ODT exportierenNach oben Teilen per Teilen per... Twitter LinkedIn Facebook Pinterest Telegram WhatsApp Yammer RedditPer E-Mail sendenDrucken × Inhaltsverzeichnis Die Administratoren 'root' und 'security' Der Administrator 'security' Der Administrator 'root' Die Administratoren 'root' und 'security' Die Administratoren root und security sind für die Verwaltung des Sicherheitssystems des TightGate- Pro zuständig. Sie können Änderungen an den Sicherheitsmodellen vornehmen oder Protokollauswertungen für die Wartung bereitstellen. Für den normalen Betrieb und die Konfiguration von TightGate-Pro Server werden sie indessen nicht benötigt. Für die Administratoren root und security ist zur Anmeldung an TightGate-Pro zusätzlich eine Freischaltung durch den Administrator maint im jeweiligen Menü erforderlich, um den SSH-Zugang nutzen zu können. Zusätzlich besteht eine zeitliche Beschränkung; nach Ablauf von einer Stunde wird die Anmeldeoption per SSH automatisch deaktiviert und muss im Bedarfsfall erneut freigegeben werden. Im Fall von TightGate-Pro (CC) Version 1.4 Server ist die Anmeldung der Administratoren root und security per SSH nur dann möglich, wenn der Server im Betriebsmodus Softmode gestartet wurde und eine IPv4-Adresse eines verwaltungsberechtigten Rechners außerhalb des Klientennetzes (!) unter config > Einstellungen > Wartung und Updates > Nagios / Storage IP hinterlegt wurde. Hinweis: In TightGate-Pro (CC) Version 1.4 Server für CC-konforme Umgebungen sind die Administrationsrollen root und security nur verfügbar, wenn das System im Softmode gestartet wird. Die Anmeldung der Administratoren root und security per SSH ist nur dann möglich, wenn der Server im sogenannten Softmode gestartet wurde und eine IPv4-Adresse eines verwaltungsberechtigten Rechners außerhalb des Klientennetzes (!) unter config > Einstellungen > Wartung und Updates > Nagios / Storage IP hinterlegt wurde. Warnung: Unsachgemäße Änderungen am Sicherheitssystem von TightGate-Pro Server bergen erhebliche Sicherheitsrisiken für das interne Netzwerk und die darin befindlichen Arbeitsplatzrechner. Weiterhin können schwerwiegende Störungen des Produktivbetriebs auftreten. Warnung: Kundendiensteinsätze der m-privacy GmbH, die vor dem Hintergrund unsachgemäßer Eingriffe über die Administratoren root und security notwendig werden, sind nicht im Rahmen der Verträge zur Softwarepflege abgedeckt. Dies gilt insbesondere auch für eventuelle Folgeschäden beispielsweise durch unzureichende Schutzwirkung infolge einer Beeinträchtigung der Sicherheitsmechanismen von TightGate-Pro Server. Der Administrator 'security' Die Rolle security definiert die Möglichkeiten eines Sicherheitsbeauftragten und kann das gesamte RSBAC-Regelwerk bearbeiten. Es können neue Rollen definiert und Rechte bestehender Rollen geändert werden. Aufgrund des Kompetenzumfangs ist die Rolle security in der Voreinstellung nur von der lokalen Konsole aus zugänglich. Ein SSH-Zugang für den Administrator security kann nur durch den Administrator maint für einen begrenzten Zeitraum aktiviert werden. Um den Status der Sicherheitsmodelle und das RSBAC-Regelwerk einzusehen, ist eine Anmeldung als Administrator security an der Konsole erforderlich. Es bestehen folgende Einstellmöglichkeiten: security MenüpunktBeschreibung Ende Verlassen des Menüs und Beenden des Zugangs als Administrator security — Modul-Zustand Anzeige des Status der Sicherheitsmodule. Warnung: Stati im Produktivbetrieb müssen sein: Mode: "secure" Softmode / Ind-Soft: "unavailable" Switching on / off: "unavailable" Module (alle!): "on" Andernfalls können weitreichende Sicherheitsdefizite die Folge sein. Zudem besteht die Gefahr erheblicher Betriebsstörungen. Erlaube 5 Min. root-Wartung Freigabe der Wartungsrolle für den Administrator root für 5 Minuten. root-Wartungskonsole sperren Dem Administrator root den Zugang zur Wartungsrolle sofort entziehen. root-Wartung AN Einer Shell-Konsole des Administrators root die Berechtigungen der Wartungsrolle erteilen. Menü-Protokollierung AN/AUS An-/Ausschalten der Menüprotokollierung, d. h. alle Kommandos, die der Administrator security ausführt, werden im Verzeichnis /security/log/ protokolliert. Aktivitäten anderer Administrationsrollen werden nicht protokolliert. Zeige Menü-Protokoll Anzeige des Menüprotokolls. Nur vorhanden, wenn Menü-Protokollierung AN. Menü-Protokoll kopieren Kopie der Menü-Protokollierungsdatei erstellen. Diese wird unter /usr/rsbac/TightGate/packages / abgelegt. Nur vorhanden, wenn Menü-Protokollierung AN. VNC-Protokoll AN/AUS An-/Abschalten der Protokollierung des TightGate-VNC-Servers. Die Logs werden in /home/tmpdir/tmp510/Xtightgatevnc-PID.log gespeichert (PID meint ProcessID des TightGate-VNC-Server-Prozesses). — Starte RSBAC-Menü Übergang in das RSBAC-Konfigurationsmenü. Warnung: Einstellungen nur durch den technischen Kundendienst der m-privacy GmbH. Unsachgemäße Änderungen am Sicherheitssystem von TightGate-Pro Server bergen erhebliche Sicherheitsrisiken für das interne Netzwerk und die darin befindlichen Arbeitsplatzrechner. Weiterhin können schwerwiegende Störungen des Produktivbetriebs auftreten. Konsole Aufruf der Konsole für den Administrator security. — RC Konfiguration Anzeige der definierten RSBAC-Typen und -Rollen im System. RC-Debug-Modus AN/AUS An-/Abschalten des ausführlichen Debuggings für das RSBAC RC-Modul. Achtung: Einschalten dieser Menüoption erhöht die Anzahl der Meldungen im Syslog erheblich. Eine "überlaufende" Logpartition kann das Systemverhalten negativ beeinflussen. Globaler Softmode AN/AUS Ab-/Anschalten des RSBAC-Sicherheitssystems - nur in Ausnahmefällen und außerhalb des Produktivbetriebs anzuwenden. Warnung: Zentrale Sicherheitseinrichtungen von TightGate-Pro Server werden außer Kraft gesetzt. Das Schutzniveau des ReCoBS-Servers sowie des internen Netzwerks ist stark vermindert. Es besteht weiterhin die Gefahr von Betriebsstörungen und Datenverlust bei Aktivierung des globalen Softmodes im Produktivbetrieb! RC-Softmode AN/AUS Ab-/Anschalten RC-Modul des RSBAC-Systems - nur in Ausnahmefällen und außerhalb des Produktivbetriebs anzuwenden. Warnung: Zentrale Sicherheitseinrichtungen von TightGate-Pro Server werden außer Kraft gesetzt. Das Schutzniveau des ReCoBS-Servers sowie des internen Netzwerks ist stark vermindert. Es besteht weiterhin die Gefahr von Betriebsstörungen und Datenverlust bei Aktivierung des RC-Softmode im Produktivbetrieb! — Revision-Passwort Ändern des Passworts für den Administrator revision. Security-Passwort Ändern des Passworts für den Administrator security. Der Administrator 'root' Die Rolle root entspricht im wesentlichen der des klassischen Verwalters für Systemdienste. Als Administrator root können installierte Systemdienste gestartet und angehalten werden, es können Tests mit Systemwerkzeugen durchgeführt und Systemdienste konfiguriert werden. Im Gegensatz zum gleich bezeichneten und in seinem Kompetenzen unbeschränkten Administrator-Account eines konventionellen Linux-Systems unterliegt die Rolle root jedoch besonderen Beschränkungen. So kann der Administrator root insbesondere nicht auf die Verzeichnisse der Benutzer zugreifen, keine Programme mit RSBAC-Rechten ausstatten und keine RSBAC-Rechte ändern, diese jedoch einsehen. Um den Status der Sicherheitsmodelle und Prozesse anzuzeigen sowie einen Einblick in das laufende System-Log zu nehmen, ist eine Anmeldung als Administrator root an der Konsole erforderlich. root MenüpunktBeschreibung Ende Verlassen des Menüs und Beenden des Zugangs als Administrator root Modul-Status Anzeige des Status' der Sicherheitsmodule. Warnung: Stati im Produktivbetrieb müssen sein: Mode: "secure" Softmode / Ind-Soft: "unavailable" Switching on / off: "unavailable" Module (alle!): "on" Andernfalls können erhebliche Sicherheitsdefizite die Folge sein. Zudem besteht die Gefahr erheblicher Betriebsstörungen. Prozess-Status Anzeige des Status' aller laufenden Prozesse. Systemprotokolle Fortlaufende Anzeige der Systemmeldungen. Konsole Aufruf einer Konsole für den Administrator root. Wartungs-Konsole Aufruf einer Wartungskonsole für den Administrator root. Wurde durch den Administrator security dem Administrator root die Wartungsrolle zugeteilt, so kann Letzterer mit erweiterten Berechtigungen im System arbeiten. Diese Funktion ist speziell für Wartungsaufgaben vorgesehen und sollte mit Umsicht eingesetzt werden. Die erweiterten Berechtigungen aufgrund der Wartungsrolle sind dem Anhang zu entnehmen. Neustart Neustart des ReCoBS-Servers, entweder sofort oder gemäß Terminierung. Gefolgt von der Möglichkeit einen RECOVERY-Boot anzufaordern (default Nein). Neustart abbrechen Löschen eines geplanten Termins zum Neustart des ReCoBS-Servers. Herunterfahren Herunterfahren des ReCoBS-Servers. Gefolgt von der Möglichkeit einen RECOVERY-Boot anzufaordern (default Nein). Root-Passwort Ändern des Passworts für den root-Zugang.