Zertifizierungsbericht BSI-ITS-0003
Contents
1. Mechanismus bei der Wiederverwendung von Puffern bei der Interproze kommunikation Solche Puffer werden f r die Socket IPC und Messages der Message Queues verwendet Die Verwaltung der Puffer findet im Kern statt Die Belegung und Freigabe der Einheiten erfolgt durch den Kern als Folge der die IPC Objekte betreffenden Systemaufrufe In beiden F llen findet bei einer Wiederverwendung innerhalb des Kerns keine Wiederaufbereitung statt Der Zugang der Benutzer zu den Speicher inhalten erfolgt vermittelt ber Systemaufrufe Darunter befinden sich keine Operationen die den Zugang zu nicht mehr g ltigen bzw noch nicht durch aktuelle Daten berschriebenen IPC Puffern erm glichen w rden Es werden beim Lesen von IPC Objekten jeweils nur die Daten an den Benutzer bergeben die im aktuellen G ltigkeitszyklus durch einen Schreibvorgang auf dieses Objekt erzeugt und noch nicht gelesen wurden Die L nge des lesbaren Datenbereiches ist durch die Anzahl geschriebener Zeichen begrenzt Ein Lesen ber diesen Speicherbereich hinaus ist nicht m glich Mechanismus zur Wiederaufbereitung des Bildschirms der Datensichtstation Beendet ein Benutzer seine Arbeitssitzung Logout so wird der Bildschirm gel scht und der Begr ungsbildschirm ausgegeben so da f r den n chsten Benutzer des Bildschirms keine Daten des Vorg ngers mehr sichtbar sind Diese Art der Wiederaufbereitung stellt sicher da der n chste Benutzer des Terminals k2. UNIX domain sockets k nnen mit dem Systemaufruf bind an einen Knoten im Dateisystem gebunden werden und sind dann von anderen Prozessen ber diesen Namen entspricht dem Dateinamen bzw Pfad ansprechbar Internet domain sockets sind speziell f r die Kommunikation auf Basis der Proto kolle TCP IP bzw UDP IP zu Prozessen auf entfernten Systemen entworfen und werden ber die sog Portnummer die im Kern verwaltet wird identifiziert Da Sockets genau wie Dateiobjekte ber Deskriptoren angesprochen werden aber nicht der Rechteverwaltung unterliegen m ssen die Zugriffsmechanismen auf Dateiobjekte und Sockets gegeneinander abgegrenzt sein Der Zugriff auf Sockets erfolgt mittels spezifischer Systemaufrufe sowie durch Systemaufrufe die auch auf Dateiobjekte anwendbar sind close read write chmod select Der Eintrag eines UNIX domain sockets im Dateisystem wird durch unlink gel scht Bei socketspezifischen Aufrufen wird gepr ft ob es sich bei dem Objekt um einen Socket handelt Der Systemkern verf gt ber die Information ob es sich bei einem Knoten bzw Deskriptor um einen Socket oder ein Dateiobjekt handelt Er stellt durch berpr fung dieser Eigenschaft in den Systemaufrufen sicher da die Schnittstellen von Datei und Socketverwaltung nicht zu einer Umgehung der Sicherheitsfunktionen genutzt werden k nnen Repr sentiert der an gesprochene Deskriptor keinen Socket so wird der Zugriff mit einem Fehlercode abgewiesen Wird im
3. Als Zugriff auf einen Proze wird der Zugriff auf seine elementaren Proze strukturen gewertet durch die ProzeBeigenschaften und die f r die Interaktion zwi schen Prozessen relevanten Identit ten gegeben sind Dabei kann zwischen lesenden und modifizierenden Zugriffen unterschieden werden F r die meisten Zugriffe gilt da sie nur ber einen Systemaufruf aus dem Proze selbst heraus erfolgen k nnen Subjekt und Objekt Proze also identisch sind dies wird durch die Syntax der betreffenden Systemaufrufe gew hrleistet F r lesende Zugriffe gelten dabei keine Einschr nkungen modifizierende Zugriffe unterliegen in Abh ngigkeit von Aufruf und effektiver Benutzer Kurzkennung des aufrufenden Prozesses i d R Beschr nkungen bzgl der Werte die gesetzt werden k nnen Die einzige M glichkeit f r normale Benutzer modifizierend auf einen anderen als den eigenen Proze zuzugreifen ist das Senden eines Signals Mit den System aufrufen kill und killpg kann ein gew hltes Signal gezielt an einen Proze bzw eine Proze gruppe gesendet werden Andere Systemaufrufe k nnen zur Folge haben da ein bestimmtes Signal an den eigenen den Vaterproze oder an die Proze gruppe gesendet wird Das Recht durch kill oder killpg auf einen anderen Proze Ausnahme special processes s u durch das Senden eines Signals zuzugreifen ist allein gegeben BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX
4. etc fsck notwendig ist so wird das System in den Ein Benutzer Modus gebracht Falls so eingestellt mu sich der Super User mit dem Super User Pa wort authentisieren Sind beim Absturz irreparable Sch den entstanden so mu der Super User das System neu installieren Beim Booten von einer Diskette gelangt der Benutzer automatisch in den Super User Status Dabei wird aber nicht der zum evaluierten System geh rige Kern aktiv Ausgehend von dem gebooteten System ist es aber m glich ber mount auf BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 61 die Dateisysteme des evaluierten Systems zuzugreifen Der Versuch Programme des Security Package z B passwd auszuf hren wird abgewiesen Ein direkter Zugriff auf gesch tzte Dateien ist allerdings m glich Durch organisatorische Ma nahmen ist daf r zu sorgen da normale Benutzer keinen Zugang zur Zentraleinheit erhalten Selbsttesteinrichtungen der Hardware Firmware Beim Hochfahren f hrt das System folgende Selbsttests durch Test des local DUART Dual Universal Asynchronous Receiver Transmitter Test des dynamischen RAM Abfrage ob die Hardware Uhr l uft Test der Multibus Fenster Einstellung NMI Tests Non Maskable Interrupt NMI Register Bustimeout und Parity NMI werden getestet Test des Multibus Mapper RAM Test der MMU Memory Management Unit Test der ICU Interrupt Control Unit Test der FPU
5. Bundesamt fiir Sicherheit d in der Informationstechnik N Zertifikat BSI ITS 0003 1991 mit Zertifizierungsbericht zu SINIX S V5 22 der Siemens Nixdorf Informationssysteme AG BSI Bundesamt f r Sicherheit in der Informationstechnik Godesberger Allee 183 5300 Bonn 2 Postfach 200363 Tel 0228 9582 0 FAX 0228 9582 400 BSI Bundesamt fiir Sicherheit in der Informationstechnik BSI Bundesamt fiir Sicherheit in der Informationstechnik Vorbemerkung zur Rechtsgrundlage Das Bundesamt f r Sicherheit in der Informationstechnik BSI hat gem 3 und 4 BSIG die Aufgabe Produkte der Informationstechnik im Hinblick auf ihre Sicherheitseigenschaften zu pr fen und zu bewerten Das BSI schlie t eine solche Pr fung Evaluierung mit einem Sicherheitszertifikat zusammenfassende Bewertung und einem Zertifizierungsbericht ab Zertifikat und Bericht bilden eine Einheit Der Bericht enth lt die sicherheitstechnische Beschreibung des evaluierten Produktes die Einzelheiten der Bewertung St rken und Schw chen Auflagen an den Betrieb D Gesetz ber die Errichtung des Bundesamtes f r die Sicherheit in der Informations technik BSIG vom 17 Dezember 1990 BGBI I S 2834 BSI Bundesamt fiir Sicherheit in der Informationstechnik Zertifizierung 1 Pr fgrundlage Das Produkt SINIX S V5 222 der Siemens Nixdorf Informationssysteme AG wurde auf der Basis der IT Sicherheitskriterien in der 1 Fassung v
6. II Rechtepr fung Das System mu bei jedem Zugriffsversuch von Benutzern bzw Benutzergruppen zu den der Rechteverwaltung unterliegenden Objekten die Berechtigung ber pr fen Unberechtigte Zugriffsversuche m ssen abgewiesen werden Beweissicherung Das System mu eine Protokollierungskomponente enthalten die in der Lage ist folgende Ereignisse mit folgenden Daten zu protokollieren Benutzung des Identifikations und Authentisierungsmechanismus Daten Datum Uhrzeit Benutzer Id die angegeben wurde Kennung des Ger tes an dem der Identifikations und Authentisierungs mechanismus benutzt wurde z B Terminal Id Erfolg bzw Mi erfolg des Versuches Zugriff zu einem der Rechteverwaltung unterliegenden Objekt Daten Datum Uhrzeit Benutzer Id Name des Objektes Art des Zugriffs versuches Erfolg bzw Mi erfolg des Versuches Anlegen bzw L schen eines der Rechteverwaltung unterliegenden Objektes Daten Datum Uhrzeit Benutzer Id Name des Objektes Art der Aktion Aktionen von Benutzern bzw Rollen mit besonderen Rechten die die Sicherheit des Systems betreffen Daten Datum Uhrzeit Benutzer Id Art der Aktion Name des Objektes auf das sich die Aktion bezog Solche Aktionen sind z B Einbringen oder L schen Sperren von Benutzern Einbringen bzw Entfernen von Datentr gern Starten bzw Stoppen des Systems Der Zugriff zu den Protokollinformationen darf nur dazu autorisierten Benutzern m glich sein
7. key bzw die beim Erzeugen eines solchen Objekts vom System vergebene Kurzkennung identifiziert Die Zugriffsrechte auf die IPC Objekte Message Queue und Semaphore werden im Permission Mode Word PMW des Objekts in einer Ver waltungsstruktur im Hauptspeicher gehalten Zugriffsrechte k nnen getrennt ver geben werden f r den Erzeuger bzw den aktuellen Eigent mer des Objekts die Erzeuger Gruppe bzw Eigent mer Gruppe des Objekts und alle anderen Benutzer Es wird unterschieden zwischen Lese und Schreibrecht Diese Rechte betreffen gleicherma en die Verwaltungs und die Nutzdaten der IPC Objekte BSI Bundesamt f r Sicherheit in der Informationstechnik 28 Zertifizierungsbericht SINIX S V5 22 Der Zugriff auf den key Namen oder die Kurzkennung eines IPC Objekts erfordert keine Berechtigung Die Zugriffsrechte eines Subjekts an einem IPC Objekt sind gegeben durch seine Identit t das sind die effektive Benutzer Kurzkennung und die effektive Gruppen Kurzkennung des zugreifenden Prozesses und durch die Identit t des Erzeugers Eigent mers und der entsprechenden Gruppen und das PMW des Objekts Die Zugriffsrechte im PMW werden beim Anlegen des Objekts durch den Eigent mer gesetzt dies erfolgt ber Systemaufrufe die von System Kommandos Kommandos die vom Hersteller mit dem System ausgeliefert werden oder Anwenderprogrammen aufgerufen werden Beim Anlegen eines IPC Objekts werden in der zugeh rigen Kontrollstruktur die
8. tcb bin chg_audit is Requested tcb bin init Filesize 61440 Last acc Thu Mar 7 15 56 35 1991 Mod tim Mon Mar 4 14 27 23 1991 Checksum for file tcb bin init is Requested tcb bin integrity Filesize 94208 Last acc Thu Mar 7 15 56 54 1991 Mod tim Mon Mar 4 14 51 04 1991 Checksum for file cb bin integrity is Requested tcb bin reduce Filesize 106496 Last acc Thu Mar 7 15 56 55 1991 Mod tim Mon Mar 4 14 51 09 1991 Checksum for file tcb bin reduce is Requested tcb bin report Filesize 131072 Last acc Thu Mar 7 15 56 51 1991 Mod tim Mon Mar 4 14 46 41 1991 Checksum for file tcb bin report is Zertifizierungsbericht SINIX S V5 22 3888240 2227378 5412065 8053302 9020261 11044517 BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 Requested tcb bin run_reduce Filesize 32768 Last acc Thu Mar 7 15 56 51 1991 Mod tim Mon Mar 4 14 46 38 1991 Checksum for file tcb bin run_reduce is 2977943 Requested tcb bin startaudit Filesize 283 Last acc Thu Mar 7 15 56 56 1991 Mod tim Mon Mar 4 12 15 35 1991 Checksum for file tcb bin startaudit is 23935 Requested tcb bin stopaudit Filesize 133 Last acc Thu Mar 7 15 56 56 1991 Mod tim Mon Mar 4 12 15 35 1991 Checksum for file tcb bin stopaudit is 11806 Requested tcb lib getty Filesize 40960 Lastacc Thu Mar 7 15 58 16 1991 Mod tim Mon
9. und Message Queue Die Berechtigung f r Zugriffe auf die IPC Objekte Semaphore und Message Queue wird in den jeweiligen Systemaufrufen gepr ft Ist das Subjekt zu dem Zugriff nicht berechtigt so wird der Systemaufruf abgebrochen und ein Fehlercode zur ckgegeben In speziellen F llen wird der Zugriffsversuch ignoriert z B bei dem Versuch den Erzeuger oder die Erzeugergruppe eines Objekts zu ndern Die Identifikation existierender IPC Objekte erfolgt ber einen numerischen Schl ssel key oder ber eine Kurzkenung Die Zuordnung der Kurzkennung zum Schl ssel erfolgt mit den Systemaufrufen semget oder msgget es ist aber auch m glich eine Kurzkennung f r Zugriffe auf IPC Objekte zu benutzen ohne ihn vorher ber semget oder msgget angefordert zu haben Beim Zugriff mit semget oder msgget auf ein existierendes IPC Objekt d rfen die als Parameter bergebenen Rechte nicht ber die im PMW des Objekts gesetzten Rechte hinausgehen Das Lesen der Eigent mer und Gruppen Kurzkennung und des PMWs mit semctl oder msgctl erfordert Lese oder Eigentumsrechte Zum ndern des PMW mit semctl oder msgctl sind nur der Erzeuger Eigent mer oder Super User berechtigt Der Eigent mer kann nur durch den Erzeuger oder den Super User ge ndert werden der Erzeuger ben tigt dazu das chown Privileg Das gleiche gilt f r das ndern der Gruppenzugeh rigkeit Das Lesen von Statusinformationen mit dem Kommando ipcs erfordert Lese berechtigung o
10. zugriffsberechtigung des Dateiobjektes gepr ft z B beim ffnen einer Datei Login Benutzer Kurzkennung Benutzer Identifikation Die Login Benutzer Kurzkennung stellt eine vom System vergebene eindeutige Nummer dar die innerhalb der Beweissicherung zur ein deutigen Identifizierung eines Benutzers verwendet wird Sie wird f r jeden Benutzer vom System auf den Wert der dem Benutzer beim Eintragen in das System zugewiesenen realen Benutzer Kurzkennung RUID gesetzt Proze identifikation Die Proze identifikation stellt eine vom System vergebene eindeutige fortlaufende Nummer dar anhand der der Proze von anderen Prozessen angesprochen werden kann Proze identifikation des Vaterprozesses Die Proze identifikation des Vaterprozesses PPID zeigt im Sohn proze die PID des Vaterprozesses an Dieser Wert ist beim exit des Sohnprozesses f r die Signal bermittlung an den Vaterproze von Bedeutung BSI Bundesamt f r Sicherheit in der Informationstechnik 66 Zertifizierungsbericht SINIX S V5 22 PWD Permission Mode Word Die Zugriffsrechte an Dateien sind in der Kontrollstruktur vnode jeder Datei im sogenannten Permission Mode Word abgelegt Anhand dieser Information erfolgt die Rechtepr fung RGID Reale Gruppen Kurzkennung Gruppen Identifikation Anhand der realen Gruppen Kurzkennung wird im System die Gruppenzugeh rigkeit des Erzeugers des Prozesses identifiziert RUID Reale Benutzer Kurzkennung Benutzer Identifik
11. Eigent mer und Erzeuger Kurzkennung und die zugeh rigen Gruppen Kurzkennungen mit den ent sprechenden effektiven Kurzkennungen des Erzeugerprozesses belegt Die Zugriffsrechte im PMW k nnen nachtr glich durch den Eigent mer den Erzeuger oder den Super User ge ndert werden Zur nderung der aktuellen Benutzer Kurzkennung oder Gruppen Kurzkennung sind nur der Erzeuger des IPC Objektes und der Super User berechtigt Der Mechanismus erfa t die IPC Objekte Messages Queue und Semaphore und damit alle IPC Objekte die in den Sicherheitsanforderungen als der Rechte verwaltung unterliegende IPC Objekte benannt sind Eine indirekte Rechte nderung durch nderung des Eigent mers oder der Gruppenidentit t des Objekts kann nur durch den Erzeuger selbst geschehen Da die Systemaufrufe mit denen Rechte an IPC Objekten ver ndert werden von jedem Programm benutzt werden k nnen ist eine verdeckte Rechte nderung ber Trojanische Pferde m glich dazu ist allerdings erforderlich da das Programm von einem zu der Rechtever nderung berechtigten Benutzer ausgef hrt wird Ein Wechsel der Erzeuger Identit t ist nicht m glich Die Gef hrdung die von einer verdeckten Rechte nderung im Fall von IPC Objekten ausgeht ist geringer als bei Dateien da IPC Objekte in der Regel nur tempor r im System existieren BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 29 sticky bit zur Einschr
12. Manual die Einsprungtabellen in den Kerncode und den zugeh rigen Funktionscode identifizierbar Die Schnittstellen Abh ngigkeiten Wechselwirkungen der Systemaufrufe unter einander sind in den Manualen dokumentiert BSI Bundesamt f r Sicherheit in der Informationstechnik 58 Zertifizierungsbericht SINIX S V5 22 Bei den Tests ist zu unterscheiden zwischen denen die das Basissystem und solchen die das Security Package betreffen F r das Security Package stand eine Bibliothek von Testprogrammen mit detaillierter Testdokumentation Testplan Zweck Vorgehensweise Ergebnisse zur Verf gung Sicherheitsfunktionen die im Basissystem realisiert sind wurden soweit die zugeh rigen Funktionsaufrufe Bestandteil des X OPEN Standard sind im Rahmen der X OPEN System Verification Suite berpr ft Die Tests sind in Manual Format beschrieben getrennt nach ANSI POSIX X OPEN u a Von den Evaluatoren wurden dar ber hinaus Tests durchgef hrt die nicht in der Testbibliothek enthalten sind Beim Test der Systemaufrufe mit unzul ssigen Parametern ergaben sich z T Effekte die nicht konform mit der Beschreibung der Spezifikation in diesem Fall den System Call Manuals sind Sicherheitsl cken d h Verst e gegen die Sicherheitsanforderungen wurden dabei nicht festgestellt Bei Tests die zur Aufkl rung von Unklarheiten oder vermuteten Schwachstellen durchgef hrt wurden wurden keine Wege gefunden die Sicherheitsfunktio
