl sicher, dass geeignete Berechtigungen für alle ACL-Einträge eingestellt sind. Weitere Informationen finden Sie auf der Manpage getfacl(1).
% ls -l filename
Beispiel 6-4 Ändern der Berechtigungen im absoluten Modus
In dem folgenden Beispiel werden die Berechtigungen für ein öffentliches Verzeichnis von 744 (Lesen, Schreiben, Ausführen; nur Lesen; und nur Lesen) in 755 (Lesen, Schreiben, Ausführen; Lesen und Ausführen; und Lesen und Ausführen) geändert.
# ls -ld public_dir drwxr--r-- 1 jdoe staff 6023 Aug 5 12:06 public_dir # chmod 755 public_dir # ls -ld public_dir drwxr-xr-x 1 jdoe staff 6023 Aug 5 12:06 public_dir
In dem folgenden Beispiel werden die Berechtigungen für ein ausführbares Shell-Skript von Lesen und Schreiben in Lesen, Schreiben und Ausführen geändert.
% ls -l my_script -rw------- 1 jdoe staff 6023 Aug 5 12:06 my_script % chmod 700 my_script % ls -l my_script -rwx------ 1 jdoe staff 6023 Aug 5 12:06 my_script
Nur der aktuelle Eigentümer oder ein Benutzer mit Superuser-Rechten kann die besonderen Berechtigungen für eine Datei oder ein Verzeichnis mit dem Befehl chmod ändern.
% chmod nnnn filename
Gibt die Oktalwerte an, mit denen die Berechtigungen für die Datei oder das Verzeichnis geändert werden. Der am weitesten links befindliche Oktalwert stellt die besonderen Berechtigungen für die Datei ein. Eine Liste der gültigen Oktalwerte für besondere Berechtigungen finden Sie in Tabelle 6-6.
Gibt die Datei oder das Verzeichnis an.
Hinweis - Wenn Sie mit dem Befehl chmod die Dateigruppenberechtigungen für eine Datei mit ACL-Einträgen ändern, werden sowohl die Dateigruppenberechtigungen als auch die ACL-Maske an die neuen Dateigruppenberechtigungen angepasst. Beachten Sie, dass die neuen ACL-Maskenberechtigungen die Berechtigungen für weitere Benutzer und Gruppen ändern können, die über ACL-Einträge für die Datei verfügen. Stellen Sie mit dem Befehl getfacl sicher, dass geeignete Berechtigungen für alle ACL-Einträge eingestellt sind. Weitere Informationen finden Sie auf der Manpage getfacl(1).
% ls -l filename
Beispiel 6-5 Einstellen der Dateiberechtigungen im absoluten Modus
In dem folgenden Beispiel ist die setuid-Berechtigung für die Datei dbprog eingestellt.
# chmod 4555 dbprog # ls -l dbprog -r-sr-xr-x 1 db staff 12095 May 6 09:29 dbprog
In dem folgenden Beispiel ist die setgid-Berechtigung für die Datei dbprog2 eingestellt.
# chmod 2551 dbprog2 # ls -l dbprog2 -r-xr-s--x 1 db staff 24576 May 6 09:30 dbprog2
In dem folgenden Beispiel wird die Sticky Bit-Berechtigung für das Verzeichnis public_dir eingestellt.
# chmod 1777 public_dir # ls -ld public_dir drwxrwxrwt 2 jdoe staff 512 May 15 15:27 public_dir