Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
Schützen von Dateien mithilfe von UNIX-Berechtigungen
Befehle zum Anzeigen und Schützen von Dateien
Datei- und Verzeichniseigentümerschaft
Besondere Dateiberechtigungen (setuid, setgid und Sticky Bit)
Schützen von UFS-Dateien mithilfe von Zugriffssteuerungslisten
ACL-Einträge für UFS-Verzeichnisse
Befehle zum Verwalten von UFS-ACLs
Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien
Schützen von Dateien (Übersicht der Schritte)
Schützen von Dateien mithilfe von UNIX-Berechtigungen (Übersicht der Schritte)
So zeigen Sie Dateiinformationen an
So ändern Sie den Eigentümer einer lokalen Datei
So ändern Sie die Gruppeneigentümerschaft einer Datei
So ändern Sie die Dateiberechtigungen im symbolischen Modus
So ändern Sie Dateiberechtigungen im absoluten Modus
So ändern Sie besondere Dateiberechtigungen im absoluten Modus
Schützen von UFS-Dateien mit ACLs (Übersicht der Schritte)
So stellen Sie fest, ob eine Datei über eine ACL verfügt
So fügen Sie einer Datei ACL-Einträge hinzu
So ändern Sie die ACL-Einträge für eine Datei
So löschen Sie ACL-Einträge aus einer Datei
So zeigen Sie ACL-Einträge für eine Datei an
Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte)
So suchen Sie Dateien mit besonderen Dateiberechtigungen
So hindern Sie Programme an der Verwendung ausführbarer Stacks
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Dateien können mithilfe von UNIX-Dateiberechtigungen und ACLs gesichert werden. Dateien mit Sticky Bits und ausführbare Dateien erfordern spezielle Sicherheitsmaßnahmen.
In dieser Tabelle werden die Befehle zum Überwachen und Schützen von Dateien und Verzeichnissen aufgeführt.
Tabelle 6-1 Befehle zum Schützen von Dateien und Verzeichnissen
|
Herkömmliche UNIX-Dateiberechtigungen können drei Klassen von Benutzern Eigentümerschaft zuweisen:
User: Der Datei- oder Verzeichniseigentümer, der normalerweise dem Benutzer entspricht, der die Datei erstellt hat. Der Benutzer einer Datei kann entscheiden, wer in der Datei lesen, schreiben (Änderungen vornehmen) oder (bei ausführbaren Dateien) wer sie ausführen kann.
Group: Mitglieder einer Gruppe von Benutzern
Other: Alle anderen Benutzer, die weder Eigentümer der Datei noch Mitglieder der Gruppe sind.
Der Eigentümer der Datei kann normalerweise Dateiberechtigungen zuweisen oder ändern. Darüber hinaus können Benutzer oder Rollen mit administrativen Fähigkeiten, wie der Superuser oder die Rolle "Primary Administrator", die Eigentümerschaft für eine Datei ändern. Informationen zum Überschreiben der Systemrichtlinie finden Sie unter Beispiel 6-2.
Es gibt sieben Dateitypen. Jeder Typ wird durch ein Symbol dargestellt:
Spezielle Blockdatei
Spezielle Zeichendatei
Verzeichnis
Symbolischer Link
Socket
Door (Verweis)
Benannte Pipe (FIFO)
In der folgenden Tabelle werden die Berechtigungen aufgeführt und beschrieben, die Sie den einzelnen Benutzerklassen für eine Datei oder ein Verzeichnis gewähren können.
Tabelle 6-2 Datei- und Verzeichnisberechtigungen
|
Die Dateiberechtigungen gelten für normale und besondere Dateien wie Geräte, Sockets oder benannte Pipes (FIFOs).
Für einen symbolischen Link gelten die gleichen Berechtigungen wie für die Datei, auf die der Link verweist.
Sie können die Dateien in einem Verzeichnis und dessen Unterverzeichnissen schützen, indem Sie die Berechtigungen für dieses Verzeichnis einschränken. Beachten Sie jedoch, dass der Superuser auf alle Dateien und Verzeichnisse im System Zugriff hat.
Drei besondere Berechtigungstypen sind für ausführbare Dateien und öffentliche Verzeichnisse verfügbar: setuid, setgid und Sticky Bit. Wenn diese Berechtigungen eingestellt sind, übernimmt jeder Benutzer, der die ausführbare Datei ausführt, die ID des Eigentümers (oder der Gruppe) der ausführbaren Datei.