13. Rechte gleicher ma en f r Eigent mer und Erzeuger Der Erzeuger bzw die Erzeugergruppe eines IPC Objekts sind unver nderlich s Bits k nnen nur vom Super User oder dem Dateieigent mer vergeben werden der Eigent mer braucht zus tzlich ein spezielles Systemprivileg chmodsugid Das t Bit f r ein Verzeichnis wird nur vom Super User vergeben kann aber vom Eigent mer des Verzeichnisses zur ckgesetzt werden Neben dieser Standard Rechteverwaltung sieht das System eine Reihe von Privi legien vor die f r spezielle Aktionen zus tzlich gegeben sein m ssen Es wird unterschieden zwischen sog Systemprivilegien die in einer zur Proze struktur parallelen Struktur verwaltet werden und Kommandoprivilegien Systemprivilegien berechtigen einen Proze zu speziellen Aktivit ten im Systemkern Kommando privilegien sind zur Ausf hrung einiger sicherheitsrelevanter Kommandos oder Kommandoteile erforderlich Die Informationen f r die Zuweisung der Privilegien an Benutzer sind Teil der gesch tzten Authentisierungsdaten Die Privilegien k nnen nur durch den Super User oder den Authentication Administrator vergeben werden Ein Benutzer kann nicht mehr Kommando und Systemprivilegien erlangen als ihm durch die Systemadministration zugewiesen wurden auch nicht durch Ausf hrung von SUID SGID Programmen 2 3 Rechtepr fung Die Pr fung der Rechte die im PMW der Objekte gehalten werden erfolgt in den Systemaufrufen die die ffnung
14. S V5 22 33 durch die effektiven und realen Benutzer Kurzkennungen des sendenden und des empfangenden Prozesses eine der beiden folgenden Bedingungen mu zutreffen Die effektive Benutzer Kurzkennung des sendenden Prozesses ist die des Super Users Die effektive oder reale Benutzer Kurzkennung des Sender Prozesses ist gleich der effektiven oder realen Benutzer Kurzkennung des Empf nger Prozesses Zus tzlich mu gelten Die Proze ID des Empf nger Prozesses besagt da es sich nicht um einen special process handelt blicherweise wird ein Proze als Reaktion auf einen Signalempfang beendet Im Programmcode eines Prozesses kann aber veranla t werden da bestimmte Signal arten ignoriert werden oder da beim Empfang eines bestimmten Signals spezieller Code ausgef hrt wird und danach das Programm beendet oder dort weitergef hrt wird wo die Unterbrechung stattgefunden hat dies ist allerdings nicht f r alle Signalarten m glich F r ein solches Abfangen oder Ignorieren von Signalen sind keine speziellen Rechte des Prozesses gefordert es mu sich lediglich um einen f r ein solches Vorgehen zul ssigen Signaltyp handeln Sowohl das Senden als auch das Abfangen eines Signals stellt formal einen modifizierenden Zugriff auf den Proze dar da beide Aktionen einen Eintrag in der Proze struktur des Empf nger Prozesses zur Folge haben Da die Proze strukturen im Arbeitsspeicher stehen ist ein Zugriff m glich Diese
15. Subsystem geh rende Kommandoprivileg zu besitzen Diese M glichkeit besteht allerdings nur f r Benutzer mit privilegierter Gruppen oder Benutzer Kurzkennung 11 Ein Benutzer der durch den Administrator die entsprechende Gruppenzugeh rigkeit zum Subsystem zugewiesen bekommt ist in diesem Sinn auch als privilegiert anzusehen BSI Bundesamt f r Sicherheit in der Informationstechnik 46 Zertifizierungsbericht SINIX S V5 22 Die Pr fung des Kommandoprivilegs als erste Bedingung f r die Ausf hrung eines Kommandos oder einer Kommandooption erfolgt nicht durchg ngig Es ist allerdings nicht erkennbar da dadurch unprivilegierte Benutzer d h Benutzer die weder ber Kommandoprivilegien noch ber privilegierte Identit t oder Gruppenzugeh rigkeit verf gen Subsystemkommandos ausf hren k nnen Es ist m glich da auf eine Datei gleichzeitig mehrfach zugegriffen wird da z B auf die Pa wort Datei geschrieben wird w hrend sie sich im Lesezugriff befindet und somit die Integrit t der Entscheidungsdaten aus Sicht des Benutzers nicht gegeben ist Die Gefahr da eine solche Situation entsteht wird dadurch stark reduziert da f r jeden Benutzer eine eigene Pa wort Datei existiert und da nur ein Systemadministrator mit auth Privileg schreibend auf diese Dateien zugreifen darf Durch umsichtiges Vorgehen des Authentication Administrators l t sich das Entstehen einer solchen Situation vermeiden Mechanismus der Pr
16. Subsystemen f r die besondere Benutzer Privilegien erforderlich sind vermittelt durch men gesteuerte Bediener Schnittstellen Folgende Subsysteme stehen zur Verf gung Memory Subsystem Es sch tzt die Datenstrukturen der Benutzerprozesse und des Systemkerns vor unberechtigtem Zugriff Terminal Subsystem Es reguliert die Lese und Schreibzugriffe auf die einzelnen angeschlossenen Terminals Authentication Subsystem Es stellt eine Reihe von Diensten f r die Verwaltung und Auswertung von Authentisierungsdaten zur Verf gung Audit Subsystem Hierin sind alle Funktionen zur Beweissicherung zu sammengefa t Cron Subsystem Es ist f r die Abwicklung von Batch Auftr gen zust ndig BSI Bundesamt fiir Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 15 Sysadmin Subsystem Hierin werden Verwaltungsdienste fiir den Betrieb des Rechners zur Verfiigung gestellt Als Subjekte im System werden Benutzer bzw Rollen und Prozesse betrachtet Mehrere Benutzer k nnen zu Gruppen mit eigenen Rechten zusammengefa t werden Ein Benutzer kann Mitglied in maximal acht Gruppen sein Zur Administration sicherheitsrelevanter Funktionen sieht das System mehrere Administrator Rollen vor mit denen Zugangsprivilegien zu den zugeh rigen Subsystemen verbunden sind Authentication Administrator Verwaltung der Authentisierungsdaten Audit Administrator Verwaltung der Protokollierung und Auswertung sicherheitsrelevan
17. Super User auf COLLAGE umgestellt Damit sind die entsprechenden Kapitel z B Systemadministration im SINIX Buch ung ltig Anwenderbezogene Dokumentation SINIX S V5 22 spezifisch Dokumentenbezeichnung Bestellnummer Sicherheitspaket Benutzerhandbuch U5971 J Z95 1 Sicherheitspaket Systemverwaltung U5973 J Z95 1 MX300 SINIX S Betriebsanleitung Nachtrag U3905 J Z95 4 MX300 SINIX S Systemverwaltung Nachtrag U3904 J1 Z95 5 BSI Bundesamt fiir Sicherheit in der Informationstechnik 14 Zertifizierungsbericht SINIX S V5 22 2 Globale Beschreibung der Sicherheitsanforderungen des evaluierten Systems Bestandteil der Sicherheitsanforderungen sind die Grundfunktionen Identifikation und Authentisierung Rechteverwaltung Rechtepriifung Beweissicherung Wiederaufbereitung Der diese Grundfunktionen zur Verfiigung stellende sicherheitsrelevante und zu evaluierende Teil des Systems besteht aus dem Systemkern mit Ausnahme solcher Treiber die nicht zur evaluierten Konfiguration geh rende Komponenten unterst tzen den sicherheitsrelevanten Programmen SUID SGID Programmen und den sicherheitsrelevanten Dateien Die sicherheitsrelevanten Programme und Dateien werden in separaten Datei b umen gehalten und sind durch die Mechanismen der Rechteverwaltung Rechtepr fung gegen den Zugriff von unprivilegierten Benutzern gesch tzt Die Verwaltung der f r die Sicherheitsfunktionen relevanten Dateien erfolgt im Rahmen von
18. Teile die f r die Einhaltung der Sicherheitspolitik und den Schutz der Objekte des Systems verantwortlich sind Bei dem Produkt SINIX S V5 22 sind dies der Systemkern die sicherheits relevanten Programme und solche Dateien die sicherheitsrelevante Daten enthalten Der Kern enth lt den Code f r die Basisfunktionen des Systems Dazu geh ren Proze verwaltung und scheduling Speicherverwaltung Ein Ausgabeverwaltung Dateiverwaltung Interproze kommunikation Im Kern enthaltener Code zu Kommunikationszwecken ist nur im Zusammenhang mit spezieller Hardware aktivierbar die nicht zum Konfigurierungsumfang des evaluierten Systems geh rt siehe 1 2 BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 55 Die Programmierschnittstelle wird durch Systemaufrufe angesprochen deren Bearbeitung durch den Kern erfolgt Systemprogramme die au erhalb des Kerns ablaufen werden nur dann als sicherheitsrelevant betrachtet wenn sie das SUID SGID Privileg besitzen und damit den SUID SGID Mechanismus verwenden k nnen Alle Dateien die sicherheitsrelevante Informationen enthalten sind Bestandteil der evaluierten Systemteile Sie gruppieren sich in den fiinf Unterverzeichnissen dev etc tcb usr Die Mechanismen zur Abgrenzung des Kerns der Subsysteme der brigen SUID SGID Programme und der unbenutzten Treiber k nnen in ihrer Gesamtheit mit stark bewe
19. gibt es zus tzlich zum Eigent mer einen Erzeuger und eine entsprechende Gruppe ein dem Ausf hrungsrecht entsprechendes Recht ist f r IPC Objekte nicht definiert Es wird generell zwischen expliziten und impliziten Rechten unterschieden Erstere werden vom Benutzer den Objekten zugewiesen und stehen in Relation zur Identit t des Benutzers Implizite Rechte sind Rechte die in der Proze kette eines Benutzers vermittelt ber einen Wechsel der Identit t ausge bt werden k nnen i a bei Ausf hrung eines SUID SGID Programms Au er den Zugriffsrechten k nnen im PMW von Dateiobjekten die sog s Bits setuid setgid f r Eigent mer oder Gruppe sowie das t Bit sticky bit vergeben werden Das s Bit besagt da die Programm Datei als SUID bzw SGID Programm ausgef hrt wird d h mit den Rechten der effektiven Identit t des Dateieigent mers bzw der Benutzergruppe des Objektes Das sticky bit bewirkt BSI Bundesamt f r Sicherheit in der Informationstechnik 18 Zertifizierungsbericht SINIX S V5 22 bei einem Datei Verzeichnis da Dateien darin nur durch den Dateieigent mer oder den Super User gel scht werden k nnen Nur der Eigent mer und der Super User d rfen die Zugriffsrechte an Objekten ndern Auch die Gruppe und der Eigent mer eines Objekts k nnen nur durch Eigent mer oder Super User ge ndert werden der Eigent mer braucht zus tzlich ein spezielles Systemprivileg chown F r IPC Objekte gelten die
20. in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 39 Benutzer nicht vorgesehen l t sich aber mit dem auth Men system leicht verschaffen Benutzer mit auth Benutzer oder auth Gruppenkennung sind berechtigt zum Ausf hren der Kommandos des auth Subsystems bis zur Pr fung des Kommandoprivilegs und zum direkten Zugriff auf die Dateien des Sub systems Der Super User ist berechtigt zum beliebigen Zugriff auf alle Objekte des Systems er unterliegt bei den entsprechenden Kommandos der Pr fung des Kommandoprivilegs Da f r bestimmte Aktionen zus tzliche Rechte oder Systemprivilegien voraus gesetzt werden sind die aufgez hlten Authorisierungen nicht immer hinreichend Das System enth lt keinen Schutz dagegen da von mehreren authorisierten Benutzern an verschiedenen Bildschirmen aus gleichzeitig die Pa wortdaten ggf auch desselben Benutzers ge ndert werden k nnen Die mit dem Men system auf dem Bildschirm sichtbaren und in der Datei vorhandenen Pa wortdaten sind dann nicht konsistent Die erste nderung wird dann durch die zweite r ckg ngig gemacht ohne da dieser Vorgang den beiden Benutzern transparent ist Einige Benutzereigenschaften die dem Benutzer beim Eintragen ins System zugewiesen werden k nnen im Rahmen des daf r vorgesehenen Men systems sp ter nicht mehr ge ndert werden dazu geh ren die Benutzerkennung die Benutzer Kurzkennung und das HOME Verzeichnis Diese Einschr nkung bedeu
21. lauff hig ist Es wird f r die Erstinstallation auf zwei Disketten Bezeichnungen SINIX H V522 SINIXO V522 und SINIX1 V522 und drei Tape Cartridges SINIX V522N10 SINIXK V522A00 N2 SINIX S V5 22 N10 5 ausgeliefert Zum Lieferumfang geh rt weiterhin eine aus mehreren B nden bestehende Systemdokumentation siehe Zertifizierungsbericht Gliederungspunkt 1 2 Die h chste Funktionalit tsklasse in der das Produkt alle Anforderungen erf llt ist die Dar ber hinaus sind f r die Grundfunktionen Identifikation und Authentisierung Rechtepr fung und Beweissicherung die Anforderungen der Klasse F2 erf llt Das Produkt SINIX S V5 22 erreichte die Qualit tsstufe Q2 Dieses Zertifikat gilt nur in Verbindung mit dem zugeh rigen Zertifizie rungsbericht Die in diesem Bericht aufgef hrten Auflagen an den Einsatz des Produktes sind zu beachten Bonn 26 07 1991 Dr Mertz Zertifizierungsbericht SINIX S V5 22 Zertifizierungsbericht SINIX S V5 22 BSI Bundesamt fiir Sicherheit in der Informationstechnik 2 Zertifizierungsbericht SINIX S V5 22 Gliederung des Zertifizierungsberichtes L Beschreibung des evaluierten Systems 3 1 1 System Konfiguration 3 1 2 Liste der zum evaluierten System geh renden Anwenderdokumentation 12 2 Globale Beschreibung der Sicherheitsanforderungen des evaluierten Systems 14 2 1 Identifikation und Authentisierung 15 2 2 Rechteverwaltung 17 2 3 Rechtepr fung 18 2 4 Beweissicherung 19 2 5 W
22. nkung des L schens von Dateien in Mechanismus des sog Verzeichnissen Der Mechanismus stellt eine Erg nzung zur Rechteverwaltung f r Datei verzeichnisse und Dateien dar und wirkt in Verbindung mit dem Schreibrecht f r Verzeichnisse und Dateien Die durch das DAC gegebenen Rechteverh ltnisse werden lediglich f r einen speziellen Fall Schreibrecht f r Verzeichnis kein Eigentum an der Datei eingeschr nkt Das sog sticky bit das im PMW eines Dateiverzeichnisses global f r alle Dateien gesetzt werden kann verbietet einem Subjekt das L schen von Dateien aus einem Verzeichnis f r das es das Schreibrecht besitzt sofern es sich nicht um den Eigent mer der Datei oder den Super User handelt Ist das sticky bit im Ver zeichnis nicht gesetzt so ist ein L schen von Dateien zul ssig Die Vergabe des sticky bit erfolgt nur durch den Super User der Eigent mer eines Verzeichnisses kann das Bit l schen SUID SGID Mechanismen und zugeh rige Schutzmechanismen Der SUID SGID Mechanismus ist im eigentlichen Sinn kein Mechanismus der Sicherheitsanforderungen realisiert Er ist aus der Notwendigkeit heraus begr ndet da das System f r die Erledigung bestimmter Aufgaben Kommandos ben tigt deren Zugriffsm glichkeiten gr er sind als in der Regel die Rechte des aufrufenden Benutzers Der SUID SGID Mechanismus bietet die M glichkeit normale Benutzer tempor r mit zus tzlichen Rechten auszustatten Dies bedeutet de f
23. pr fen Unberechtigte Zugriffsversuche m ssen abgewiesen werden Funktionalitatsklasse F2 abgeleitet aus der Funktionalit t der Orange Book Klasse C2 Identifikation und Authentisierung Das System mu Benutzer identifizieren und authentisieren Diese Identifikation und Authentisierung mu vor jeder anderen Interaktion des Systems mit dem Benutzer erfolgt sein Nur nach einer erfolgreichen Identifikation und Authenti sierung d rfen andere Interaktionen m glich sein Die Authentisierungs informationen m ssen so gespeichert sein da nur autorisierte Benutzer Zugriff dazu besitzen Bei jeder durchgef hrten Interaktion mu das System die Identit t des Benutzers feststellen k nnen Rechteverwaltung Das System mu Zugriffsrechte zwischen Benutzern und oder Benutzergruppen und Objekten die der Rechteverwaltung unterliegen kennen und verwalten Dabei mu es m glich sein Benutzern bzw Benutzergruppen den Zugriff zu einem Objekt ganz zu verwehren sowie den Zugriff auf einen nicht modifizierenden Zugriff zu beschr nken Au erdem mu es m glich sein f r jeden Benutzer separat die Zugriffsrechte zu einem Objekt festzulegen Vergabe und Entzug von Zugriffsrechten zu einem Objekt darf nur durch autorisierte Benutzer m glich sein Die Weitergabe von Zugriffsrechten mu kontrollierbar sein Ebenso darf das Einbringen neuer Benutzer sowie das L schen bzw Sperren von Benutzern nur durch autorisierte Benutzer m glich sein
