Übersicht Rollenrechte
Die per RSBAC erstellten Rollen beinhalten eine Reihe von Rechten, welche die Zugriffe der ausgeführten Programme auf andere Ressourcen (wie Dateien, Netzwerk-Ports und Devices) beschränken oder ermöglichen.
Hintergrund: In einem Linux Betriebssystem mit RSBAC-Erweiterung können neben dem Linux-immanenten Zugriffsrechte-Modell noch weitere Zugriffsrechte-Modelle geladen und die Rechte miteinander kombiniert werden. Dabei verstehen wir unter Rechten auch Beschränkungen. Bei TightGate™-Pro haben wir uns insbesondere für das Role Compatibility (RC)-Modell entschieden. Das RC-Modell erlaubt eine wesentlich feinere Rechtevergabe als das Standard-Zugriffsrechte-Modell unter Linux.
Die einzelnen Rollen beschreiben jeweils ein Subset an Regeln, welches für die jeweilige Rolle bedeutsam ist. Ruft ein Benutzer den Webbrowser auf, der mit den Rechten der Rolle Webbrowser startet, so erweitert die Rolle Webbrowser die Rechte des Benutzers für die Aktionen, die mit dem Webbrowser getätigt werden.
Das folgende Schaubild zeigt (vereinfacht) verschiedene Rollen und ihre Rechte:
Für die Rolle OFFICE, welche ebenso wie MUA und WEBBROWSER erst durch den Start des jeweiligen Programms aktiviert wird gelten die folgenden besonderen Regeln:
| Zugriff | Rolle OFFICE | Bemerkung |
|---|---|---|
| + | R/W-Zugriff auf ~/.openoffice/ und ~/daten/ | - |
| + | Nur-Lese-Zugriff auf ~/download/ | - |
| - | Individuelles Ändern von Konfigurationsdateien | Außer OpenOffice-Einstellungen |
| - | Vergabe von Zugriffsrechten | - |
| - | Netzwerkzugriff | z.B. auf Proxy und Mailserver |
| - | Schreib-Zugriff auf ~/download/ | - |
Neben den Rollen für Standard-Benutzern und den von ihnen benutzten Programmen gibt es weitere Rollen, welche im Folgenden beschrieben werden.
Die Rollen CONFIG und MAINT
Die Rolle CONFIG ist für den speziellen Benutzeraccount config vorgesehen, welcher die Aufgabe hat, die spezifischen (Netzwerk-)Anpassungen für TightGate™-Pro an das lokale Netz vorzunehmen. Die Benutzung dieses Accounts ist im Administrationshandbuch beschrieben. Die Rolle MAINT wird vom lokalen Benutzer-Administrator maint zur Nutzerverwaltung verwendet und ermöglicht das Anlegen und Löschen von Benutzern, sowie die Vergabe von (initialen) Passwörtern. Die wichtigsten mit diesen Rollen verbundenen Rechte sind in den folgenden Tabellen aufgeführt:
| Zugriff | Rolle CONFIG | Bemerkung |
|---|---|---|
| + | Auf Menüfunktionalität beschränktes Ändern von Netzwerkeinstellungen. | - |
| + | Neustart des Systems. | - |
| - | Individuelles Ändern von Konfigurationsdateien | - |
| - | Vergabe von Zugriffsrechten | - |
| - | Shell-Zugriff | - |
| - | Grafische Oberfläche | - |
| Zugriff | Rolle MAINT | Bemerkung |
| + | Auf Menüfunktionalität beschränkte Benutzerverwaltung | - |
| + | Neustart des Systems und einzelner Komponenten | - |
| + | Zeitbeschränkte Zulassung von Administrator-Anmeldungen perSSH über Netzwerk | zur Systemwartung |
| + | Zulassung von Anmeldungen per SSH über Netzwerk von außerhalb des vorgesehenen Klientennetzwerkes | - |
| - | Individuelles Ändern von Konfigurationsdateien | - |
| - | Vergabe von Zugriffsrechten | - |
| - | Shell-Zugriff | - |
| - | Grafische Oberfläche | - |
