Rollenberechtigungen

Die per RSBAC erstellten Rollen beinhalten eine Reihe von Rechten, welche die Zugriffe der ausge­führten Programme auf andere Ressourcen (wie Dateien, Netzwerk-Ports und Devices) beschränken oder ermöglichen. Hintergrund: In einem Linux-Betriebssystem mit RSBAC-Erweiterung können neben dem konventionellen Zugriffsrechtemodell noch weitere Modelle geladen und die Rechte miteinander kombiniert werden. Dabei versteht man unter Rechten auch Beschränkungen. Bei TightGate-Pro ist insbesondere das Role Compatibility Model (RC-Modell) zu nennen. Das RC-Modell erlaubt eine wesentlich feinere Rechtevergabe als das Standard-Zugriffsrechtemodell unter Linux.

Jede Rolle hat einen eigenen Satz an Rechten, unabhängig von allen anderen Rollen. Ruft ein Benut­zer zum Beispiel den Webbrowser auf, der mit den Rechten der Rolle Webbrowser startet, so hat der Webbrowser die RC-Rechte für genau die Aktionen, die mit dem Webbrowser ausgeführt werden sol­len. Zusätzlich bleiben die Rechtebeschränkungen aus den anderen Sicherheitsmodellen erhalten, der Browser eines Benutzers kann den Browser eines anderen nicht gefährden.

Hinweis: Bislang war zumeist von einem Administrator die Rede, wenn ein systemseitig angelegter Benutzer­ac­count mit den Berechtigungen einer bestimmten Rolle gemeint war. Im Folgenden werden Rollen in Großbuchstaben geschrieben, während Administratorkonten in Kleinbuchstaben referenziert werden. Eine Rolle beschreibt einen Berechtigungskontext, den ein Benutzer- bzw. Administratorenkonto, aber auch ein Programm innehaben kann. Für zentrale Rollen gibt es in TightGate-Pro jeweils nur ein einziges Administratorenkonto, das ebenso benannt ist wie die Rolle selbst.

Auch Programme werden einem Rollenkontext gestartet. Dies dient der Kapselung dieser Programme und verhindert sicherheitstechnisch relevante "Übergriffe" untereinander oder auf das zugrunde liegende Betriebssystem.