24. r den normalen Benutzer unver nderbar k nnen aber vom Super User durch schreibenden Zugriff auf die Proze Daten strukturen im Hauptspeicher ver ndert werden evtl auch in manipulativer Ab sicht durch ein Trojanisches Pferd 3 3 2 Qualit t der Mechanismen zur Rechteverwaltung Mechanismus Discretionary Access Control DAC f r Dateiobjekte Dateien sind dem System durch ihren Namen Pfad der bei der Erzeugung der Datei vergeben wird bekannt Durch die Bildung von Verweisen ist es m glich da eine Datei ber mehrere Namen angesprochen werden kann Der Name wird innerhalb des Kerns mittels Durchlaufen der im Dateipfad angegebenen Ver zeichnisse auf eine eindeutige inode Nummer abgebildet Der Zugriff auf die Datei erfolgt dann ber diesen inode In Programmen werden ge ffnete Dateien durch eine Kurzkennung Deskriptor identifiziert Der Deskriptor weist auf einen Eintrag in der Tabelle der offenen 9 Der Eingriff in die ProzeB Datenstrukturen ist nur mit Aufwand m glich und erfordert eingehende Systemkenntnisse BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 25 Dateien des Benutzers Der Eintrag in der Tabelle zeigt auf den zugeh rigen inode Die Zugriffsrechte an Dateiobjekten werden im Permission Mode Word PMW des Objekts im Dateisystem gehalten Zugriffsrechte k nnen getrennt vergeben werden f r den Eigent mer des Objekts die Gruppe des Objekts und alle
25. tet einen Schutz vor der Erzeugung ungewollter und wun berschaubarer Nebeneffekte f r die Rechteverwaltung die bei nachtr glicher nderung dieser Werte entstehen k nnten In Bezug auf das HOME Verzeichnis besteht durch diese Einschr nkung aber auch die Gefahr da der Administrator zur Revidierung irrt mlicher oder nicht mehr zweckm iger Zuweisungen die gew nschten nderungen unter Umgehung des Men systems durchf hrt so da die Kontrolle durch das Men systems dann vollst ndig entf llt Der Super User kann durch manuelles Editieren der Authentisierungsdateien unbeabsichtigt einen inkonsistenten Zustand herstellen der zur Folge hat da jeder Authentisierungsversuch auch des Super Users abgewiesen wird und das System nicht mehr zug nglich ist BSI Bundesamt f r Sicherheit in der Informationstechnik 40 Zertifizierungsbericht SINIX S V5 22 3 3 3 Qualit t der Mechanismen zur Rechtepr fung Mechanismus der Pr fung beim Zugriff auf Dateiobjekte Bei den Zugriffen auf Dateiobjekte ist zu unterscheiden zwischen Zugriffen die ber einen Datei Identifikator Deskriptor erfolgen und eine ge ffnete Datei vor aussetzen und solchen die das Dateiobjekt ber seinen Namen Dateipfad ansprechen W hrend die Zugriffe der ersten Art in einer Zugriffssequenz erfolgen und dabei Zugriffe auf Teile des Dateiinhalts m glich sind betreffen die Zugriffe ber den Dateinamen das Objekt global d h seine Verwaltungsstrukturen ode
26. u U auf dem von dem System vorgesehenen Weg nicht mehr m glich Kommandoprivilegien zu vergeben oder zu l schen und damit wieder einen Admi nistrator mit auth Privileg einzusetzen Der Super User kann aber auf Grundlage der Basis Rechteverwaltung die Schutzmechanismen des auth Subsystems au er Kraft setzen und manuell einen neuen Authentication Administrator einsetzen Der Schutz von Objekten durch Kommandoprivilegien ist nur wirksam im Zusammenhang mit speziellen Eigentums und DAC Zugriffsrechten an diesen Objekten Werden diese Rechte ver ndert so werden die Kommandoprivilegien BSI Bundesamt f r Sicherheit in der Informationstechnik 36 Zertifizierungsbericht SINIX S V5 22 funktionslos Ein spezielles Dienstprogramm erleichtert es dem Super User die bereinstimmung mit dem Soll Zustand zu berpr fen Mechanismus der Systemprivilegien Bei den Systemprivilegien handelt es sich um einen Mechanismus der zus tzlich zu den allgemeinen Mechanismen der Rechteverwaltung wirkt und der nur speziell gesch tzte Objekte betrifft Systemprivilegien berechtigen einen Proze zur Ausf hrung von bestimmten Aktionen wie z B Zugriff auf das Audit Subsystem Start von SUID Programmen u a ohne das zugeh rige Privileg soll ein Proze nicht in der Lage sein die entsprechende Aktion durchzuf hren Das System sieht eine feste Menge von Systemprivilegien f r festgelegte Aktionen vor die Anzahl der Systemprivilegien ist nicht erwe
27. umgekehrten Fall ein Socket mit einem Systemaufruf angesprochen der nur f r Dateiobjekte zul ssig ist z B open wird dieser Zugriffsversuch ebenfalls abgewiesen BSI Bundesamt f r Sicherheit in der Informationstechnik 50 Zertifizierungsbericht SINIX S V5 22 Ein Datenaustausch kann nur von Socket zu Socket erfolgen und erfordert die Identifizierung des Zielsockets mit seinem Namen bzw seiner Portnummer Socket IPC basiert auf einer gesonderten Puffer Verwaltung Der Versuch einer Weitergabe von Deskriptoren mit dem Systemaufruf sendmsg wird vom System abgewiesen Alle Pr fungen finden in den jeweiligen Systemaufrufen statt 3 3 4 Mechanismus zur Beweissicherung Die Beweissicherung erfolgt zum einen auf der Ebene der Systemaufrufe d h die Benutzung der Systemschnittstelle durch Prozesse wird protokolliert zum anderen generieren bestimmte vertrauensw rdige Systemprogramme z B login die dazu authorisiert sind ihre Protokolls tze selbst Daneben k nnen Subsystem Prozesse Protokolls tze erzeugen indem sie Nachrichten ber eine named pipe an den sog audit daemon einen Proze au erhalb des Kerns schicken Im Falle der Systemaufruf Protokollierung wird nach der R ckkehr von einem Systemaufruf noch innerhalb des Kerns in der trap Routine anhand verschiedener Kriterien gepr ft ob dieser Systemaufruf protokolliert werden mu oder nicht Diese Kriterien sind Ob das Audit Subsystem eingeschaltet ist Obes sic
28. von Objekten realisieren Dabei mu die in tendierte Zugriffsart angegeben werden Bei Zugriffen auf ge ffnete Dateien wer den die Benutzerrechte nicht mehr gepr ft Beim Lese oder Schreibzugriff wird vielmehr nur berpr ft ob die Datei f r diese Zugriffsart ge ffnet wurde BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 19 Ist das erforderliche Recht fiir einen Zugriff nicht gegeben so wird der System aufruf abgebrochen Der R ckgabewert des Aufrufs besagt da ein Fehler vorliegt der Fehlercode wird in einer Fehlervariablen bergeben Systemprivilegien werden in den entsprechenden Systemaufrufen gepr ft Kommandoprivilegien werden in den zugeh rigen Kommandos gepr ft Die daf r erforderlichen Informationen werden aus der gesch tzten Datenbasis in der die Benutzer mit dem jeweiligen Kommandoprivileg verzeichnet sind gelesen Die Konsequenzen einer negativen Pr fung h ngen von der Art des Kommandos ab Abbruch oder eingeschr nkte Funktionalit t des Kommandos 2 4 Beweissicherung Das System verf gt ber eine aufwendige Protokoll Komponente Der Audit Administrator besitzt vielf ltige M glichkeiten die Erzeugung von Protokolldaten bzgl Art Auswahl und Menge der zu protokollierenden Daten zu steuern Zur Auswertung der Protokolldaten bietet das System eine Reihe von Werkzeugen Die Zuordnung der Aktionen zu den Benutzern ist eindeutig durch die beim Systemzugan
29. zum Ausf hren des Programms berechtigt sein und die jeweils erforderlichen Systemprivilegien besitzen Die Erweiterung der vorhandenen Subsysteme z B durch Einbeziehung weiterer Kommandos durch den Super User ist m glich da die Basismechanismen DAC f r Dateiobjekte SGID Mechanismus Abfrage von Benutzereigenschaften in Programmen benutzergesteuert sind Es ist m glich weitere Subsysteme einzu richten Nicht m glich ist es die Kommandoprivilegien zu erweitern Zu einigen Subsystemen existiert ein zugeh riger Subsystem Administrator dem anstelle einer Login Shell als Benutzerprogramm eine Men Schnittstelle zur Verwaltung der dem Subsystem zugeh renden Systemfunktionen und dateien zugewiesen ist Diese administrativen Benutzer k nnen als Gruppen Kurzkennung die Gruppen Kurzkennung des Subsystems besitzen Es ist nicht vorgesehen aber m glich auch ber das Men system an normale Benutzer die Gruppen Kurzkennung des Subsystems zu vergeben Auf diese Weise w rde der f r das Subsystem entscheidende SGID Mechanismus umgehbar gemacht 10 Da es sich um DAC Rechte handelt sind sie als solche grunds tzlich auch nderbar Damit w rde aber der Subsystem Mechanismus wirkungslos Deshalb m ssen die Eigentums und Zugriffsrechte an den Objekten der Subsysteme so gesetzt sein da kein unprivilegierter Benutzer die Rechte ver ndern kann BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINI
30. 91 Checksum for file Aymunix is 103745209 1 2 Liste der zum evaluierten System geh renden Anwender dokumentation Anwenderbezogene Dokumentation des Basis Systems Zur Installation und zum Betrieb von SINIX V5 22 sind Manuale erforderlich Die Manuale sind Bestandteil der sprachabh ngigen Dokumentationspakete SINIX DOC D V5 22 Dokumentation f r deutsche Version SINIX DOC GB V5 22 Dokumentation f r englische Version Zum Lieferumfang der Dokumentationspakete geh ren Dokumentenbezeichnung Bestellnummer Betriebsanl MX300 und CAD Arbeitsplatz 9733 U3905 J Z95 3 SINIX Systemverwaltung V5 22 U3901 J Z95 4 SINIX V5 22 Kommandos Teill U5453 J1 Z95 2 SINIX V5 22 Kommandos Teil2 U5454 J1 Z95 2 SINIX V5 22 Kommandos Teil3 U5455 J1 Z95 2 C Entwicklungssystem V5 22 Teill U3899 J Z95 3 C Entwicklungssystem V5 22 Teil2 U3900 J Z95 3 SINIX Spool Benutzerhandbuch U5650 J Z95 1 COLLAGE Bediensystem V5 22 inkl Kurzbeschr U5995 J Z95 1 Bediensystem Kurzbeschreibung U6007 J Z95 1 COLLAGE Bedienen Verwalten Programmieren U3004 J Z95 4 Nachtrag COLLAGE Bedienen Verwalten Programmieren U3004 J1 Z95 5 SINIX Buchl U3201 J Z95 1 SINIX Buch2 U3202 J Z95 1 BSI Bundesamt fiir Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 13 Nachtrag SINIX Buch2 U3202 J1 Z95 2 SINIX Systemsicherheit U5069 J Z95 1 NLS Internationalization in SINIX englisch U5098 J Z95 2 7600 Mit SINIX V5 22 ist die Bedienoberfl che f r den
31. Es mu m glich sein die Protokollierung auf einen oder mehrere beliebig w hlbare Benutzer zu beschr nken Es m ssen Auswerte und Verwaltungsprozeduren f r die Protokolldaten vorhanden und dokumentiert sein Der Aufbau der Protokolls tze mu vollst ndig beschrieben sein II Wiederaufbereitung Alle Speicherobjekte miissen vor einer Wiederverwendung durch andere Benutzer so aufbereitet werden da keine R ckschl sse auf ihren fr heren Inhalt m glich sind Charakterisierung der Qualit tsstufen Zur Bewertung der Qualit t werden 8 Qualit tsstufen definiert Dabei bezeichnet QO die niedrigste Stufe Q7 die h chste definierte Qualit tsstufe Diese Stufen beinhalten unter anderem Anforderungen an den Pr fvorgang und die dabei verwendeten Verfahren sowie an die St rke der im Produkt implementierten Mechanismen a Die hier in Frage kommenden Qualit tsstufen lassen sich hinsichtlich des Pr fvorgangs folgenderma en charakterisieren Q1 getestet Die Sicherheitsanforderungen sind verbal formuliert Die Spezifikation beschreibt relativ grob die Art der Implementierung Das System wurde mit Hilfe einfacher Tests auf Erf llung der Sicherheitsanforderungen gepr ft Dabei wurden keine Fehler gefunden Q2 methodisch getestet Die Sicherheitsanforderungen sind verbal formuliert Das System wurde an Hand der Spezifikation methodisch getestet und auf Erf llung der Sicherheitsanforderungen gepr ft Dabei wurden keine F
32. Floating Point Unit Es wird also fiir die wesentlichen Hardware Komponenten ein Selbsttest durch gef hrt 3 7 Qualit t der Anwenderdokumentation In der englischsprachigen sicherheitsbezogenen Anwenderdokumentation MX 300 Security Features User s Guide June 1990 MX 300 Security Features Administrator s Guide June 1990 wird die Handhabung der Sicherheitsfunktionen des SINIX S V5 22 Systems fiir die Qualit tsstufe Q2 ausreichend umfangreich verst ndlich und handhabbar be schrieben Die mit dem SINIX S V5 22 System ausgelieferte Anwenderdokumentation ist dem Gliederungspunkt 1 2 Liste der zum evaluierten System geh renden Anwenderdokumentation zu entnehmen BSI Bundesamt f r Sicherheit in der Informationstechnik 62 4 Zertifizierungsbericht SINIX S V5 22 Weitere Hinweise und Auflagen Wesentliche Vorausetzung f r die Gesamtsicherheit des Systems ist es da f r alle Administrationsaufgaben nur Personen mit guten Systemkenntnissen ausgew hlt werden Folgende Hinweise und Auflagen sind zu beachten Die Zentraleinheit ist so aufzustellen da sie f r einen normalen Benutzer physisch nicht zug nglich ist Die Terminals privilegierter Benutzer sind so aufzustellen da sie f r einen normalen Benutzer physisch nicht zug nglich sind Mit organisatorischen Ma nahmen mu sichergestellt sein da die Hardware Konfiguration nicht durch unbefugte Benutzer ge ndert werden kann und da nderungen durc
33. Mar 4 14 27 20 1991 Checksum for file tcb ib getty is 3072702 Requested tcb lib initcond Filesize 106496 Last acc Thu Mar 7 15 58 17 1991 Mod tim Mon Mar 4 14 52 00 1991 Checksum for file tcb lib initcond is 8886175 Requested tcb lib login Filesize 147456 Last acc Thu Mar 7 15 58 15 1991 Mod tim Mon Mar 4 14 26 03 1991 Checksum for file tceb lib login is 12623918 BSI Bundesamt fiir Sicherheit in der Informationstechnik 10 Zertifizierungsbericht SINIX S V5 22 Requested usr bin mesg Filesize 118784 Lastacc Thu Mar 7 15 58 45 1991 Mod tim Mon Mar 4 14 36 46 1991 Checksum for file usr bin mesg is Requested usr att bin ipcs Filesize 126976 Last acc Thu Mar 7 15 58 42 1991 Mod tim Mon Mar 4 14 36 37 1991 Checksum for file usr att bin ipcs is Requested usr att bin mail Filesize 114688 Last acc Thu Mar 7 14 36 11 1991 Mod tim Wed Apr 25 22 35 40 1990 Checksum for file usr att bin mail is Requested usr att bin mesg Filesize 118784 Last acc Thu Mar 7 16 06 41 1991 Mod tim Mon Mar 4 14 36 46 1991 Checksum for file usr att bin mesg is Requested usr att bin mkdir Filesize 45056 Last acc Thu Mar 7 15 16 21 1991 Mod tim Wed Apr 25 22 35 43 1990 Checksum for file usr att bin mkdir is Requested usr att bin newgrp Filesize 122880 Last acc Thu Mar 7 15 58 44 1991 Mod tim Mon Mar 4 14 36 44 1991 Checksum for file usr att bin ne
34. Mechanismen der Rechteverwaltung gesch tzt Der Bildschirm der Datensichtstation wird nach dem Beenden der Sitzung mit einem einheitlichen Begr ungsbildschirm f r die Anmeldung des nachfolgenden Benutzers berschrieben BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 21 3 Beschreibung der Evaluation mit Hinweisen auf kritische Bereiche 3 1 Qualit t der Sicherheitsanforderungen Das vorgelegte Dokument Betriebssystem SINIX MX300 Sicher heitsanforderungen ist in nat rlicher Sprache verfa t Es beschreibt f r die f r Funktionalit tsklasse F2 geforderten Grundfunktionen jeweils die Sicherheits anforderungen und die zugeh rigen Mechanismen und stellt den Bezug zu den Bedrohungen her Die Sicherheitsanforderungen entsprechen mit Ausnahme der Grundfunktionen Wiederaufbereitung und Rechteverwaltung den in den IT Sicherheitskriterien f r die Funktionalit tsklasse F2 formulierten Anforderungen Die fehlende Wieder aufbereitung der Datentr ger Diskette Magnetband Kassette und die Granularit t der Rechteverwaltung entsprechen nicht den Anforderungen der Funktionalit tsklasse F2 3 2 Qualit t der Spezifikation Trotz einiger M ngel kein einheitlicher struktureller Rahmen keine hierarchische Ableitung und Zuordnung ist das vorliegende Dokument noch geeignet um die Sicherheitsanforderungen f r die angestrebte Qualit tsstufe berpr fen zu k nnen Die Pr fun
35. Mod tim Wed May 2 08 35 50 1990 Checksum for file bin lpr is 10131950 Requested bin mail Filesize 65536 Last acc Thu Mar 7 14 13 19 1991 Mod tim Thu Apr 26 01 27 21 1990 Checksum for file bin mail is 5482376 Requested bin passwd Filesize 147456 Last acc Thu Mar 7 15 59 01 1991 Mod tim Mon Mar 4 14 25 45 1991 Checksum for file bin passwd is 12261249 BSI Bundesamt fiir Sicherheit in der Informationstechnik 6 Zertifizierungsbericht SINIX S V5 22 Requested bin ps Filesize 131072 Lastacc Thu Mar 7 15 59 00 1991 Mod tim Mon Mar 4 14 25 38 1991 Checksum for file bin ps is 11255491 Requested bin su Filesize 126976 Lastacc Thu Mar 7 15 59 02 1991 Mod tim Mon Mar 4 14 25 49 1991 Checksum for file bin su is 10870344 Requested bin write Filesize 102400 Last acc Thu Mar 7 15 59 03 1991 Mod tim Mon Mar 4 14 25 58 1991 Checksum for file bin write is 8772070 Requested etc atcronif Filesize 196608 Lastacc Thu Mar 7 15 56 32 1991 Mod tim Mon Mar 4 14 46 46 1991 Checksum for file etc atcronif is 16710279 Requested etc auth dlvr_audit Filesize 77824 Last acc Thu Mar 7 15 56 30 1991 Mod tim Mon Mar 4 14 51 14 1991 Checksum for file etc auth dlvr_audit is 6579386 Requested etc sysadmif Filesize 204800 Last acc Thu Mar 7 15 56 33 1991 Mod tim Mon Mar 4 14 46 49 1991 Checksum for file etc sysadmif is 17323057 BSI Bu
