secure(1M) secure(1M)
NAME
secure - Sicherheitszustand überprüfen
NAME
secure[ option]
BESCHREIBUNG
secure versucht, Sicherheitsprobleme herauszufinden, und gibt mögliche
Sicherheitsrisiken auf dem Bildschirm aus.
Der Funktionsumfang von secure hängt davon ab, ob ein nicht-privile-
gierter Benutzer oder der Systemverwalter das Kommando aufruft.
Wird das Kommando secure von einem nicht-privilegierten Benutzer auf-
gerufen, werden die Informationen nur für die Benutzerkennung des auf-
rufenden Benutzers ausgegeben. Ein Aufruf durch den Systemverwalter
überprüft das gesamte Rechnersystem.
Für den nicht-privilegierten Benutzer bietet secure folgenden Funkti-
onsumfang:
- Es werden alle Dateien ausgegeben, bei denen das s-Bit für den
Eigentümer oder die Gruppe gesetzt ist.
Diese Dateien stellen ein Sicherheitsrisiko dar, da jeder, der eine
solche Datei ausführt die Zugriffsrechte des Eigentümers besitzt
und mit diesen Rechten beliebige Aktionen ausführen kann.
- Es werden alle im Dateibaum des Benutzers befindliche Dateiver-
zeichnisse aufgelistet, bei denen für alle Systembenutzer die
Schreibberechtigung erteilt ist.
- secure sucht nach Programmen mit dem Namen su.
- Die Shell-Variablen werden analysiert. Ist die Datei .profile in
der analysierten Benutzerkennung nicht vorhanden, so wird die Datei
/etc/profile verwendet.
Für den Systemverwalter bietet secure einen erweiterten Funktionsum-
fang. Folgende Informationen werden ausgegeben:
- Benutzerkennungen, die kein Paßwort haben.
- "Pseudo-Benutzerkennungen", für die ein ungültiges Paßwort angege-
ben ist, und die daher kein login erlauben.
- Benutzerkennungen mit doppelter Benutzernummer.
- Benutzerkennungen, für die kein Login-Dateiverzeichnis definiert
ist.
Seite 1 Reliant UNIX 5.44 Gedruckt 11/98
secure(1M) secure(1M)
- Benutzerkennungen, an denen sich in den letzten 30 Tagen niemand
angemeldet hat.
- Dateien mit gesetztem s-Bit. Handelt es sich bei diesen Dateien um
Textdateien, also möglicherweise um Shell-Prozeduren, so wird eine
zusätzliche Warnung ausgegeben.
- Dateiverzeichnisse, bei denen für alle Systembenutzer die Schreib-
berechtigung erteilt ist.
- Dateien im Dateiverzeichnis /dev, die keine Gerätedateien sind.
- Gerätedateien im Dateiverzeichnis /dev, die für alle Systembenutzer
schreibbar sind.
- Gerätedateien, die nicht im Dateiverzeichnis /dev stehen.
- Kopien von /bin/sh.
- Programme mit dem Namen su.
- Escape-Sequenzen in der Mail.
OPTIONEN
-h Die Hilfe-Texte werden ausgegeben.
-l secure versucht, das Paßwort der Benutzerkennung zu ermitteln, um
festzustellen, ob ein zu einfaches Paßwort vergeben wurde.
Dazu enthält secure eine interne Kennwortliste. Gesucht wird nach
Benutzernamen, Vornamen, Firmennamen usw.
Wird diese Option vom Systemverwalter aufgerufen, untersucht
secure alle Benutzerkennungen. Dieser Vorgang kann dann sehr viel
Zeit in Anspruch nehmen.
-s Status eines bereits laufenden secure -l. Sie bekommen denjenigen
Benutzer angezeigt, dessen Paßwort secure -l zu verschlüsseln
versucht sowie eine prozentuale Angabe aller Benutzer, die bisher
schon überprüft wurden.
Die Option -s kann nur vom Systemverwalter aufgerufen werden.
-t Die Option -t ermöglicht es dem Systemverwalter, eine beliebige
Benutzerkennung im Status eines nicht-privilegierten Benutzers
mit secure zu analysieren.
Nach Aufruf von secure -t wird der Systemverwalter aufgefordert,
ein Paßwort einzugeben. Mit Hilfe dieses Paßworts kann er sich
anschließend an einer beliebige Benutzerkennung über login anmel-
den und diese Benutzerkennung im Status eines nicht-privilegier-
ten Benutzers mit secure analysieren.
Seite 2 Reliant UNIX 5.44 Gedruckt 11/98
secure(1M) secure(1M)
Die Option -t kann nur vom Systemverwalter aufgerufen werden.
DATEIEN
Temporäre Dateien, die während des Ablaufs von secure angelegt werden:
/tmp/secst
/tmp/nodev
/tmp/outdev
/tmp/sbit
/tmp/tbit
/tmp/wdev
/tmp/shcp
/tmp/fsu
/tmp/maile
SIEHE AUCH
chmod(1), login(1), passwd(1), su(1).
Seite 3 Reliant UNIX 5.44 Gedruckt 11/98