A III-2 Die Rollen SECURITY, ROOT und UPDATE
Die Rolle SECURITY bestimmt die Möglichkeiten des Sicherheitsbeauftragten (auch SecOff genannt). Diese Rolle kann das gesamte RSBAC-Regelwerk bearbeiten: Es können neue Rollen definiert und Rechte bestehender Rollen geändert werden. Wegen seiner Mächtigkeit ist die Rolle SECURITY in der Voreinstellung nur von der lokalen Konsole aus zugänglich. Ein SSH-Remote-Zugang für SECURITY kann nur durch maint für einen begrenzten Zeitraum aktiviert werden. Eine Übersicht über die Besonderheiten der Rolle SECURITY zeigt die Tabelle:
| Zugriff | Rolle SECURITY | Bemerkung |
|---|---|---|
| + | Editieren sämtlicher RSBAC-Regeln | - |
| + | Prüfen aller Protokolldateien | - |
| + | Nur-Lese-Zugriff auf Benutzerdaten | - |
| - | Grafische Oberfläche | - |
| - | Netzwerkzugriff | (ohne weitere Rechtevergabe) |
Die Rolle ROOT entspricht im wesentlichen dem klassischen Systemverwalter für Systemdienste. Als ROOT können installierte Systemdienste gestartet und angehalten werden, es können Tests mit Systemwerkzeugen durchgeführt und eingeschränkt Systemdienste konfiguriert werden. Gegenüber dem allmächtigen root-Account eines normalen Linux-Systems unterliegt die Rolle ROOT besonderen Beschränkungen. So kann ROOT insbesondere nicht auf die Verzeichnisse der Benutzer zugreifen, kann keine Programme mit RSBAC-Rechten ausstatten und generell keine RSBAC-Rechte ändern, wohl aber die RSBAC-Rechte ansehen.
Eine Übersicht über die Besonderheiten der Rolle ROOT zeigt die Tabelle:
| Zugriff | Rolle ROOT | Bemerkung |
|---|---|---|
| + | Editieren der Konfiguration von ungeschützten Systemdiensten | - |
| + | Nutzung von Test-Tools (z.B. netstat) | - |
| + | Aufruf von “rsbac_menu” nur lesend | - |
| - | Installation von Programm-Paketen | - |
| - | Zugriff auf /home-Verzeichnisse | - |
| - | Editieren von geschützten Konfigurationsdateien | - |
| - | Grafische Oberfläche | - |
Die Rolle UPDATE dient der unkomplizierten Aktualisierung des TightGate™-Pro. UPDATE vereinigt die Möglichkeiten des Netzwerkzugriffs (z.B. mittels SSH) und des Updates von Programm-Paketen mittels eines Paketmanagers.
Eine Übersicht über die Besonderheiten der Rolle UPDATE zeigt die Tabelle:
| Zugriff | Rolle UPDATE | Bemerkung |
|---|---|---|
| + | Starten von rsync und dpkg | - |
| + | Sichern und Zurückspielen der RSBAC-Konfiguration | da bei der Aktualisierung Attribute gelöscht werden können |
| + | Über Menüfunktionalität beschränkte Aktualisierung der installierten Programmpakete | Zur Ausführung notwendige RSBAC-Rechte müssen von SECURITY gesetzt werden! |
| - | Grafische Oberfläche | - |
| - | Zugriff auf /home-Verzeichnisse | - |
| - | RSBAC-Konfiguration ändern | - |
| - | Shell-Zugriff | - |
Die Rolle REVISION / Datenschutzbeauftragter (DSB)
Die Rolle des Revisors und des Datenschutzbeauftragten finden sich praktisch in jeder Firma und Behörde gleichermaßen. Auch wenn diese Rollen in der Praxis oft durch verschiedene Personen, ggf. gar externe, wahrgenommen werden, so haben sie doch etwas gemeinsam: Sie haben das Recht (und die Pflicht) inhaltlich kontrollierend (d.h. lesend) auf System- und Benutzerdaten zuzugreifen, ohne Veränderungen vornehmen zu können (d.h. NUR-LESE-ZUGRIFF).