36. Pa wort Alterungsmechanismus kann der Authenti cation Administrator ber Wahl des minimalen Pa wort nderungszeitraums minimum change time der Pa wort Verfallzeit expiration time und der Pa wort Lebensdauer life time den zeitlichen G ltigkeitsbereich von Pa w rtern einschr nken Der normal berechtigte Benutzer kann diesen Mechanismus nicht umgehen Um Probierattacken zu begegnen kann der Authentication Administrator sowohl f r Terminals als auch f r Kennungen eine Obergrenze f r die Zahl der erlaubten aufeinanderfolgenden erfolglosen Login Versuche unter dieser Kennung bzw an diesem Terminal angeben nach deren Erreichen die Kennung bzw das Terminal gesperrt wird Diese Sperre kann anschlie end nur vom Authentication Admi nistrator oder dem Super User aufgehoben werden Wenn die Zahl der Login Fehlversuche begrenzt ist ist ein normaler Benutzer in der Lage eine Sperrung von Benutzern deren Kennung ihm bekannt ist her beizuf hren Bei der nderung bzw erstmaligen Eingabe eines Pa worts wird das angegebene Pa wort nach verschiedenen Kriterien auf seine G te hin gepr ft Falls bei der Eintragung des Benutzers durch den Authentication Admi nistrator die Einstellung password restricted gew hlt wurde wird das Pa wort daraufhin gepr ft ob es vom Kennungs oder Gruppennamen abgeleitet ist ein Palindrom ist oder in einer Liste mit verbotenen BSI Bundesamt f r Sicherheit in der Informationstechnik Z
37. System privilegien Einschr nkungen der Rechte des Super Users sind nur oberhalb der System aufrufschnittstelle auf Programmebene m glich So kann durch Entzug der Kommandoprivilegien der Super User an der Ausf hrung von Subsystem programmen gehindert werden analog sind in beliebigen Anwenderprogrammen Pr fungen des aufrufenden Benutzers implementierbar durch die auch der Super User von der Ausf hrung des Programms oder von bestimmten Aktionen ausgeschlossen werden kann Das SINIX S System sieht Rollen und Privilegien vor ber die der Super User nicht unmittelbar aufgrund seiner Identit t sondern nur im Rahmen der Rechte BSI Bundesamt f r Sicherheit in der Informationstechnik 38 Zertifizierungsbericht SINIX S V5 22 vergabe im System verfiigt Diese Rollen und Privilegien stellen eine gewollte Einschr nkungsm glichkeit des Super User Privilegs dar Es entsteht ein Widerspruch dadurch da die Vergabe und Pr fung dieser Privilegien auf Verwaltungsdateien basiert auf die der Super User unbeschr nkten Zugriff hat so da er in der Lage ist sich jedes gew nschte Privileg zu beschaffen Unbegrenzt sind die M glichkeiten die einem Benutzer durch das Super User Privileg gegeben sind grunds tzlich kann er alles realisieren was die vorhandenen technischen Ressourcen erlauben die damit verbundene reale Gef hrdung h ngt ab von der B swilligkeit oder Leichtfertigkeit des Benutzers seinen Kenntnissen ber das Syst
38. X S V5 22 35 Mechanismus der Kommandoprivilegien Bei den Kommandoprivilegien handelt es sich um einen Mechanismus der zus tzlich zu den allgemeinen Mechanismen der Rechteverwaltung wirkt und der nur speziell gesch tzte Objekte betrifft Kommandoprivilegien berechtigen einen Benutzer Dienste von Subsystemen in Anspruch zu nehmen z B zur Ausf hrung von SGID Programmen des Sub systems Die Vergabe von Kommandoprivilegien erfolgt durch den Super User oder Authentication Administrator Sie werden in der durch den DAC und Sub system Mechanismus gesch tzten Pa wort Datenbasis eines Benutzers gehalten zur Pr fung wird die LUID des Benutzerprozesses herangezogen Das System sieht eine feste Menge von Kommandoprivilegien mit festgelegter Bedeutung und zugeordneten Subsystemen vor die Anzahl der Kommando privilegien ist nicht erweiterbar Durch Tests des Herstellers und der Evaluatoren wurde gepr ft ob alle Sub systemkommandos nur mit dem zugeh rigen Kommandoprivileg ausgef hrt werden k nnen F r das Privileg auth ergab der Test da der Zugriff auch ohne das Privileg mit anderer Authorisierung DAC m glich ist Sowohl der Super User als auch der Authentication Administrator sind in der Lage aus der Pa wort Datenbasis alle auth Privilegien einschlie lich der eigenen zu l schen Da auch der Super User zur Ausf hrung privilegiengesch tzter Kommandos nur berechtigt ist wenn er das entsprechende Privileg besitzt ist es ihm
39. acto eine Einschr nkung der Sicherheitsmechanismen mu aber vor dem Hintergrund der Alternative gesehen werden entweder entscheidende Funktionalit t einzub en oder bestimmte Prozesse mit h heren Privilegien zu versehen Es handelt sich hierbei um zwei Mechanismen die es erm glichen die f r die Rechtepr fung relevanten Benutzer und Gruppen Kurzkennung zu ver ndern Das s Bit im PMW von ausf hrbaren Dateien bewirkt da die effektive Benutzer Kurzkennung bzw Gruppen Kurzkennung des Prozesses bei der Ausf hrung auf die Kurzkennung des Eigent mers bzw der Gruppe der Programmdatei gesetzt wird Das s Bit kann sowohl vom Super User als BSI Bundesamt f r Sicherheit in der Informationstechnik 30 Zertifizierungsbericht SINIX S V5 22 auch vom Dateieigent mer vergeben werden Letzterer ben tigt daf r das Systemprivileg chmodsugid Mit dem Systemaufruf setuid ist es dem Super User m glich die effektive und die reale Benutzer Kurzkennung auf einen beliebigen Wert zu setzen Einem normalen Benutzer ist es lediglich m glich die effektive Benutzer Kurzkennung zur ck auf die reale gesicherte Benutzer Kurzkennung zu setzen Der Systemaufruf setgid bewirkt die entsprechenden nderungen der Gruppen Kurzkennung Um die Gefahr von Sicherheitsl cken durch Ausnutzung des SUID SGID Mechanismus zu verringern sind spezielle Schutzmechanismen implementiert worden Beim Kopieren von SUID SGID Dateien oder beim modifizie
40. anderen Benutzer Es ist nicht m glich die Zugriffsrechte an einem Objekt f r jeden Benutzer getrennt zu vergeben Aufgrund dieser Eigenschaft ist der Mechanismus nicht geeignet Funktionalit t gem der Funktionalit tsklasse F2 zu realisieren Es wird unterschieden zwischen Lese Schreib und Ausf hr bzw Suchrecht Der Zugriff kann also auf einen nichtmodifizierenden Zugriff beschr nkt werden Die Zugriffsrechte eines Subjekts an einem Dateiobjekt sind gegeben durch die Identit t des Subjektes das sind die effektive Benutzer Kurzkennung und die effektive Gruppen Kurzkennung des zugreifenden Prozesses und durch die Identit t des Eigent mer bzw der Gruppe und das PMW des Objekts Die Zugriffsrechte im PMW werden beim Anlegen des Objekts durch den Eigen t mer gesetzt dies erfolgt ber Systemaufrufe die von System Kommandos Kommandos die vom Hersteller mit dem System ausgeliefert werden oder Anwenderprogrammen aufgerufen werden Die initialen Zugriffsrechte eines Be nutzers sind in seiner Benutzerumgebung environment gesetzt und k nnen dort von ihm oder vom Super User ge ndert werden Beim Objekt werden als Eigent mer und Eigent mer Gruppe die effektiven Kurzkennungen des erzeu genden Prozesses eingetragen Die nderung der Zugriffsrechte im PMW kann sowohl durch den Eigent mer als auch den Super User erfolgen sie geschieht ebenfalls mittels Systemaufrufen im Rahmen von System Kommandos oder Anwenderprogrammen Du
41. anismus bietet bereits Schutz bei absichtlichen Verst en gegen die Sicherheitsanforderungen ist jedoch mit mittelgro em Aufwand von Personen mit normalen Kenntnissen des Systems zu berwinden stark Der Mechanismus bietet einen guten Schutz bei absichtlichen Verst en gegen die Sicherheitsanforderungen und ist nur mit gro em Aufwand bzw unter Zuhilfenahme aufwendiger Hilfsmittel zu berwinden Falls organisatorische Ma nahmen zur Aufrechterhaltung der St rke des Mechanismus notwendig sind miissen diese recht einfach geartet und wenig fehleranf llig sein Bei fehleranf lligen organisatorischen Ma nahmen m ssen im zu evaluierenden IT System Methoden zur Erkennung und Vermeidung solcher Fehler implementiert sein Die organisatorischen Ma nahmen sind im Evaluationsbericht zu beschreiben Die Bewertung der Qualit t dieser Methoden und der Korrektheit ihrer Implementierung ist dabei Teil der Evaluation VI Best Nr U7735 J Z143 1 Gedruckt im Auftrag der Siemens Nixdorf Informationssysteme AG 600 SO 7912 750
42. ation Anhand der realen Benutzer Kurzkennung wird im System der Erzeuger des Prozesses identifiziert BSI Bundesamt f r Sicherheit in der Informationstechnik Ausz ge aus den IT Sicherheits kriterien Die nachstehenden Ausz ge aus den IT Sicherheitskriterien beschreiben die Anforderungen an das zertifizierte Produkt und verdeutlichen die erreichten Bewertungsstufen Funktionalitatsklasse F1 abgeleitet aus der Funktionalit t der Orange Book Klasse C1 Identifikation und Authentisierung Das System mu Benutzer identifizieren und authentisieren Diese Identifikation und Authentisierung mu vor jeder anderen Interaktion des Systems mit dem Benutzer erfolgt sein Nur nach einer erfolgreichen Identifikation und Authentisierung d rfen andere Interaktionen m glich sein Die Authentisierungs informationen m ssen so gespeichert sein da nur autorisierte Benutzer Zugriff dazu besitzen Rechteverwaltung Das System mu Zugriffsrechte zwischen Benutzern und oder Benutzergruppen und Objekten die der Rechteverwaltung unterliegen kennen und verwalten Dabei mu es m glich sein Benutzern bzw Benutzergruppen den Zugriff zu einem Objekt ganz zu verwehren Vergabe und Entzug von Zugriffsrechten zu einem Objekt darf nur durch autorisierte Benutzer m glich sein Rechtepr fung Das System mu bei jedem Zugriffsversuch von Benutzern bzw Benutzergruppen zu den der Rechteverwaltung unterliegenden Objekten die Berechtigung ber
43. der das Kommandoprivileg mem Bei jedem Lese und Schreibzugriff auf ein IPC Objekte wird die Berechtigung des Benutzers f r den Zugriff gepr ft msgsnd semop Senden einer Nachricht ndern eines Semaphor Schreibrecht msgrcv semop Empfangen einer Nachricht ndern eines Semaphor Leserecht Der Zugriff auf den key oder die Kurzkennung eines IPC Objektes unterliegt keiner Pr fung BSI Bundesamt f r Sicherheit in der Informationstechnik Ma CZertifizierungsbericht SINIX S V5 22 Mechanismus der Pr fung beim Zugriff auf Prozesse Lesende Zugriffe auf einen Proze werden nicht gepr ft wenn sie ber System aufrufe aus dem Proze selbst heraus erfolgen Dies betrifft die Systemaufrufe getegid geteuid getgid getgroups getpgrp getpid getppid getuid getluid getpriv umask ulimit universe times getdtablesize getitimer getlimit getpriority getrusage Indirektes Lesen der Proze strukturen ber das Lesen des Arbeitsspeichers ist gesch tzt durch den DAC Mechanismus und zus tzlich durch das erforderliche Privileg mem Dies betrifft die Kommandos ps und ipcs Modifizierende Zugriffe auf die Proze strukturen des eigenen Prozesses werden re alisiert durch die Systemaufrufe setuid setreuid setgid setregid setgroups setpgrp setluid setpriv setsid signal umask ulimit universe nice setitimer setrlimit setpriority Fir die Priifung bei modifizierenden Zugriffen gilt im Prinzip das gleiche wi
44. deren Benutzer auf diesem Wege auf ihm geh rende Objekte zugreifen k nnen Es sind keine ausgleichenden Mechanismen vorhanden die die berschaubarkeit in Bezug auf SUID SGID Mechanismen verbessern SUID SGID Programme mit privilegiertem Eigent mer k nnen verdeckte Rechte nderungen bewirken wenn ihr Code entsprechende Systemaufrufe enth lt Ein solches Programm kann von einem Benutzer nur dann gezielt zur Umgehung der Sicherheitsfunktionen ausgenutzt werden wenn die Rechte an einem gew nschten Objekt in der Weise ge ndert werden da unbefugte Benutzer er selbst oder andere die Zugriffsberechtigung erlangen oder der Zugriff f r berechtigte Benutzer gesperrt wird Eine solche Rechtever nderung an einem gew nschten Objekt ist dann m glich wenn dieses Objekt mit seinem Pfadnamen im Quellcode des Programms als Objekt der Rechtever nderung genannt ist dieses Objekt mit seinem Pfadnamen in einer include Datei steht und dadurch in den Programmcode eingeht der Name vom Programm zur Laufzeit aus einer Datei gelesen wird oder der Pfadname dem Programm ganz oder teilweise als Argument bergeben wird Es ist sicherzustellen da SUID SGID Programme der letzten Art ins System nicht eingebracht werden und da Dateien die Input Funktion f r SUID SGID Programme haben nicht durch Unbefugte ver ndert werden k nnen Include Dateien d rfen nicht schlechter gesch tzt sein als die anderen Quelldateien des Programms Es
45. e fir lesende Zugriffe in Abh ngigkeit von den f r den jeweiligen Aufruf m glichen Parametern finden Pr fungen bzgl der Zul ssigkeit der einzutragenden Werte i d R in Abh ngigkeit von der effektiven Benutzer Identit t des aufrufenden Prozesses statt Um in eine andere Gruppe wechseln zu k nnen mu der Benutzer Mitglied dieser Gruppe oder Super User sein Ein modifizierender Zugriff auf einen anderen Proze stellt das Senden eines Signals dar Die Berechtigung eines Prozesses zum Senden eines Signals an einen Proze wird gepr ft in den Systemaufrufen kill und killpg andere Aktionen oder Systemaufrufe die ebenfalls dazu f hren da an einen Proze ein Signal gesendet wird k nnen in der Regel nur unter Bedingungen auftreten wo die erforderlichen Rechte per se gegeben sind Bei der Ausf hrung im Kern wird gepr ft ob das Signal vom empfangenden Proze ignoriert werden soll in diesem Fall wird der Zugriff nicht zur ckgewiesen aber auch nicht durchgef hrt Ist der Senderproze zum Senden des Signals nicht berechtigt so wird der Systemaufruf abgebrochen und ein Fehlercode zur ckgegeben BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 45 F r das Abfangen oder Ignorieren von Signalen durch den Systemaufruf signal sind keine Rechte des Empf ngerprozesses erforderlich es erfolgt also keine Pr fung es mu sich lediglich um ein f r diese Aktion zul ssiges Signal hande
46. e von Benutzern hat aber nicht welche Benutzer dieser Gruppe angeh ren oder Zugang zu ihr haben Die Gruppenzugeh rigkeit der Benutzer kann au erdem wechseln Die Dateien die alle Informationen ber die Gruppenzugeh rigkeiten enthalten sind von jedem Benutzer lesbar Ein Subjekt das in einem Verzeichnis mit Schreib und Suchberechtigung aus gestattet ist kann dort beliebig Dateien auch solche deren Besitzer er nicht ist l schen und neue Dateien mit identischem Namen wieder einrichten Besitzt dieses Subjekt dazu noch das Systemprivileg chown so ist es ihm m glich die neu eingerichteten Dateien mit den urspr nglichen Eigent mern zu versehen Auf diese Weise ist das Einbringen von Trojanischen Pferden m glich Um diese M glichkeit zu unterbinden darf anderen Subjekten das Schreibrecht auf anderen Subjekten geh rende Verzeichnisse nicht erteilt werden Bei einem Umbenennen oder Verschieben von Dateiobjekten bleiben die alten Zugriffsrechte am Dateiobjekt erhalten Durch Ver nderung des Dateipfads k nnen sich aber die Zugriffsm glichkeiten ndern Beim Ausscheiden eines Benutzers bleiben seine Zugriffsrechte erhalten Das Men system zur Benutzerverwaltung l scht den Benutzer nicht aus der Benutzer BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 27 datei sondern sperrt ihn lediglich so da Benutzerkennung und Kurzkennung im System erhalten bleiben Beim Eintragen
47. ehler gefunden Q3 methodisch getestet und teilanalysiert Die Sicherheitsanforderungen sind detailliert verbal beschrieben Die Systemspezifikation wurde informell analysiert und auf Konsistenz mit den Sicherheitsanforderungen gepr ft Der Quellcode wurde stichprobenartig an Stellen die als besonders kritisch angesehen wurden analysiert Das System wurde an Hand dieser Analysen methodisch getestet und auf IV b Erf llung der Sicherheitsanforderungen gepr ft Dabei wurden keine Fehler gefunden Hinsichtlich der St rke der verwendeten Mechanismen sind f r die Qualit t stufe Q2 folgende Ausz ge aus den IT Sicherheitskriterien zu beachten Die verwendeten Mechanismen m ssen in ihrer Gesamtheit ausreichend sein die Sicherheitsanforderungen zu erf llen Der zur Erf llung einer bestimmten Sicherheitsanforderung verwendete Mechanismus bzw die verwendete Kombination von Mechanismen darf nicht schlechter als mit mittelstark bewertet worden sein Es werden keine Ausnahmenf lle zugelassen Zur Bewertung der Mechanismen sind sechs Stufen von ungeeignet bis nicht berwindbar definiert Die hier zu betrachtenden Stufen sind wie folgt charakterisert ungeeignet Der Mechanismus ist nicht wirksam schwach Der Mechanismus ist lediglich als Abwehr unbeabsichtigter Verst e gegen die Sicherheitsanforderungen geeignet stellt jedoch kein ernsthaftes Hindernis gegen absichtliche Verst e dar mittelstark Der Mech