  • Für die Rolle OFFICE, welche ebenso wie MUA (Mail User Agent, Rolle zur Verwendung der E-Mail-Applikation auf TightGate-Pro) und WEBBROWSER erst durch den Start des jeweili­gen Programms aktiviert wird, gelten besondere Regeln.
  • Die Benutzerkonten regulärer VNC-Benutzer werden in der Rolle BENUTZER verwaltet. Es ist nicht möglich, als angemeldeter Benutzer im Rollenkontext eines Administrators zu arbeiten. Im Fall einer Direktanmeldung in einer Administratorenrolle wird immer das jeweilige Administratorenkonto aktiv, auch wenn sich ein regulärer Benutzer anmeldet. Eine Übertragung von Administratorrechten auf reguläre Benutzer ist im Gegensatz zu klassischen Betriebssystemen grundsätzlich nicht möglich.
  • Ein Spezialfall der Benutzerrolle ist die Rolle TRANSFER. In diesem Rollenkontext arbeiten ausschließlich die sogenannten transfer-Benutzer, die der systemübergreifenden Bedienung der gesicherten Dateischleuse vorbehalten sind. transfer-Benutzer sind auf alle transfer-Verzeichnisse sämtlicher regulärer Benutzer schreib- und leseberechtigt.
  • Die Rolle CONFIG ist für den speziellen Administratoraccount config vorgesehen, welcher die Aufgabe hat, die spezifischen (Netzwerk-)Anpassungen für TightGate-Pro an das lokale Netz vorzu­nehmen. Die Rolle MAINT wird vom lokalen Administrator maint zur Nutzerverwaltung verwendet und ermöglicht das Anlegen und Löschen von Benutzern sowie die Vergabe von (initialen) Passwörtern.
  • Die Rolle SECURITY bestimmt die Möglichkeiten des Sicherheitsbeauftragten. Diese Rolle kann das gesamte RSBAC-Regelwerk bearbeiten. Es können neue Rollen definiert und Rechte bestehender Rollen geändert werden. Wegen des großen Kompetenzumfangs ist die Rolle SECURITY in der Vor­einstellung nur von der lokalen Konsole aus zugänglich. Ein SSH-Remote-Zugang für SECURITY kann nur durch den Administrator maint für einen begrenzten Zeitraum aktiviert werden.
  • Die Rolle ROOT entspricht im wesentlichen dem klassischen Systemverwalter für Systemdienste. Als ROOT können installierte Systemdienste gestartet und angehalten werden, es können Tests mit Sys­temwerkzeugen durchgeführt und eingeschränkt Systemdienste konfiguriert werden. Gegenüber dem universell berechtigten root-Account eines konventionellen Linux-Systems unterliegt die Rolle ROOT besonderen Beschränkungen. So kann ROOT insbesondere nicht auf die Verzeichnisse der Benutzer zugreifen, keine Programme mit RSBAC-Rechten ausstatten und generell keine RSBAC-Rechte än­dern - wohl aber die RSBAC-Rechte einsehen.
  • Die Rolle UPDATE dient der unkomplizierten Aktualisierung von TightGate-Pro. UPDATE ver­einigt die Möglichkeiten des Netzwerkzugriffs (z.B. mittels SSH) und des Updates von Programm-Pa­keten mittels eines Paketmanagers.
  • Die Rolle REVISION / Datenschutzbeauftragter (DSB). Die Rolle des Revisors und des Datenschutzbeauftragten finden sich praktisch in jeder Firma und Be­hörde gleichermaßen. Auch wenn diese Rollen in der Praxis oft durch verschiedene Personen wahr­genommen werden, so haben sie doch etwas gemeinsam: Sie haben das Recht (und die Pflicht), in­haltlich kontrollierend (d.h. lesend) auf System- und Benutzerdaten zuzugreifen, ohne Veränderungen vornehmen zu können.
  • In der Standard-Konfiguration von TightGate-Pro ist die Rolle REVISION mit den Kontrollrech­ten eines Datenschutzbeauftragten ausgestattet. Ein Hilfsmenü ("Kopier-Tool") erleichtert es dabei dem Anwender, Kopien der Benutzerverzeichnisse zu erstellen und auf ihnen zu arbeiten. Die Rolle REVI­SION verhält sich ansonsten ähnlich wie die Rolle BENUTZER, inklusive der Nutzung der Browser-, Office- und Mail-Rollen, jedoch ohne Netzwerkzugriff.
  • Die Rolle VNC-SERVER steht stellvertretend für eine einem Systemdienst zugeordnete Rolle. Die De­finition der nötigen RSBAC-Rechte in der Rolle VNC-SERVER und die Zuweisung dieser Rolle schränkt die Rechte des darunter laufenden Dienstes auf eben diesen definierten Bereich ein. Ein möglicher Programmfehler, eine Backdoor oder ein gezielt auf den Daemon abgestimmter Exploit können nur in diesem eng gesteckten Rahmen wirksam werden. Schon der Versuch, etwas anderes zu tun, führt zu einer Warnmeldung an die Systemadministration.
  • Die Rolle BACKUP beinhaltet den Berechtigungskontext für den Administrator backuser, welcher für alle Belange der zentralen Datensicherung und -rücksicherung auf TightGate™-Pro Server zuständig ist.
  • Die ROOT-Wartungsrolle ist eine Erweiterung der normalen ROOT-Rolle zuzüglich der Berechtigung, Prozesse sehen und signalisieren zu dürfen. Da die ROOT-Wartungsrolle eine Ausweitung der Rechte für root darstellt, wurden besondere Vorsichtsmaßnahmen getroffen, um diese vor Missbrauch zu schützen. So ist die Erweiterung nur über ein Vieraugenprinzip zu erlangen. Dabei muss die Rolle SECURITY die Rolle ROOT-Wartung freischalten, bevor sie vom Administrator root verwendet werden kann.
Funktion
Berechtigung
TSF-relatedRollenbezeichnung
(needed for AGD_OPE 1-2 and 1-3)BENUTZERCONFIGMAINTUPDATEBACKUPREVISIONTRANSFERSECURITY(*)ROOT(*)ROOT-WARTUNG(*)
Auf Menüfunktionalität beschränktes Ändern von Netzwerkeinstellungen + - + - - - - - - - -
Neustart des Systems - - + + + - - - - + +
Individuelles Ändern von Konfigurationsdateien + - - - - - - - - - eingeschränkt
Vergabe von Zugriffsrechten + - - - - - - - + - -
Shell-Zugriff - - Non-CC: opt. (***) - - - - - Non-CC: opt. (***) - + + +
Grafische Oberfläche - + - - - - + - - - -
Auf Menüfunktionalität beschränkte Benutzerverwaltung (inkl. Benutzerverz. Anlegen und löschen) - - - + - - - - - - -
Neustart des Systems und einzelner Komponenten - - + anwenden + + - - - - + +
Zeitbeschränkte Zulassung von Administratoranmeldungen per SSH über Netzwerk (***) - - - + - - - - manuell (**) - -
Zulassung von Anmeldungen per SSH über Netzwerk von außerhalb des vorgesehenen Klientennetzwerks (***) - - +
einzelne IP-Netze
+ - - - - - manuell (**) manuell (**)
Installation von Programmpaketen + - - - +
nur vorgegebene Liste
- - - - - -
Über Menüfunktionalität beschränkte Aktualisierung der installierten Programmpakete - - + - - - - - -
Zugriff auf /home-Verzeichnisse + - - - - +
nur lesend
- +
nur lesend
- +
Editieren von geschützter Konfigurationsdateien - - - - - - - - -
Sichern und Zurückspielen der RSBAC-Konfiguration - - tw. zurückspielen - - - + - -
RSBAC-Konfiguration ändern - - - - - - + - -
Voller Zugriff mittels Interpreter auf Abbilder der gewählten Benutzerverzeichnisse - - - - + - - - -
Nur-Lesezugriff auf Systemprotokolle (Logs) - - - - + - + + +
Schreibzugriff auf Systemprotokolle - - - - - - - - -
Netzwerkzugriff - - eingeschränkt eingeschränkt - - eingeschränkt eingeschränkt eingeschränkt
Prüfen aller Protokolldateien - - - - + - + + +
Nur-Lesezugriff auf Benutzerdaten - - - - + - + - -
Editieren der Konfiguration von ungeschützten Systemdiensten - - - - - - - - - +
Nutzung von Test-Tools (z. B. netstat) - - nur iptraf - - - - - + +
Aufruf von „rsbac_menu" (nur lesend) - - - - - - - - + +

Legende:

(*) Rolle bei TightGate-Pro (CC) Version 1.4 Server im Regelbetrieb nicht verfügbar.
(**) Option ist nur manuell über die Konsole einstellbar, nicht über eine Menüoption.
(***) Kann bei TightGate-Pro (CC) Version 1.4 Server nicht gewählt werden, optional jedoch bei TightGate-Pro Server.