In der Standard-Konfiguration von TightGate™-Pro ist die Rolle REVISION mit den Kontroll-Rechten eines Datenschutzbeauftragten ausgestattet. Ein Hilfsmenü (”Kopier-Tool”) erleichtert es dabei dem Anwender, Kopien der Benutzerverzeichnisse zu erstellen und auf ihnen zu arbeiten. Die Rolle REVISION verhält sich ansonsten wie ein normaler Benutzer, inklusive der Nutzung der Browser-, Office- und Mail-Rollen, aber ohne Netzwerkzugriff. Die wichtigsten Regeln der Rolle REVISION sind in der folgende Tabelle zusammengefasst:
| Zugriff | Rolle REVISION | Bemerkung |
|---|---|---|
| + | Nur-Lesezugriff auf alle /home-Verzeichnisse | Insbes. mittels “Kopier-Tool” |
| + | Voller Zugriff mittels Interpreter auf Abbilder der gewählten Benutzerverzeichnisse | - |
| + | Nur-Lesezugriff auf System-Protokolle (Logs) | Zur Einsicht von RSBAC-Rechten müssen diese zuvor ebenfalls kopiert werden! |
| - | Schreib-Zugriff auf System-Protokolle | - |
| - | Schreib-Zugriff auf /home-Verzeichnisse | - |
| - | Netzwerkzugriff | - |
Die Rolle VNC-SERVER
Die Rolle VNC-SERVER steht stellvertretend für eine einem Systemdienst zugeordnete Rolle. Ein ständig im Hintergrund laufender Systemdienst wird Daemon genannt und hat in der Regel sehr genau definierbare Rechte. Die Definition dieser RSBAC-Rechte in der Rolle VNC-SERVER und die Zuweisung dieser Rolle schränkt die Rechte des darunter laufenden Daemon auf eben diesen definierten Bereich ein. Ein möglicher Programm-Fehler, ein trojanisches Hintertürchen oder ein gezielt auf den Daemon abgestimmter Exploit können nur in diesem eng gesteckten Rahmen wirksam werden. Allein der Versuch etwas anderes zu tun führt zu einer Warnmeldung an die Systemadministration, wodurch auch die meisten Angriffsversuche nicht unentdeckt bleiben.
Die wichtigsten Regeln der Rolle VNC-SERVER sind in der folgende Tabelle zusammengefasst:
| Zugriff | Rolle VNC-SERVER | Bemerkung |
|---|---|---|
| + | Nur-Lesezugriff auf eigene Konfigurationsdatei | - |
| + | Bindung an definierte VNC-Ports | - |
| + | Start von X-Display-Manager (KDE) | - |
| - | Netzwerkzugriff auf andere Ports | - |
| - | Start von anderen Programmen | - |
| - | Schreibzugriff auf Dateien | Ausnahme: Status-Meldungen an System-Log-Daemon |
Die Rolle ROOT-Wartung
Die ROOT-Wartungsrolle ist eine Erweiterung der normalen ROOT-Rolle plus dem Recht Prozesse sehen und signalisieren zu dürfen.
Da die ROOT-Wartungsrolle eine Ausweitung der Rechte für root darstellt sind besondere Vorsichtsmaßnahmen getroffen worden, um diese vor Missbrauch zu schützen. So ist die Erweiterung nur über ein Vier-Augen-Prinzip zu erlangen. Dabei muss die Rolle SECURITY die Rolle ROOT-Wartung freischalten, bevor dieser vom Benutzer root verwendet werden kann.
Die wichtigsten Regeln der Rolle ROOT-Wartung sind in der folgende Tabelle zusammengefasst:
| Zugriff | Rolle VNC-SERVER | Bemerkung |
|---|---|---|
| + | Editieren der Konfiguration von ungeschützten Systemdiensten | - |
| + | Nutzung von Test-Tools (z.B. netstat) | - |
| + | Aufruf von “rsbac_menu” nur lesend | - |
| + | Ansicht und Signalisierung aller Systemprozesse | - |
| + | Shell-Zugriff | - |
| - | Installation und Aktualisierung von Programmpaketen | - |
| - | Zugriff auf Benutzerdaten oder E-Mails | - |
| - | RSBAC-Konfiguration ändern | - |
| - | Grafische Oberfläche | - |