48. eine Informationen ber die vorangegangene Sitzung erlangt Voraus setzung ist da jeder Benutzer seine Sitzung explizit beendet Es erfolgt kein automatisches Logout durch das System wenn in einer Sitzung ber einen l ngeren Zeitraum keine Aktion erfolgt BSI Bundesamt f r Sicherheit in der Informationstechnik 54 Zertifizierungsbericht SINIX S V5 22 Zur Wiederaufbereitung von Datentr gern Diskette Magnetband Kassette Datentr ger werden unter SINIX S V5 22 ber Ger tedateien angesprochen Eine logische Zugriffssequenz besteht dabei aus dem ffnen Lesen Schreiben und dem Schlie en der Ger tedatei Im Falle der Streamer Ger tedatei Magnetband Kassette kann zu einem bestimmten Zeitpunkt nur ein Benutzer diese logische Zugriffssequenz durchlaufen Dadurch ist sichergestellt da nur dieser eine Benutzer w hrend dieses Zeitraums auf das Band zugreifen d h das eingelegte Band exklusiv benutzen kann Im Falle der Disketten Ger tedatei kann sich der Benutzer diesen exklusiven Zugriff nicht sichern Es existiert keine besondere Wiederaufbereitung f r die Datentr ger Magnetband Kassette und Diskette Entsprechende Ma nahmen Entnahme der Magnetband Kassette Diskette nach dem gew nschten Lese Schreibvorgang sind au erhalb des IT Systems zu ergreifen 3 4 Qualit t der Abgrenzung zu nicht zu evaluierenden Systemteilen Zu den sicherheitsrelevanten und damit zu evaluierenden Teilen eines Systems geh ren alle
49. em Administrationsebene Dateien Programme seinen Programmierf higkeiten und dem betriebenen Aufwand Mechanismus zum Einbringen und L schen Sperren von Benutzern Die Benutzer ihre Kurzkennungen Gruppenzugeh rigkeit und Privilegien werden in der gesch tzten Pa wort Datenbasis gehalten Diese Daten sind Teil des Authentication Subsystems nur Administratoren mit dem Kommandoprivileg auth besitzen Zugriffsrechte f r die Kommandos des Subsystems und die Datenbasis Ein Men system regelt alle Aktionen die mit dem Einrichten und Sperren Entsperren von Benutzern verbunden sind Das Men system sieht allerdings nicht vor da ein Benutzer vollst ndig aus dem System gel scht wird Durch das Sperren wird der Benutzer am Zugang zum System Identifikation und Authenti sierung gehindert Die Rechte der ihm zugeordneten Kennungen sind davon nicht ber hrt Eine gewisse Un bersichtlichkeit entsteht dadurch da es mehrere Arten von Authorisierungen gibt die zum Einbringen L schen Sperren Entsperren von Benutzern berechtigen und da dies in Abh ngigkeit von der jeweiligen Authorisationsart auf verschiedenen Wegen erfolgen kann Ein Benutzer mit auth Kommandoprivileg ist berechtigt zum Ausf hren der Kommandos des Authentication Subsystems inkl Men system F r den Benutzer mit auth Benutzerkennung wird nach dem Login das auth Men system gestartet eine andere Anwendung ist f r diesen BSI Bundesamt f r Sicherheit
50. en Trojanisches Pferd Verzeichnisse in denen Programmdateien gehalten werden die auch von privilegierten Benutzern ausgef hrt werden d rfen f r normale Benutzer nicht beschreibbar sein Die Beweissicherung ist so einzustellen da sie sich beim Hochfahren automatisch einschaltet Die Beweissicherung ist so einzustellen da sie sich im Falle einer ber laufsituation ganz abschaltet Dar berhinaus sollte der Super User oder der Audit Administrator auf bevorstehende Uberlaufsituationen achten und BSI Bundesamt f r Sicherheit in der Informationstechnik 64 Zertifizierungsbericht SINIX S V5 22 ggf die n tigen Schritte Sicherung der protokollierten Daten unternehmen Die Beweissicherung ist so einzustellen da sowenig Protokolls tze wie m glich bei einem Systemabsturz verloren gehen Die Angabe eines kleinen Wertes kann aber die Systemperformance entscheidend beeinflussen Der Anwender mu selbst entscheiden wie wichtig ihm der Schutz der Protokolldaten im Falle eines Systemabsturzes ist Das Authentisierungs System ist so einzustellen da die von den Benutzern gew hlten Pa w rter gepr ft werden Die Liste mit schlechten Pa w r tern ist dazu betreiberspezifisch zu erstellen Das Pa wort der normal privilegierten Wartungskennung tele ist nach Auslieferung des Systems zu ndern Das Authentisierungs System ist so zu konfigurieren da vor dem bergang in den Ein Benutzer Modus eine Authentisieru
51. en Systemaufruf Pr fung der Benutzeridentit t und privilegien in Systemaufrufen die besondere Rechte erfordern und Pr fung der Zul ssigkeit der Speicheradressen Durch diese Mechanismen wird kontrolliert da die Schnittstelle zum Kern nur in der dokumentierten Weise genutzt werden kann Die genannten Pr fungen in den Systemaufrufen erfolgen in Abh ngigkeit vom jeweiligen Aufruf und der Art der jeweiligen Parameter 3 4 2 Mechanismen zur Abgrenzung der Subsysteme Die Abgrenzung der Subsysteme ist nur gew hrleistet wenn die Integrit t des Gesamtsystems bezogen auf SGID Programme Benutzer Eintragungen Vergabe von Privilegien Eigentum und Rechte an allen Einheiten des Subsystems durch die Administratoren gesichert wird 3 4 3 Mechanismen zur Abgrenzung der brigen SUID SGID Programme Die Abgrenzung der SUID SGID Programme die nicht zu einem Subsystem aber zum sicherheitsrelevanten Teil des Systems geh ren geschieht zum einen ber die Mechanismen zur Rechteverwaltung F r die Programmdateien der SUID SGID Programme ist nur das Ausf hrungsrecht gesetzt Damit sind weder lesende Zugriffe z B ber den Debugger noch unbefugte Modifikationen m glich Der Aufrufer mu das execsuid Privileg besitzen BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 57 Falls eine Programmdatei berschrieben wurde mu nach dem Uber schreiben der Programmdatei das s Bi
52. ertifizierungsbericht SINIX S V5 22 23 Pa w rtern vorkommt z B Firmenbezeichnungen Vornamen Monats namen 0 Es erfolgt eine Pr fung darauf ob das neue Pa wort ungleich dem alten Pa wort ist Zur Absicherung der Kommunikationsverbindung Benutzer System beim Login wird bei der Pa wort Eingabe beim Login oder bei der Pa wort nderung das Echo unterdr ckt Dar ber hinaus werden nach dem Logout V O Verbindungen eventueller Hintergrundprozesse des Benutzers zum Terminal gekappt um Ver suche eines Hintergrundprozesses Daten vom Terminal zu lesen zu begegnen Weiterhin werden aus einer gesch tzten Datenbasis beim neuerlichen Login die Zeitpunkte des letzten erfolgreichen und erfolglosen Logins ausgegeben wodurch der Benutzer in Erfahrung bringen kann ob ihm eventuell von einem Spoofing Programm ein erfolgloser Login Versuch vorget uscht wurde um das Benutzer Pa wort auszusp hen Nach erfolgreicher Pr fung der Zul ssigkeit des Logins und der Korrektheit des Pa worts wird ein Proze erzeugt der innerhalb des Systems f r den Benutzer agiert Die Verwaltungsstruktur dieses Prozesses wird dabei mit Parametern aus der Authentication Database f r diesen Benutzer besetzt insbesondere mit den effektiven und realen Benutzer und Gruppen Kurzkennungen EUID Effektive Benutzer Kurzkennung RUID Reale Benutzer Kurzkennung EGID Effektive Gruppen Kurzkennung RGID Reale Gruppen Kurzkennung sowie der Login Benutzer Kur
53. fe zu denen nur der Super User berechtigt ist sind acct chroot mknod au er Named Pipes mount umount reboot setdomainname sethostid settimeofday stime quotacl getfh sethostname setgroups vhangup adjtime setluid nur initial BSI Bundesamt fiir Sicherheit in der Informationstechnik 48 Zertifizierungsbericht SINIX S V5 22 Systemaufrufe die nur vom Super User zur Erweiterung des gegebenen Werts genutzt werden k nnen ulimit setrlimit setpriority nice setgroups Weitere Systemaufrufe die dem Super User spezielle M glichkeiten bieten kill killpg setpgrp setregid setreuid setuid setgid Mechanismus der Pr fung der Berechtigung zum Einbringen oder L schen Sperren von Benutzern F r das Einbringen und Sperren von Benutzern ist ein Men system authif implementiert Das Programm authif weitere Kommandos und die Dateien in denen die Benutzer Informationen gehalten werden bilden das auth Subsystem Die Kommandos sind SGID to auth Programme und erfordern das auth Kommandoprivileg Die Dateien haben die auth Gruppenzugeh rigkeit und sind von dieser Gruppe zugreifbar Im System ist ein administrativer Benutzer mit Benutzernamen und Gruppe auth eingerichtet dem als Login Shell das Programm authif zugewiesen ist Das Einrichten und Sperren von Benutzern durch den Authentication Administrator mit authif ist der vom System vorgesehene und empfohlene Weg Alternativ bestehen Zugriffsm glichkeiten durc
54. fung beim Zugriff auf durch Kommandoprivilegien gesch tzte Objekte Kommandoprivilegien berechtigen zum Zugang zu Subsystemen die SGID Programme die den Zugang zu den Objekten der Subsysteme vermitteln pr fen ob der aufrufende Proze das erforderliche Kommandoprivileg besitzt Dies geschieht indem aus der allgemein lesbaren Pa wort Datei der zur LUID des Prozesses geh rende Benutzername ermittelt wird und dann gepr ft wird ob dieser Name in der gesch tzten Datenbasis des Subsystems eingetragen ist Bei negativem Ergebnis der Pr fung h ngt die Reaktion vom jeweiligen Subsystem und Kommando ab Entweder das Kommando wird mit einer Fehlermeldung abgebrochen oder die Ausf hrung des Kommandos wird auf die f r nichtprivilegierte Benutzer vorgesehenen Aktionen eingeschr nkt Unberechtigte Zugriffsversuche werden abh ngig von der Generierung vom Audit System protokolliert BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 47 Ein Abgleich der Zuordnung Benutzer Privileg in der Datenbasis des Subsystems und der Pa wortdatei des Benutzers erfolgt bei einer Privilegien nderung des Benutzers mit dem Men system Eine Inkonsistenz zwischen diesen Dateien ist m glich sie entsteht z B dann wenn ein Benutzer aus der etc passwd Datei gel scht und dann mit dem Men system mit anderen Privilegien wieder eingebracht wird In diesem Fall stimmen die Entscheidungsdaten nicht mit den be
55. g des Systems bzgl der Unumgehbarkeit der Sicherheitsfunktionen wurde nur an den Stellen durchgef hrt an denen aufgrund der Spezifikation Schwachstellen vermutet wurden Dabei wurden keine M ngel festgestellt Die Spezifikation entspricht den Anforderungen der Stufe Q2 3 3 Qualit t der verwendeten Mechanismen Gegenstand der Mechanismenpr fung sind in erster Linie prinzipielle Schw chen von Mechanismen die diesen unabh ngig von der Implementierung inh rent sind Die Gesamtbewertung der Mechanismen ergibt sich aus den Einzelbewertungen der unter 3 3 aufgef hrten Mechanismen Die Stufe mittelstark wurde durchg n BSI Bundesamt f r Sicherheit in der Informationstechnik 22 Zertifizierungsbericht SINIX S V5 22 gig erreicht Damit entsprechen die Mechanismen in ihrer Gesamtheit den Anfor derungen der Qualit tsstufe Q2 3 3 1 Qualit t der Mechanismen zur Identifikation und Authentisierung Mechanismus zur Identifikation und Authentisierung von Benutzern Die Identifikation und Authentisierung von Benutzern erfolgt ber die Angabe einer Benutzerkennung und des zugeh rigen Pa wortes Authentisierung durch Wissen Das Pa wort wird einwegverschl sselt und mit dem in einer Datei des Systems hinterlegten verschl sselten Pa wort verglichen F llt dieser Vergleich positiv aus wird ein mit den Rechten des Benutzers ausgestatteter Proze als f r den Benutzer im System agierende Einheit erzeugt Durch den implementierten
56. g vergebene nicht nderbare LUID m glich Der normale Benutzer kann weder die Erzeugung von Audit Daten beeinflussen noch Informationen stattgefundener Ereignisse f lschen Dar ber hinaus hat er keinen Zugriff zu den Programmen und Daten der Auswertung Durch den Mechanismus der Beweissicherung wird auch der Super User kontrol liert 2 5 Wiederaufbereitung Das L schen von Dateien auf dem Plattenspeicher wird grunds tzlich ber die logische Freigabe der betroffenen Datenbl cke realisiert der Inhalt selbst wird da bei nicht physikalisch gel scht Ein spezielles Kommando erm glicht aber den Dateiinhalt zu berschreiben Der Zugriff auf Dateien erfolgt ber Routinen des Systemkerns und ber dessen Puffer ein normaler Benutzer ohne Zugriffsrecht auf das Speichermedium kann BSI Bundesamt f r Sicherheit in der Informationstechnik 20 Zertifizierungsbericht SINIX S V5 22 nur auf den Inhalt existierender Dateien bzw auf von ihm selbst erzeugte Daten zugreifen Ein Zugriff auf die Inhalte schon gel schter Dateien ist nur m glich wenn die Datei w hrend des L schens noch ge ffnet war und nur solange bis die Datei geschlossen wird Die Dateieintr ge in Verzeichnissen werden beim L schen der Datei logisch ent fernt bleiben aber physikalisch erhalten Die Seiten des Arbeitsspeichers werden bei der Zuweisung an den Benutzer ge l scht bin r Null Der direkte Zugriff auf Datentr ger und Speicher ist durch die
57. gurationsm glichkeiten beschr nken sich auf den Anschlu zus tzlicher Terminals oder eines Druckers an die serielle Schnittstelle Nicht zum zertifizierten System geh ren die Treiber vp SC ex ly si SV nc hd lad exa trx psr bam cmx cd cx cl cw seq Virtual Partitions SIGNETICS SC2681 DUART Exos 201 Ethernet Controller Lync Graphic Board SIM Board NCR SCSI Controller SCSI Disk Juke Box Exabyte TRACEX Testdriver BS2000 Interface CMX Driver kein dev Eintrag CMX Driver kein dev Eintrag CMX Driver kein dev Eintrag BSI Bundesamt fiir Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 5 s_O DUEAI Controller xt XYLOGICS 472 Tape Controller due_ sl DUEAI DUXAI Board kein dev Eintrag Pr fsummen f r sicherheitsrelevante Systemteile Bei Installation des Systems SINIX S V5 22 werden zu jeder eingespielten Datei die Dateigr e die Zeit des letzten Zugriffs und der letzten nderung sowie eine Pr fsumme ausgegeben und in die Datei C2install out protokolliert Der Anwender kann durch den Vergleich der protokollierten Pr fsummen mit den hier aufgelisteten Pr fsummen sicherstellen da er das evaluierte Produkt installiert hat Requested bin df Filesize 24576 Last acc Thu Mar 7 15 38 35 1991 Mod tim Thu Apr 26 01 26 59 1990 Checksum for file bin df is 2194340 Requested bin lpr Filesize 118784 Last acc Thu Mar 7 15 16 58 1991
58. h andere Benutzer mit auth Kommandoprivileg sowie durch Benutzer mit privilegierter Identit t wie root oder auth Gruppenidentit t der Administrator ist angewiesen keinem normalen Benutzer diese Gruppenidentit t zuzuordnen Hier ist zu unterscheiden zwischen dem ausf hrenden Zugriff auf die Programme f r die einerseits das DAC Recht zum Ausf hren erforderlich ist und f r die andererseits da es sich um SGID Programme handelt zus tzlich das Systemprivileg execsuid vorhanden sein mu und bei denen durch das Programm selbst das Kommandoprivileg gepr ft wird und dem schreibenden oder lesenden Zugriff auf die Programm und Verwaltungsdateien Es ist vorgesehen da letzterer vermittelt ber die Subsystem Programme erfolgt die Pr fung als solche erfolgt aber im Rahmen der DAC Mechanismen und erfordert deshalb nur die Identit t von auth Gruppe oder Super User BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 49 Die Pr fung der erforderlichen Privilegien f r das Einbringen und L schen Sperren von Benutzern erfolgt also in Abh ngigkeit davon auf welchem Weg auf die Administrationsprogramme und dateien zugegriffen wird Zum Problem der IPC Objekte Sockets Es gibt zwei Auspr gungen vom Typ Socket zum einen UNIX domain sockets und zum anderen Internet domain sockets Sockets realisieren abstrakte Kommunikati onskan le von denen Nachrichten gesendet und empfangen werden