Sie müssen bei der Gewährung besonderer Berechtigungen überlegt vorgehen, da diese Berechtigungen ein Sicherheitsrisiko darstellen können. Ein Benutzer kann beispielsweise Superuser-Rechte erhalten, indem er ein Programm ausführt, dass die Benutzer-ID (UID) auf 0 einstellt. Dies entspricht der UID des root-Benutzers. Außerdem können alle Benutzer besondere Berechtigungen für ihre eigenen Dateien einstellen, was ein weiteres Sicherheitsrisiko bedeutet.
Überwachen Sie Ihr System auf nicht autorisierte Verwendung der setuid- und setgid-Berechtigung zum Erhalt von Superuser-Rechten. Eine verdächtige Berechtigung weist einem Benutzer statt root oder bin die Eigentümerschaft für ein administratives Programm zu. Informationen zum Suchen und Anzeigen aller Dateien, die diese besondere Berechtigung verwenden, finden Sie unter So suchen Sie Dateien mit besonderen Dateiberechtigungen.
Wenn eine setuid-Berechtigung für eine ausführbare Datei eingestellt wird, erhält der ausführende Prozess Zugriff auf der Basis des Dateieigentümers. Der Zugriff entspricht nicht dem Benutzer, der die Datei ausführt. Diese besondere Berechtigung ermöglicht einem Benutzer, auf die Datei und die Verzeichnisse zuzugreifen, die normalerweise nur für den Eigentümer verfügbar sind.
Die setuid-Berechtigung im passwd-Befehl ermöglicht Benutzern beispielsweise, Passwörter zu ändern. Ein passwd-Befehl mit einer setuid-Berechtigung kann wie folgt aussehen:
-r-sr-sr-x 3 root sys 28144 Jun 17 12:02 /usr/bin/passwd
Diese besondere Berechtigung stellt ein Sicherheitsrisiko dar. Entschlossene Benutzer finden sicher eine Möglichkeit, die vom setuid-Prozess gewährten Berechtigungen nach der Beendigung des Prozesses weiterhin zu behalten.
Hinweis - Bei Verwendung der setuid-Berechtigungen mit den reservierten UIDs (0 – 100) von einem Programm wird die effektive UID möglicherweise nicht richtig eingestellt. Verwenden Sie ein Shell-Skript oder vermeiden Sie die Verwendung der reservierten UIDs mit setuid-Berechtigungen.
Die setgid-Berechtigung ist der setuid-Berechtigung ähnlich. Die effektive Gruppen-ID (GID) des Prozesses wird in die Gruppe geändert, die über die Datei verfügt, und ein Benutzer erhält basierend auf den der Gruppe gewährten Berechtigungen Zugriff. Der Befehl /usr/bin/mail verfügt über setgid-Berechtigungen:
-r-x--s--x 1 root mail 67504 Jun 17 12:01 /usr/bin/mail
Wenn die setgid-Berechtigung auf ein Verzeichnis angewendet wird, gehören die in diesem Verzeichnis erstellten Dateien zu der gleichen Gruppe wie das Verzeichnis. Die Dateien gehören nicht der Gruppe, zu der der erstellende Prozess gehört. Jeder Benutzer, der über Schreib- und Ausführungsberechtigungen in dem Verzeichnis verfügt, kann eine Datei dort erstellen. Die Datei gehört jedoch zu der Gruppe, zu der das Verzeichnis gehört, und nicht zu der Gruppe, zu der der Benutzer gehört.
Überwachen Sie Ihr System auf nicht autorisierte Verwendung der setgid-Berechtigung zum Erhalt von Superuser-Rechten. Eine verdächtige Berechtigung gewährt einer ungewöhnlichen Gruppe Gruppenzugriff auf ein solches Programm anstatt auf root oder bin. Informationen zum Suchen und Anzeigen aller Dateien, die diese Berechtigung verwenden, finden Sie unter So suchen Sie Dateien mit besonderen Dateiberechtigungen.
Die Sticky Bit-Berechtigung schützt die Dateien in einem Verzeichnis. Wenn für das Verzeichnis das Sticky Bit eingestellt ist, kann eine Datei nur von dem Dateieigentümer, dem Verzeichniseigentümer oder einem privilegierten Benutzer gelöscht werden. Der root-Benutzer und die Rolle "Primary Administrator" sind Beispiele für privilegierte Benutzer. Das Sticky Bit verhindert, dass ein Benutzer Dateien anderer Benutzer in öffentlichen Verzeichnissen wie /tmp löscht:
drwxrwxrwt 7 root sys 400 Sep 3 13:37 tmp
Stellen Sie das Sticky Bit unbedingt manuell ein, wenn Sie ein öffentliches Verzeichnis oder ein TMPFS-Dateisystem einrichten. Anweisungen finden Sie unter Beispiel 6-5.