59. h den Super User nur in dem f r das evaluierte System zul ssigen Rahmen erfolgen Die erlaubten Konfigurationsm glichkeiten beschr nken sich auf den Anschlu zus tzlicher Terminals oder eines Druckers an die serielle Schnittstelle W hrend der Installation darf kein anderer Benutzer als der Super User Zugang zum System haben Nach der Installation des Systems sollten die Dateibest nde und pr f summen anhand der Datei C2install out mit dem im Gliederungspunkt 1 1 hinterlegten Stand verglichen werden um auf diese Weise zu berpr fen ob es sich um den evaluierten Softwarestand handelt Datentr ger mit Systemprogrammen Sicherungen Boot Software sollten so verwahrt werden da sie f r einen normalen Benutzer physisch nicht zug nglich sind Nach dem Lesen oder Beschreiben von B ndern oder Disketten sind diese aus dem Laufwerk zu entfernen und sicher zu verwahren da sie sonst allgemein zugreifbar sind Der Super User und die privilegierten Benutzer Authentication Administrator bzw Audit Administrator m ssen vertrauensw rdige Personen sein Um das Gefahrenpotential das von den Privilegien des Super Users aus geht gering zu halten ist durch organisatorische Ma nahmen zu BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 63 gew hrleisten da m glichst wenige aber mehr als eine Person in die Lage versetzt werden die Rolle des Super Users einzunehmen Der Super User
60. h um einen Systemaufruf handelt der immer protokolliert werden mu ein sog mandatory system call Ob es sich um eine Applikation handelt die ihre eigenen Protokolls tze schreiben darf dann unterbleibt eine Protokollierung der in dieser Applika tion auftretenden Systemaufrufe Ob f r den Benutzer die Gruppe Systemaufrufe protokolliert werden sollen vom Audit Administrator ber auditif einstellbar Ob der Systemaufruf in eine zu protokollierende Kategorie f llt systemweit vom Audit Administrator einstellbar benutzerspezifisch vom Authentication Administrator einstellbar Ergibt die Pr fung da der Systemaufruf zu protokollieren ist so wird ein dem Systemaufruf und dessen Ergebnis entsprechender Protokollsatz erzeugt und direkt in eine gesch tzte Datei ein sog collection file geschrieben Eine Ausnahme bildet der Systemaufruf exit Da dieser nicht zur frap Routine zur ck BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 51 kehrt wird nach Priifung der obigen Kriterien gegebenenfalls innerhalb der exit Routine ein Protokollsatz geschrieben Im Falle der vertrauenswiirdigen Systemprogramme schreibt die Applikation selbst Protokolls tze ber das Device dev auditw in das collection file vorausgesetzt das Audit Subsystem ist eingeschaltet und das entsprechende Ereignis z B Login f llt in eine Kategorie die aufgezeichnet werden soll Innerhalb des Device T
61. iederaufbereitung 19 3 Beschreibung der Evaluation mit Hinweisen auf kritische Bereiche 21 3 1 Qualit t der Sicherheitsanforderungen 21 3 2 Qualit t der Spezifikation 21 3 3 Qualit t der verwendeten Mechanismen 21 3 4 Qualit t der Abgrenzung zu nicht zu evaluierenden Systemteilen 54 3 5 Qualit t des Herstellungsvorgangs 57 3 6 Betriebsqualit t 59 3 7 Qualit t der Anwenderdokumentation 61 4 Weitere Hinweise und Auflagen 62 BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 3 1 Beschreibung des evaluierten Systems Bei dem gepriiften System handelt es sich um das Betriebssystem SINIX S V5 22 SINIX S unterscheidet sich vom Basisprodukt SINIX durch die Portierung des Paketes SMP Security Modul Package der Fa SecureWare und durch weitere herstellerspezifische Verbesserungen zur Erh hung der Sicherheit Das evaluierte Produkt ist ein Betriebssystem das auf Rechnern des Typs MX300 MX300 MX300 05 MX300 10 MX300 15 und MX300 30 jeweils Standard und Tempest Version mit den Prozessoren NS32332 und NS32532 lauff hig ist Als Benutzerschnittstellen unterst tzt das System die Schnittstellen X OPEN XPG HD und UNIX BSD4 2 die Systemschnittstelle bedient au erdem Systemaufrufe des Systems SINIX V2 1 Das System kann in zwei unterschiedlichen Betriebsarten gefahren werden Ein Benutzer Modus Der Zugriff ist nur f r den Super User Systemverwalter erlaubt Mehr Benutzer Mod
62. ien rele vanten Benutzerdaten stehen in Dateien die gegen Zugriff unprivilegierter Benutzer gesch tzt sind Auf diese Dateien haben nur der Super User und der Authentication Administrator Zugriff Nach einem Logout besteht f r den betreffenden Benutzer keine I O Verbindung mehr zum System BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 17 2 2 Rechteverwaltung Die effektiven und die realen Identit ten werden f r den Benutzerproze beim Login mit der entsprechenden Benutzer und Gruppen Kurzkennung belegt Im Laufe des Betriebs k nnen sich die effektiven Identit ten EUID und EGID von den realen Identit ten RUID und RGID unterscheiden Die Zugriffsrechte an Dateiobjekten und den IPC Objekten Message Queue und Semaphore sind gegeben durch die Kurzkennungen des Benutzers bzw seiner Gruppe und den daraus resultierenden effektiven Identit ten der von ihm gestarteten Prozesse einerseits sowie durch die im Permission Mode Word PMW des Objekts ver merkten f r den Zugriff erforderlichen Rechte andererseits Die Rechtestruktur am Objekt unterscheidet zwischen Lese Schreib und Aus f hrungsrechten und dort jeweils zwischen Eigent mer Gruppe und anderen Benutzern Beim Einh ngen eines Dateisystems durch mount das durch den Super User erfolgen kann ist es m glich die Zugriffsart zu Dateien global auf den Lesezugriff zu beschr nken Bei IPC Objekten
63. in Speichermedium f r ein Dateisystem z B ein logisches Plattenlaufwerk stellt i a seinerseits als Ger tedatei ein DAC gesch tztes Objekt dar Werden die Rechte an einer solchen Datei f lschlicherweise so gesetzt da andere Benutzer als der Super User Zugriffsrechte bekommen so besteht die M glichkeit des Zugriffes auf Dateiinhalte aller Dateien des Dateisystems unter Umgehung der an den einzelnen Dateiobjekten vergebenen DAC Rechte Der Mechanismus pr ft nicht jeden Zugriff auf ein Dateiobjekt dahingehend ob der zugreifende Benutzer zum aktuellen Zeitpunkt zu diesem Zugriff berechtigt ist Auf diese Weise ist es m glich da Zugriffe erfolgen die zum aktuellen Zeitpunkt gegen die durch die Rechteverwaltung festgelegten Rechte versto en Dies kann der Fall sein wenn zwischen dem Anlegen bzw Er ffnen der Datei und dem Zugriff dem Benutzer Rechte durch den Super User oder Eigent mer des Objekts entzogen wurden sich zwischen dem Anlegen bzw ffnen der Datei und dem Zugriff die effektive Benutzer oder Gruppen Kurzkennung ndert oder der Benutzer zwischen dem Anlegen bzw Er ffnen der Datei und dem Zu griff durch den Super User gesperrt wurde In allen diesen F llen ist der Benutzer zum Zeitpunkt des ffnens der Datei zu dem sp teren Zugriff berechtigt BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 43 Mechanismus der Priifung beim Zugriff auf IPC Objekte Semaphore
64. inverwaltung da sie f r die effektiven Zugriffsrechte des Super Users ohne Belang sind Das Super User Privileg ist durch die effektive Benutzer Kurzkennung 0 gegeben das entspricht der Kurzkennung der administrativen Benutzer root und admin Die Vergabe dieses Privilegs erfolgt automatisch mit der Vergabe der effektiven Identit t an den Proze beim Login oder bei der Ausf hrung von SUID ro root Programmen Ein Proze mit Super User Privileg unterliegt keinen Beschr nkungen durch die Zugriffskontrolle des DAC Mechanismus f r Datei und IPC Objekte Ausnahmen sind dadurch gegeben da auch der Super User nur eine Datei als Programm ausf hren kann wenn mindestens ein Ausf hrungsrecht f r diese Datei gegeben ist und auch er nur lesend auf Dateien eines Dateisystems zugreifen kann das nur mit der Leseoption gemountet wurde Er ist zur nderung der DAC Rechte und Eigentumsverh ltnisse an allen Objekten sowie zum Einbringen und Sperren L schen von Benutzern berechtigt Au erdem berechtigt dieses Privileg einen Proze bestimmte Systemaufrufe aus zuf hren oder sie mit einem erweiterten Aktionsrahmen zu benutzen Ohne dieses Privileg soll ein Proze nicht in der Lage sein diese Systemaufrufe bzw die entsprechende Aktion durchzuf hren Dies betrifft speziell Systemaufrufe mit der die System Konfiguration oder einzelne Systemvariable ge ndert werden k nnen Mit dem Super User Privileg verf gt der Proze automatisch ber alle
65. iterbar Die Vergabe der Privilegien an Prozesse erfolgt beim Hochfahren des Systems dabei wird der init Proze mit maximalen Privilegien ausgestattet Die Weitergabe von Privilegien erfolgt durch Vererbung auf die erzeugten Prozesse Die jeweiligen Programme entziehen sich selbst mit einem speziellen Systemaufruf diejenigen Privilegien die sie nicht mehr ben tigen speziell werden vor dem Start einer Benutzer Sitzung durch den vorgelagerten System Proze alle Privilegien die dem Benutzer nicht zugeordnet sind entzogen Systemprivilegien k nnen nicht zu einem sp teren Zeitpunkt vergeben oder wieder aktiviert werden In der gesch tzten Pa wort Datenbasis eines Benutzers sind diejenigen System privilegien verzeichnet mit denen nach dem Login Vorgang sein Benutzerproze gestartet wird Der Eintrag in die Datenbasis und damit die Vergabe von System privilegien an den Benutzer erfolgt durch den Systemadministrator mit Kommandoprivileg auth Mechanismus der Super User Privilegien Bei dem Super User Privileg handelt es sich um einen Mechanismus der nur teilweise der Rechteverwaltung unterliegt obwohl die Benutzer Kennung des Super Users wie jede andere Kennung mit dem DAC Mechanismus f r Datei und IPC Objekte verwaltet werden kann ist dies ausgenommen die Vergabe des BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 37 Eigent mers root admin fiir SUID Programme eine Sche
66. ln Neben den Zugriffen die einzelne Prozesse betreffen bietet das System auch M glichkeiten Informationen ber das Gesamtsystem abzufragen Das ndern von einzelnen Systemvariablen ist in den F llen wo das System eine solche M glichkeit vorsieht nur dem Super User m glich Mechanismus der Pr fung beim Zugriff auf Subsysteme Bei den Subsystemen handelt es sich nicht um einen eigenst ndigen Mechanismus sondern um eine Kombination von anderen Mechanismen des Systems mit der ein besonderer Schutz f r Teilbereiche erreicht werden soll Das Konzept basiert auf der Kombination der Mechanismen Discretionary Access Control f r Dateiobjekte DAC SUID SGID Mechanismus betrifft nicht die Rechtepr fung Kommandoprivilegien Systemprivilegien Die Pr fungen innerhalb eines Subsystems erfolgen im Rahmen dieser Mechanismen Ein nichtprivilegierter Benutzer kann nicht direkt auf die Objekte in Subsystemen zugreifen sondern nur vermittelt ber spezielle SGID Programme Er ben tigt f r die Ausf hrung dieser Programme neben der Berechtigung der DAC das zugeh rige Kommandoprivileg das in seiner gesch tzten Pa wort Datei und in der Datenbasis des Subsystems hinterlegt sein mu In den jeweiligen Programmen wird gepr ft ob der zur LUID des zugreifenden Prozesses geh rende Benut zername in der Datenbasis des Subsystems eingetragen ist Es ist m glich Zugang zu den Objekten des Subsystems zu erlangen ohne das zum
67. ls Parameter vorsieht Ver ndernde Zugriffe sind chmod chown link rename unlink mknod mkdir rmdir utime utimes truncate symlink csymlink Ver nderungen an einer Datei sind auch m glich nach mmap Lesende Zugriffe sind access Istat stat statfs ustat readlink readclink F r diese lesenden Zugriffe sind au er dem Suchrecht f r die Pfad Verzeichnisse keine Rechte an dem Dateiobjekt gefordert Weitere Zugriffe die Dateien oder Dateisysteme betreffen sind chdir chroot mount getdirentries umount select munmap BSI Bundesamt fiir Sicherheit in der Informationstechnik 42 Zertifizierungsbericht SINIX S V5 22 Modifizierende Zugriffe auf Dateiobjekte werden mit einem Fehlercode zu r ckgewiesen wenn sie sich in Dateisystemen befinden zu denen nur Lesezugang besteht oder wenn es sich bei dem Objekt um eine Datei handelt die gerade als Programm ausgef hrt wird Die Pr fung erfolgt in den jeweiligen Systemaufrufen Das L schen eines Dateiobjekts aus einem Verzeichnis dessen sticky bit gesetzt ist wird mit einem Fehlercode zur ckgewiesen wenn das Subjekt nicht gleich dem Eigent mer des Objekts oder dem Super User ist die Pr fung erfolgt im Systemaufruf unlink Zugriffe auf unzul ssige Speicherbereiche werden durch die Mechanismen der Speicherverwaltung mit dem Signal SIGSEGV teilweise auch S IGBUS abgewiesen Diese Pr fung erfa t auch Zugriffe auf durch mmap zug nglich gemachte Dateiteile E
68. me ausgegeben und in die Datei C2install out protokolliert Der Anwender kann sich durch den Vergleich der protokollierten Pr fsummen mit den unter dem Gliederungspunkt 1 1 dieses Berichtes aufgelisteten Pr fsummen davon berzeugen da er das evaluierte Produkt installiert hat Hardware Software Wartung In SINIX S V5 22 gibt es keinen besonders privilegierten Wartungsmodus oder dergleichen Die Wartung des laufenden Systems erfolgt unter einer normal privile gierten Kennung tele Dabei ist zu beachten da auch f r diese Kennung das ausgelieferte Pa wort ge ndert werden mu es also kein Standard Wartungs Pa wort gibt Spezielle Aktionen erfordern die Super User Berechtigung oder k nnen nur bei heruntergefahrenem Hardware Wartung bzw im _ Ein Benutzer Modus gefahrenem System durchgef hrt werden In jedem Fall sind keine Sicherheits funktionen au er Kraft gesetzt Sicherer Wiederanlauf nach Fehler Wartung Wird das System nach der Wartung oder einem Absturz wieder hochgefahren so befindet es sich in der Regel nach dem Booten im Mehr Benutzer Modus in dem die in den Sicherheitsanforderungen dargelegten Sicherheitsfunktionen greifen d h Benutzer m ssen sich identifizieren und authentisieren das Beweissicherungs System l uft falls dies vom Audit Administrator so eingestellt wurde usw Scheitert der Boot Vorgang z B weil das Dateisystem korrumpiert ist infolge des Absturzes und ein manueller file system check
69. mu verhindert werden da Benutzer unkontrolliert eigene SUID SGID Programme in das System einbringen k nnen indem z B der Super User Programme aus einem schlecht gesch tzten Verzeichnis bernimmt und mit ent sprechendem Eigent mer und s Bit versieht F r das L schen Sperren von Eigent mern Gruppen von SUID SGID Pro grammen gilt das gleiche wie im allgemeinen Fall Es kommt in diesem Fall aber dazu da auch nach dem Ausloggen dieses Benutzers seine Zugriffsrechte genutzt werden k nnen indem andere Benutzer durch Ausf hrung seiner SUID SGID BSI Bundesamt f r Sicherheit in der Informationstechnik 32 Zertifizierungsbericht SINIX S V5 22 Programme seine effektive Benutzeridentit t erlangen k nnen wenn auch nur in dem durch die Programme vorgegebenen Rahmen Implizite Rechteverwaltung f r den Zugriff auf Prozesse Prozesse als Objekte unterliegen keiner expliziten Rechteverwaltung Sie werden identifiziert ber die Proze ID die nicht nderbar ist F r den Zugriff auf Prozesse gelten allerdings bestimmte Regeln und Restriktionen die durch das System verwaltet bzw gepr ft werden ber die System aufrufschnittstelle hat der Benutzer M glichkeiten auf einzelne Variablen der Proze strukturen zuzugreifen und sie in gewissen Grenzen zu modifizieren wodurch sich wiederum Auswirkungen auf das Zusammenwirken mehrerer Prozesse ergeben In dieser Weise ist eine Form der impliziten Rechteverwaltung gegeben
70. n deren Inhalt wird aber nicht physikalisch gel scht Durch Mechanismen bei der Dateihandhabung ist jedoch in diesem Fall sicher gestellt da der n chste Benutzer dem diese Datenbl cke f r eine Datei zugeteilt werden die darin enthaltene Information nicht lesen kann Beschreibt der Benutzer die Datei l ckenhaft so werden die L cken in den Datenbl cken mit bin r 0 aufgef llt Der normale Benutzer kann nicht an die vorher in den Plattenspeicherbl cken enthaltenen Daten gelangen Durch die M glichkeit unter Umgehung des Datei systems direkt von der Platte zu lesen kann der Super User auch Dateiinhalte von Dateien lesen die mit rm gel scht wurden Mechanismus zur Wiederaufbereitung des Arbeitsspeichers Bei SINIX S V5 22 ist der Arbeitsspeicher in Speicherseiten aufgeteilt und wird virtuell adressiert Dem Benutzer wird beim Erzeugen von Prozessen Arbeitsspei cher in Form von Speicherseiten zugeteilt Die Wiederaufbereitung der Speicher seiten erfolgt vor der Zuteilung zu einem Proze fill on demand nicht bei der Freigabe durch einen Proze Neben dieser statischen Zuteilung beim Start eines Programms k nnen weitere Speicherseiten dynamisch w hrend der Laufzeit zugeteilt werden In beiden F llen BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 53 werden Speicherseiten vor der Zuteilung initialisiert mit Programmcode Werten initialisierter Variablen oder bin r 0
71. ndesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 Requested tcb bin audinit Filesize 61440 Last acc Thu Mar 7 15 56 54 1991 Mod tim Mon Mar 4 14 51 06 1991 Checksum for file tcb bin audinit is Requested tcb bin auditcmd Filesize 69632 Last acc Thu Mar 7 15 56 52 1991 Mod tim Mon Mar 4 14 50 54 1991 Checksum for file tcb bin auditcmd IS Requested tcb bin auditd Filesize 77824 Last acc Thu Mar 7 15 56 56 1991 Mod tim Mon Mar 4 14 50 56 1991 Checksum for file tcb bin auditd is Requested tcb bin auditif Filesize 249856 Last acc Thu Mar 7 15 56 50 1991 Mod tim Mon Mar 4 14 46 37 1991 Checksum for file tcb bin auditif is Requested tcb bin authck Filesize 131072 Last acc Thu Mar 7 15 56 53 1991 Mod tim Mon Mar 4 14 50 59 1991 Checksum for file tcb bin authck is Requested tcb bin authif Filesize 249856 Last acc Thu Mar 7 15 56 36 1991 Mod tim Mon Mar 4 14 46 33 1991 Checksum for file tcb bin authif is 5148617 5702037 6735232 21178472 11170117 21227658 BSI Bundesamt fiir Sicherheit in der Informationstechnik Requested tcb bin checkfile Filesize 45056 Last acc Thu Mar 7 16 05 42 1991 Mod tim Mon Mar 4 14 51 00 1991 Checksum for file tcb bin checkfile is Requested tcb bin chg_audit Filesize 28672 Last acc Thu Mar 7 15 56 52 1991 Mod tim Mon Mar 4 14 46 43 1991 Checksum for file
72. nen au er Kraft zu setzen Einschr nkend ist zu bemerken da Tests nur soweit durchgef hrt werden konnten wie es in Bezug auf Aufwand und System Konfiguration im Rahmen der Q2 Evaluierung erforderlich und m glich war Fehler die aufgrund starker Belastung extremer Randbedingungen oder im Zusammenwirken komplexer Software Pakete auftreten k nnen wurden deshalb weder gesucht noch zuf llig gefunden BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 59 3 6 Betriebsqualit t Die Funktionalit ten die die Einhaltung der Sicherheitsanforderungen im laufenden Betrieb gew hrleisten erf llen die Qualit tstufe Q2 Konfigurierbarkeit Das evaluierte System sieht eine feste Software Konfiguration vor Es ist nicht m glich oder vorgesehen etwa nach Baukastenprinzip zus tzliche Software Teile zum Kern dazuzubinden Der Kern munix enth lt bereits alle Treiber fiir die von SNI f r das MX 300 SINIX S V5 22 System angebotenen zus tzlichen Ger te SCSI Harddisk Ethernet Controller usw Bei Hinzuf gen von Ger ten d h nderung der Hardware Konfiguration werden die entsprechenden Treiber beim Hochfahren aktiviert Der Kern erkennt sozusagen die gegebene Hardware Konfiguration und konfiguriert sich dynamisch durch die Aktivierung dieser Treiber Um ein solches Ger t ber die Software ansprechen zu k nnen mu die zugeh rige Ger tedatei vorhanden sein oder angelegt werden N
73. neuer Benutzer sucht das System eine un benutzte Benutzerkennung so da vermieden wird da eine alte oder doppelte Benutzerkennung zu der schon noch Zugriffsrechte an Dateiobjekten vorhanden sind vergeben wird Dieser Schutz ist bei Umgehung des Men systems nicht gegeben Die Aus bung der an Dateien eines Dateisystems gegebenen Zugriffsrechte setzt voraus da das Dateisystem durch den Systemaufruf mount zu dem nur der Super User berechtigt ist den Benutzern zug nglich gemacht wurde Dabei besteht die M glichkeit den Zugang auf Lesezugriffe zu beschr nken wodurch die existierenden Schreibrechte an den Dateien des Dateisystems f r die Dauer des Anschlusses bis zum umount und erneutem mount au er Kraft gesetzt sind Diese M glichkeit stellt einen zus tzlichen Schutzmechanismus dar der es erlaubt korrupte oder ungepr fte Dateisysteme ohne Gefahr f r das Basissystem zu ber pr fen Bisher wurde durch den Begriff Dateiobjekt impliziert da die Dateidaten als durch das bergeordnete Dateisystem verwaltete und strukturierte Einheit be trachtet werden Es mu aber darauf hingewiesen werden da das Dateisystem als Ganzes und damit die Gesamtheit der Dateidaten der untergeordneten Dateiobjekte ber die Ger tedatei des logischen Plattenlaufwerks ebenfalls als Dateiobjekt ansprechbar und mit Zugriffsrechten versehen ist Mechanismus Discretionary Access Control f r IPC Objekte IPC Objekte werden ber ihren Namen
74. ng stattfindet Jeder Benutzer des Systems mu den Security Features Users Guide lesen um sich mit den vorhandenen Sicherheitsmechanismen vertraut zu machen Die Benutzer sollten die Rechte an ihren Objekten so vergeben da nur solche Benutzer Zugriff haben f r die das gew nscht wird Dies gilt spe ziell f r die Rechte an Verzeichnissen Die Vergabe des Schreibrechtes an Verzeichnissen an andere Subjekte als den Eigent mer ist auf das notwendige Ma einzuschr nken vor allem dann wenn diese Subjekte mit dem Systemprivileg chown ausgestattet sind Dateien mit vertrauensw rdigem Inhalt sollten mit destroy gel scht werden wenn sie nicht mehr ben tigt werden Die Benutzer sind anzuhalten beim Verlassen des Arbeitsplatzes sich am System abzumelden BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 65 DAC EGID EUID LUID PID PPID Verzeichnis der Abk rzungen Discretionary Access Control Benutzerbestimmbare Zugriffskontrolle Effektive Gruppen Kurzkennung Gruppen Identifikation Anhand der effektiven Gruppen Kurzkennung wird im System die Gruppenzugriffsberechtigung eines Prozesses gegen die Gruppen zugriffsberechtigung des Dateiobjektes gepr ft z B beim ffnen einer Datei Effektive Benutzer Kurzkennung Benutzer Identifikation Anhand der effektiven Benutzer Kurzkennung wird im System die Benutzerzugriffsberechtigung des Prozesses gegen die Eigent mer
75. odus mu sich der Super User an der Konsole identifizieren und authentisieren Der Zugang zum System erfordert die Identifikation durch Angabe der Benutzer kennung und Authentisierung durch die nicht sichtbare Eingabe des Pa wortes das im System verschliisselt und an einer fiir den normalen Benutzer nicht zu g nglichen Stelle abgespeichert ist Das System bietet verschiedene M glichkeiten f r die Pa wortvergabe Wahl des Pa wortes berpr fung des Pa wortes auf Palindrom Erzwingung eines Pa wortwechsels Mehrfache erfolglose Au thentisierungsversuche f hren zum Sperren der Benutzerkennung Bei erfolgreicher Authentisierung wird f r den Benutzer ein Proze mit einem f r ihn hinterlegten Programm i a ein Kommando Interpreter Shell gestartet der mit der Identit t und dadurch mit den Rechten des Benutzers ausgestattet ist Alle folgenden Aktivit ten des Benutzers im System werden durch diesen Proze und seine Sohnprozesse realisiert Der Proze bekommt eine unver nderliche Kennung LUID Login Benutzer Kurzkennung zugewiesen die an alle von ihm erzeugten Prozesse weitervererbt wird Anhand der LUID sind alle Aktivit ten des Benutzers eindeutig identifizierbar Die f r die Rechtepr fung relevanten Identit ten eines Prozesses k nnen sich unter bestimmten Bedingungen in der Proze kette ndern z B bei Ausf hrung sog SUID SGID Programme Die sensitiven Pa wortdaten und die f r die Benutzerrechte und privileg
76. om 11 Januar 19893 des IT Evaluationshandbuchs in der 1 Fassung vom 22 Februar 1990 evaluiert 2 Durchf hrung der Pr fung Die Evaluierung wurde durchgef hrt von Rainer Bertelsmaier Stollmann9 Cornelia Heinicke Stollmann Heinrich Kersten BSI Heribert Spindler IABG Markus Ullmann BSI Marcel Weinand BSI Ridvan Ysiltepe Stollmann Die vom Evaluationsteam vorgelegten Priifberichte entsprechen in Form und Inhalt den Anforderungen der genannten Priifgrundlagen 2 SINIX ist das UNIX Produkt der Siemens Nixdorf Informationssysteme AG UNIX ist ein eingetragenes Warenzeichen der UNIX System Laboratories Inc 3 IT Sicherheitskriterien Kriterien f r die Bewertung der Sicherheit von Systemen der Informationstechnik IT ISBN 3 88784 192 1 Bundesanzeiger Verlag K ln 1989 und GMBI 1989 S 277 IT Evaluationshandbuch Handbuch f r die Pr fung der Sicherheit von Systemen der Informationstechnik IT ISBN 3 88784 220 0 Bundesanzeiger Verlag K ln 1990 und GMBI 1990 S 430 5 Stollmann GmbH 6 Bundesamt f r Sicherheit in der Informationstechnik 7 Industrieanlagen Betriebsgesellschaft mbH vi BSI Bundesamt fiir Sicherheit in der Informationstechnik 3 G ltigkeit des Zertifikats Das Zertifikat gilt nur f r die angegebene Version des Produktes Jede nderung an sicherheitsrelevanten Teilen f llt nicht mehr unter das Zertifikat Die G ltigkeit des Zertifikats kann aber auf neue Versionen
77. r Zugriff wird durch die Mechanismen der Discretionary Access Control f r Dateiobjekte kontrolliert und soll nur dem Super User oder indirekt ber das zugeh rige Subsystem Benutzern mit dem mem Privileg f r Lesezugriffe zug ng lich sein Letztere werden ber die Kommandos des Subsystems ps ipcs realisiert Mechanismus der Subsysteme zur Sicherung von Sicherheitsfunktionen Subsysteme sch tzen einzelne sicherheitsrelevante Teilbereiche des Systems Es handelt sich dabei schwerpunktm ig nicht um einen Mechanismus der Rechte verwaltung sondern der Mechanismus dient im wesentlichen der Sicherung von BSI Bundesamt f r Sicherheit in der Informationstechnik 34 Zertifizierungsbericht SINIX S V5 22 anderen Sicherheitsfunktionen des Systems Identifizierung und Authentisierung Beweissicherung Der Zugriff auf Programme und Dateien eines Subsystems ist nur mit einer dem Subsystem zugeh rigen effektiven Gruppen Kurzkennung m glich Diese Kurz kennung kann durch die Ausf hrung spezieller bzgl ihrer Sicherheitseigenschaften berpr fter SGID Programme erlangt werden Zur Ausf hrung eines solchen Programms oder einzelner Teilfunktionen ben tigt ein Benutzer das jeweilige Kommandoprivileg dessen Vorhandensein f r den Benutzer von dem Programm berpr ft wird Einige Subsystem Kommandos z B authif berpr fen das Privileg nicht wenn der Aufrufer die Gruppenidentit t des Subsystems besitzt Zus tzlich mu der Benutzer
78. r beim Er ffnen der Datei angegebenen Zugriffsart unterscheidet so wird dieser mit einem Fehlercode abge wiesen Die Pr fung erfolgt in den Systemaufrufen read bzw write bzw readv writev BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 41 Die Entscheidungsdaten f r diese Pr fung liegen einerseits in der Verwaltungs struktur der ge ffneten Datei Datei Deskriptor andererseits in der Verwaltungs struktur des aktiven Prozesses proc Auf eine ge ffnete Datei k nnen folgende Operationen angewendet werden dup dup2 fsync Iseek fstat close fstatfs betr Dateisystem ioctl f r Ger tedateien fentl flock fchown fchmod ftruncate locking mmap tell rdchk select Die Berechtigung fiir die Ausf hrung einer Programmdatei wird im Systemaufruf exec execv bzw execve gepr ft auch der Super User unterliegt in diesem Fall der Rechtepr fung Er ist zur Ausf hrung nur berechtigt wenn im PMW mindestens ein Ausf hrungsrecht gegeben ist Die Berechtigung f r Zugriffe die nur die Verwaltungsstruktur vnode eines Dateiobjekts betreffen wird ebenfalls in den entsprechenden Systemaufrufen gepr ft hier wird i d R auf die nicht ge ffnete Datei mit Angabe des Pfadnamens zugegriffen Ausnahmen fchmod fchown wobei generell das Suchrecht f r alle Verzeichnisse des Pfads vorausgesetzt und gepr ft wird dies gilt entsprechend wenn der Systemaufruf mehrere Pfadnamen a
79. r das Men system feststellbaren Privilegien des Benutzers berein Mechanismus der Pr fung beim Zugriff auf durch Systemprivilegien gesch tzte Objekte Der Zugriff auf durch Systemprivilegien gesch tzte Objekte erfolgt durch die jeweiligen Systemaufrufe exec chmod chown Zugriffe auf dev auditw In diesen wird gepr ft ob es sich um einen Zugriff handelt f r den Systemprivilegien erfor derlich sind und ggf ob der Proze die erforderlichen Systemprivilegien besitzt Die Systemprivilegien werden im Authorisierungs Vektor des Prozesses gehalten Ist das Privileg nicht gegeben so gibt der Aufruf einen Fehlercode zur ck und wird beendet Zur Pr fung der vorhandenen Systemprivilegien sind der Systemaufruf getpriv und das Kommando privs vorhanden Der Super User ist von der Pr fung der an normale Benutzer vergebbaren Privilegien chown execsuid und chmodsugid ausgenommen Mechanismus zur Pr fung der Zugriffe auf Objekte die Super User Identit t erfordern Der Zugriff erfolgt durch die jeweiligen Systemaufrufe In diesen wird gepr ft ob es sich um einen Zugriff handelt f r den Super User Identit t erforderlich oder hinreichend ist und ggf ob der Proze diese Identit t besitzt Ist die Identit t nicht gegeben so gibt im ersten Fall der Aufruf einen Fehlercode zur ck und wird beendet im zweiten Fall wird gepr ft ob der Proze aufgrund seiner effektiven Identit t zu der Aktion berechtigt ist Systemaufru
80. r die Datei als Ganzes Die Pr fung des Zugriffs auf ein Dateiobjekt erfolgt beim Er ffnen der Datei in den Systemaufrufen open oder creat die den Datei Identifikator f r weitere Zugriffe zur Verf gung stellen In den Parametern des Aufrufs wird die gew nschte Zugriffsart angegeben Bei der Pr fung des Zugriffs wird der vollst ndige Pfad name der Datei zugrunde gelegt Besitzt der aufrufende Proze nicht f r alle Verzeichnisse des Pfads das Suchrecht oder sind im PMW des Objekts f r die effektive Benutzer oder Gruppen Kurzkennung des Prozesses die erforderlichen Rechte nicht eingetragen so wird der Systemaufruf abgebrochen und gibt anstelle des Datei Identifikators einen Fehlercode zur ck Ist die effektive Benutzer Kurzkennung 0 Super User ist der Zugriff in jedem Fall zul ssig Die Entscheidungsdaten f r die Pr fung liegen einerseits in der Verwaltungs struktur vnode der Dateiobjekte im Dateisystem andererseits in der Verwaltungs struktur des aktiven Prozesses proc Ein Lese oder Schreibzugriff auf ein Dateiobjekt ist nur m glich wenn zuvor ein open oder creat durchgef hrt wurde da f r den Zugriff der Datei Identifikator angegeben werden mu Beim Zugriff wird im Systemaufruf gepr ft ob der angegebene Datei Identifikator f r den Proze und die Zugriffsart zul ssig ist Eine Pr fung der Berechtigung des Subjekts erfolgt nicht mehr Wird versucht auf das Dateiobjekt einen Zugriff auszu ben der sich von de
81. rch ndern des Eigent mers eines Dateiobjektes k nnen die Rechte an dem Objekt indirekt ver ndert werden Dies ist allerdings nur dem Eigent mer oder dem Super User m glich Der Eigent mer ben tigt zus tzlich das Systemprivileg chown Bei der nderung von Rechten gilt f r die Pr fung jeweils das zuletzt vergebene Recht BSI Bundesamt f r Sicherheit in der Informationstechnik 26 Zertifizierungsbericht SINIX S V5 22 F r den Zugriff auf eine Datei sind nicht nur Rechte an der Datei selbst sondern auch das Suchrecht fiir die Verzeichnisse des Dateipfads erforderlich Durch link besteht die M glichkeit Dateien ber verschiedene Zugriffspfade zug nglich zu machen wobei unterschiedliche Zugriffsrechte m glich sein k nnen Diese Umst nde konstituieren aber keinen Widerspruch da bei jedem Zugriff der Zugangspfad vom Benutzer bzw seiner Benutzerumgebung environment spezifiziert wird und da in jedem Fall eindeutig geregelt ist ob der Benutzer ber diesen Pfad auf die Datei zugreifen kann Es kann der Fall eintreten da der Eigent mer einer Datei auf diese nicht mehr zugreifen kann Der link Mechanismus kann zu un bersichtlichen Rechteverh ltnissen f hren Der Eigent mer einer Datei hat i d R keine M glichkeit festzustellen wo die Links seiner Dateien liegen und wer sie erzeugt hat Die Gruppenrechte im PMW geben nur eine eingeschr nkte Information sie sagen zwar etwas dar ber aus welche Zugriffsrechte eine Grupp