Dateien oder Verzeichnisse werden mit Standardberechtigungen erstellt. Die Standardwerte des Systems sind offen. Eine Textdatei verfügt über die Berechtigungen 666, die allen Benutzern Lese- und Schreibzugriff auf die Datei gewährt. Ein Verzeichnis und eine ausführbare Datei verfügen über die Berechtigungen 777, die alle Benutzer zum Lesen, Schreiben und Ausführen berechtigen. Üblicherweise überschreiben Benutzer die Standardwerte des Systems in den Dateien /etc/profile, .cshrc oder .login.
Der durch den Befehl umask zugewiesene Wert wird vom Standardwert subtrahiert. Mit diesem Prozess werden Berechtigungen verweigert und zwar auf ähnliche Art, wie sie vom Befehl chmod gewährt werden. Mit dem Befehl chmod 022 gewähren Sie der Gruppe und anderen Benutzern eine Schreibberechtigung. Mit dem Befehl umask 022 entziehen Sie der Gruppe und anderen Benutzern die Schreibberechtigung.
Die folgende Tabelle zeigt einige typische umask-Einstellungen und wie sie sich auf eine ausführbare Datei auswirken.
Tabelle 6-3 umask-Einstellungen für unterschiedliche Sicherheitsebenen
|
Weitere Informationen zum Einstellen des umask-Werts finden Sie auf der Manpage umask(1).
Mit dem Befehl chmod können Sie die Berechtigungen für eine Datei ändern. Sie müssen Superuser oder Eigentümer einer Datei oder eines Verzeichnisses sein, um dessen Berechtigungen zu ändern.
Mit dem Befehl chmod können Sie die Berechtigungen in einem der beiden Modi einstellen:
Absoluter Modus: Dateiberechtigungen werden als Zahlen dargestellt. Wenn Sie Berechtigungen im absoluten Modus ändern, stellen Sie die Berechtigungen für jede Dreiergruppe als Oktalmoduszahl dar. Der absolute Modus wird zum Einstellen der Berechtigungen am häufigsten verwendet.
Symbolischer Modus: Um Berechtigungen hinzuzufügen oder zu ändern, werden Kombinationen aus Buchstaben und Symbolen verwendet.
In der folgenden Tabelle werden die Oktalwerte zur Einstellung der Dateiberechtigungen im absoluten Modus aufgeführt. Die Zahlen werden in Dreiergruppen verwendet, um die Berechtigungen für Eigentümer, Gruppe und andere Benutzer (in dieser Reihenfolge) einzustellen. Mit dem Wert 644 werden beispielsweise Lese- und Schreibberechtigungen für den Eigentümer sowie Leseberechtigungen für die Gruppe und andere Benutzer eingestellt.
Tabelle 6-4 Einstellen der Dateiberechtigungen im absoluten Modus
|
In der folgenden Tabelle werden die Symbole zum Festlegen von Dateiberechtigungen im symbolischen Modus aufgeführt. Symbole können angeben, wessen Berechtigungen eingestellt oder geändert werden, welcher Vorgang ausgeführt wird und welche Berechtigungen zugewiesen oder geändert werden.
Tabelle 6-5 Einstellen der Dateiberechtigungen im symbolischen Modus
|
Die Bezeichnungen wer, Operator, Berechtigungen in der Spalte "Funktion" dienen zur näheren Beschreibung der Symbole zum Ändern der Berechtigungen für die Datei oder das Verzeichnis.
Gibt an, wessen Berechtigungen geändert werden
Gibt an, welcher Vorgang ausgeführt wird
Gibt an, welche Berechtigungen geändert werden sollen
Sie können besondere Berechtigungen für eine Datei im absoluten oder symbolischen Modus einstellen. Um setuid-Berechtigungen für ein Verzeichnis einzustellen oder zu entfernen, müssen Sie jedoch den symbolischen Modus verwenden. Im absoluten Modus stellen Sie besondere Berechtigungen ein, indem Sie links neben der Berechtigungsdreiergruppe einen neuen Oktalwert hinzufügen. In der folgenden Tabelle werden die Oktalwerte zum Einstellen besonderer Berechtigungen für eine Datei aufgeführt.
Tabelle 6-6 Einstellen der Dateiberechtigungen im absoluten Modus
|