82. reibers wird gepr ft ob die Applikation zum Schreiben eigener Protokolls tze berechtigt ist Dazu ist neben dem Schreibrecht auf dev auditw die Autorisierung writeaudit notwendig Im Falle der Subsystem Prozesse die nicht ber die writeaudit Autorisierung ver f gen schickt das Subsystem mittels dlvr_audit ber eine gesch tzte named pipe den eigentlichen Protokollsatz an den audit daemon Anhand des Gruppennamens des Aufrufers kann dlvr_audit verifizieren da der Protokollsatz von einem der Subsysteme stammt Der audit daemon bernimmt dann den Protokollsatz voraus gesetzt das Audit Subsystem ist eingeschaltet und das entsprechende Ereignis f llt in eine Kategorie die aufgezeichnet werden soll In jedem der drei beschriebenen F lle zur Erzeugung von Protokolls tzen liest der audit daemon Protokolls tze in den beiden ersten F llen ber das Device dev auditr aus dem collection file in letzterem Fall aus der named pipe kompri miert sie und schreibt sie in eine gesch tzte Datei compaction file Bei der Auswertung der Protokolls tze der sogenannten reduction durch den Audit Administrator mit Hilfe des Programms auditif werden die Protokolls tze aus der komprimierten Datei nach angebbaren Kriterien selektiert und in eine lesbare Form gebracht Da die Protokolls tze das aktuelle Arbeitsverzeichnis und die LUID des verursachenden Benutzers selbst nicht enthalten m ssen dabei in einer Art Emulation die Erzeugung von Prozes
83. renden Zugriff auf solche werden die s Bits der Datei gel scht Das Setzen des s Bits einer Datei ist nur Eigent mern mit speziellem Systemprivileg chmodsugid m glich nur der Super User kann s Bits an Dateien deren Eigent mer er nicht ist setzen Das Verschenken einer Datei ist nur Benutzern mit speziellem System privileg chown m glich dabei werden die s Bits gel scht und k nnen nur vom Super User oder dem neuen Eigent mer sofern er das chmodsugid Privileg hat wieder gesetzt werden Das Ausf hren von SUID SGID Programmen ist nur Benutzern mit speziellem Systemprivileg execsuid m glich Systemkommandos mit SUID SGID Eigenschaften insbesondere solche mit SUID f r root wurden soweit wie m glich reduziert und in Bezug auf Sicherheitsl cken berpr ft Der Super User ist angewiesen SUID SGID Programme in Bezug auf Existenz und nderung regelm ig mit dem Sollzustand zu vergleichen F r diesen Zweck existieren spezielle Dienstprogramme Diese Schutzmechanismen gegen die SUID SGID Mechanismen sind dazu geeignet ein Einbringen weiterer SUID SGID Programme ins System zu unter binden bzw sie unter Kontrolle des Super Users zu stellen Die berschaubarkeit der Rechteverwaltung ist durch den SUID SGID Mechanis mus erheblich eingeschr nkt da einem normalen Benutzer nicht BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 31 erkennbar ist welche an
84. rtet werden Sie entsprechen somit den Anforderungen der Qualit tsstufe Q2 3 4 1 Mechanismen zur Abgrenzung des Kerns Es wird unterschieden zwischen Mechanismen die sicherstellen da die genannten Schnittstellen nicht umgangen werden k nnen und solchen die daf r sorgen da die genannten Schnittstellen ausschlie lich in der dokumentierten Weise genutzt werden k nnen und keine Umgehung der Sicherheitsfunktionen erm glichen Mechanismen zum Schutz vor Umgehung der Schnittstelle Die Mechanismen bestehen in der Kapselung des Kerns durch bergang in den Supervisor Modus der CPU Hardware Status bei Aufruf eines Systemaufrufs Trennung der virtuellen Adre r ume von Kern und Benutzer Prozessen ber die MMU mit gleichzeitigem Hardware Speicherschutz und in der Kapselung der Benutzerprozesse durch Verwaltung der Speicher Abbildung nur durch Kern Prozesse BSI Bundesamt f r Sicherheit in der Informationstechnik 56 Zertifizierungsbericht SINIX S V5 22 Durch diese Mechanismen wird erreicht Vollst ndige Isolation der Speicherbelegung von User Prozessen unterein ander und gegen den Kern Verwaltung der Speicher Belegung nur durch den Kern Abwicklung der Kern Programme im priviligierten Supervisor Mode Diese Mechanismen k nnen nicht umgangen werden Mechanismen zur Kontrolle der Schnittstelle Die Mechanismen bestehen aus der Pr fung der durch das aufrufende Programm bergebenen Parameter im Kern durch d
85. sen bzw der Wechsel von Verzeichnissen nachvollzogen werden Damit dies m glich ist m ssen manche Systemaufrufe wie z B exec oder chdir unbedingt protokolliert werden das sind die mandatory system calls Dieser Mechanismus st tzt sich im wesentlichen auf Mechanismen zur Rechtepr fung und verwaltung ab BSI Bundesamt f r Sicherheit in der Informationstechnik 52 Zertifizierungsbericht SINIX S V5 22 Eine Schw che des Mechanismus besteht darin da zur Auswertung der Beweis sicherung die ganze Historie des Ablaufs nachvollzogen werden mu weil im Protokollsatz selbst die LUID und die absoluten Pfadnamen beteiligter Objekte nicht abgespeichert werden Dadurch ist der Schaden der durch Verlust auch nur eines Protokollsatzes entsteht u U nicht mehr lokal begrenzt Au erdem hat diese Schw che zur Folge da sich wenn das Beweissicherungs System erst bei lau fendem System eingeschaltet wird nur f r diejenigen Protokolls tze eine LUID rekonstruieren l t die von Benutzern erzeugt werden die sich nach dem Zeitpunkt des Einschaltens angemeldet haben 3 3 5 Qualit t der Mechanismen zur Wiederaufbereitung Mechanismen zur Wiederaufbereitung von Dateien auf Plattenspeicher Beim L schen einer Datei mit dem Kommando destroy werden die Datenbl cke der Datei vor der logischen Freigabe physikalisch berschrieben Beim L schen einer Datei mit dem Kommando rm werden die zugeh rigen Platten bl cke logisch freigegebe
86. t wieder explizit vom Super User ver geben werden Zum anderen sind die mit dem System gelieferten SUID SGID Programme vom Hersteller besonders berpr ft worden um Sicherheitsl cken in der Implementation auszuschlie en 3 4 4 Mechanismen zur Abgrenzung der unbenutzten Treiber Durch die in den Treibern eingebauten Protokolle k nnen diese w hrend der Boot Phase zweifelsfrei feststellen ob die ihnen zugeordnete Hardware vorhanden ist oder nicht Sind die zugeh rigen Hardwarekomponenten nicht vorhanden werden die Treiber so initialisiert da Aufrufe ber die Eintr ge in dev abgewiesen werden Da die Treiber nach Einstecken der notwendigen Hardware beim Booten aktiviert werden mu der Zugriff von Unbefugten zur Maschine durch organisatorische Ma nahmen unterbunden werden 3 5 Qualit t des Herstellungsvorgangs Gem den Forderungen der IT Kriterien Q2 m ssen die auf der niedrigsten Hierarchiestufe der Spezifikation definierten Funktionseinheiten identifizierbar und ihre Schnittstellen untereinander dokumentiert sein eine Bibliothek mit Testprogrammen und zugeh riger Testdokumentation zur Verf gung stehen und mittels der Durchf hrung von Tests Unklarheiten und vermutete Schwachstellen die sich bei der Pr fung der Spezifikation ergaben auf gekl rt werden Als Funktionseinheiten k nnen die Systemaufrufe betrachtet werden Diese sind in der Spezifikation durch die Beschreibung der Aufrufschnittstelle im
87. ter Ereignisse Cron Administrator Verwaltung der Berechtigung der Batch Auftr ge Super User Systemverwalter Benutzer mit uneingeschr nkten Rechten verf gt als einziger Benutzer ber drei verschiedene Kennungen root admin shutdown mit gleicher Kurzkennung 0 Objekte sind Dateiobjekte normale Dateien Datei Verzeichnisse Ger tedateien Named Pipes die IPC Objekte Message Queue und Semaphore und in bestimmten Situationen auch Prozesse Aktionen sind Zugriffe von Subjekten auf der Rechteverwaltung unterliegende Objekte Die m glichen Aktionen werden in den n chsten Abschnitten beschrieben Die Kommunikationsendpunkte Sockets unterliegen als Objekte im System nicht der Rechteverwaltung 2 1 Identifikation und Authentisierung Der Zugang zum System ist nur solchen Benutzern m glich f r die eine Benut zerkennung Name und eine Kurzkennung RUID Reale Benutzer Kurzkennung Zahlenwert zwischen O und 9999 sowie entsprechende Gruppenkennungen BSI Bundesamt f r Sicherheit in der Informationstechnik 16 Zertifizierungsbericht SINIX S V5 22 eingetragen sind Bei Verwendung des Meniisystems authif zur Eintragung von Benutzern ist eine Eindeutigkeit der Eintragungen sichergestellt Das System SINIX S V5 22 identifiziert und authentisiert alle Benutzer einschl des Super Users bevor irgendeine andere Interaktion des Systems mit dem Be nutzer stattfindet Auch fiir ein erfolgreiches Hochfahren in den Ein Benutzer M
88. und Releases des Pro duktes ausgedehnt werden sofern der Hersteller eine Nachevaluierung des ge n derten Systems entsprechend den Vorgaben des TT Evaluationshandbuchs Abschnitt 9 beantragt und die Pr fung keine sicherheitstechnischen M ngel er gibt Das Zertifikat gilt nur unter der Voraussetzung da alle Auflagen bzgl Generierung Konfiguration und Betrieb soweit sie im nachfolgenden Bericht angegeben sind beachtet werden das Produkt auf der angegebenen Hardware und sofern angegeben in der beschriebenen Umgebung betrieben wird 4 Ver ffentlichung Der nachfolgende Zertifizierungsbericht enth lt die Seiten 1 66 Das Produkt SINIX S V5 22 ist in die Liste der zertifizierten Produkte aufgenommen worden Exemplare dieses Berichtes k nnen bei allen Gesch ftsstellen des Herstellers des Produktes angefordert werden Bonn 26 07 1991 Dr Mertz 8 Siemens Nixdorf Informationssysteme AG Otto Hahn Ring 6 8000 M nchen 83 vii Bundesamt fiir Sicherheit a in der Informationstechnik Ne Zertifikat Das Betriebssystem SINIX S V5 22 der Siemens Nixdorf Informationssysteme AG wurde nach den IT Sicherheitskriterien GMBl 1989 S 277 und dem IT Evaluationshandbuch GMBI 1990 S 430 evaluiert Das evaluierte Produkt ist ein Betriebssystem das auf Rechnern des Typs MX300 MX300 MX300 05 MX300 10 MX300 15 und MX300 30 jeweils Standard und Tempest Version mit den Prozessoren NS32332 und NS32532
89. und die privilegierten Benutzer Authentication Administrator bzw Audit Administrator m ssen den Security Features Administrators Guide lesen und beachten Der Super User und die privilegierten Benutzer Authentication Administrator bzw Audit Administrator sollten f r ihre Administrations aufgaben die entsprechenden Men systeme benutzen Der Super User darf nach der Installation des Systems an den sicher heitsrelevanten Dateien keine Rechte nderungen vornehmen Die Zugriffsrechte an Ger tedateien mit Dateisystemen m ssen so gesetzt sein da es normalen Benutzern nicht m glich ist durch direkten Zugriff auf die Ger tedatei auf die darin gespeicherten Daten des Dateisystems zuzugreifen Der Super User ist angewiesen auf Dateisysteme nur mit den daf r vor gesehenen Kommandos und Funktionen zuzugreifen Der Super User darf keine zus tzlichen SUID SGID Programme mit privilegiertem Eigent mer einspielen oder einrichten Der Super User oder authorisierte Administratoren d rfen die sicher heitsrelevanten Teile des Systems nicht in Bezug auf die sie definierenden Eigenschaften modifizieren Mit dem Programm integrity ist die Integrit t der sicherheitsrelevanten Teile des Systems regelm ig zu berpr fen Der Super User sollte B nder und Disketten mit Software oder sensitivem Inhalt nur im Ein Benutzer Modus schreiben bzw lesen Der Super User darf keine ihm unbekannten Programme unter seiner Kennung ausf hr
90. ur der Super User kann eine solche Datei einrichten System Konfigurationen die durch das Hinzuf gen von Hardware die nicht zum evaluierten System geh rt erweitert werden gelten als nicht evaluiert Die erlaubten Konfigurationsm glichkeiten beschr nken sich auf den Anschlu zus tzlicher Terminals oder eines Druckers an die serielle Schnittstelle Generierung Eine System Generierung findet bei SINIX S V5 22 nicht statt Der Kern und die brigen zu evaluierenden Systemteile werden als ausf hrbare Objekte ausgeliefert die lediglich installiert werden Im Security Features Administrator s Guide wird darauf verwiesen da w hrend der Installation kein anderer Benutzer Zugang zum System haben darf Ein Benutzer Modus Die Vorg nge w hrend der Installation werden in einer nur dem Super User zug nglichen Datei protokolliert bertragungsfehler Beim Einspielen von Software vom Streamer Tape erfolgt eine berpr fung mittels eines CRC Verfahrens Stimmen die berechneten Pr fsummen und die Pr fsummen auf dem Band nicht berein bricht das System den Lesevorgang ab und meldet einen Lesefehler BSI Bundesamt f r Sicherheit in der Informationstechnik 60 Zertifizierungsbericht SINIX S V5 22 Schutz vor Manipulation der Software auf dem Ubertragungsweg Bei Installation des Systems SINIX S V5 22 werden zu jeder eingespielten Datei die Dateigr e die Zeit des letzten Zugriffs und der letzten nderung sowie eine Pr fsum
91. us Eine Anmeldung ist von allen angeschlossenen Terminals aus m glich 1 1 System Konfiguration Das evaluierte Betriebssystem SINIX S V5 22 sieht eine feste Software Konfiguration vor Es ist im Rahmen des evaluierten Systems nicht m glich oder vorgesehen nach dem Baukastenprinzip zus tzliche Software Teile zum Kern dazuzubinden Der Kern Amunix enth lt bereits alle Treiber f r alle von SNI angebotenen zus tzlichen Ger te SCSI Harddisk Ethernet Controller usw Beim Hinzuf gen von Ger ten d h nderung der Hardware Konfiguration werden die zugeh rigen Treiber beim Booten des Systems automatisch aktiviert Aufgrund dieses Sachverhaltes ist mit der Festlegung der evaluierten Software Konfiguration auch die Hardware Konfiguration bestimmt Die Zertifizierung des Betriebssystems SINIX S V5 22 gilt nur f r die Hardware Konfiguration bei der ausschlie lich Treiber aktiviert sind die zum zertifizierten System geh ren BSI Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 Zum zertifizierten System geh ren die Treiber mm sy sw lo sl vt ptc pts aud tic is it sr mc Memory Device Driver dev tty TTY Driver Swap Device Driver Loopback Interface Driver Serial Line Internet Protocol Collage TTY Driver Pseudo Terminal Device Driver Audit Device Driver Ticket Device Driver Storager Device Driver SERAG Device Driver Real Time Clock Die erlaubten Konfi
92. wgrp is 10371747 10836743 9745248 10371747 3659557 10461707 BSI Bundesamt fiir Sicherheit in der Informationstechnik Zertifizierungsbericht SINIX S V5 22 Requested usr att bin rmail Filesize 114688 Last acc Thu Mar 7 16 06 46 1991 Mod tim Wed Apr 25 22 35 40 1990 Checksum for file usr att bin rmail is Requested usr att bin rmdir Filesize 45056 Last acc Thu Mar 7 15 16 19 1991 Mod tim Wed Apr 25 22 35 44 1990 Checksum for file usr att bin rmdir is Requested usr att usr bin at Filesize 151552 Last acc Thu Mar 7 15 58 38 1991 Mod tim Mon Mar 4 14 36 27 1991 Checksum for file usr att usr bin at 1s Requested usr att usr bin crontab Filesize 126976 Last acc Thu Mar 7 15 58 41 1991 Mod tim Mon Mar 4 14 36 33 1991 Checksum for file usr att usr bin crontab is Requested usr att usr lib mailx rmmail Filesize 36868 Last acc Thu Mar 7 14 37 41 1991 Mod tim Wed Apr 25 21 53 59 1990 Checksum for file usr att usr lib mailx rmmail is Requested usr etc quot Filesize 57344 Last acc Thu Mar 7 14 32 21 1991 Mod tim Thu Apr 26 01 08 27 1990 Checksum for file usr etc quot is 11 9745248 3632809 12828324 10737174 2842201 5149294 BSI Bundesamt fiir Sicherheit in der Informationstechnik 12 Zertifizierungsbericht SINIX S V5 22 Requested vmunix Filesize 1218860 Last acc Thu Mar 7 16 05 40 1991 Mod tim Thu Mar 7 16 05 33 19
93. zkennung LUID Damit ist weitestgehend sichergestellt da sich die im System agierenden Prozesse und Aktionen die durch die Prozesse auf Veranlassung der Benutzer ausgef hrt werden eindeutig einem Benutzer im Sinne einer realen Person zuordnen lassen Der Authentication Administrator landet nach erfolgreichem Login im Authenti cation Administrator Interface authif Dadurch kann er in der Authentication Database nur in einer vom Programm kontrollierten Art und Weise Modifikationen vornehmen BSI Bundesamt f r Sicherheit in der Informationstechnik 24 Zertifizierungsbericht SINIX S V5 22 Mechanismus zur Identifikation von Prozessen Prozesse werden vom System mittels verschiedener Kennungen identifiziert reale und effektive Benutzer Kurzkennung RUID EUID reale und effektive Gruppen Kurzkennung RGID EGID Login Benutzer Kurzkennung LUID Proze identifikation PID Proze identifikation des Vaterprozesses PPID Proze gruppenidentifikation Die Kennungen RUID EUID RGID EGID und die LUID werden dem Login Proze zugeordnet und bei Erzeugen weiterer Prozesse durch diesen Proze ver erbt Ausnahme SUID SGID Programme Die anderen Kennungen werden bei der Erzeugung eines Prozesses gesetzt Dabei wird die PID vom System eindeutig vergeben die PPID der PID des erzeugenden Prozesses und die Proze gruppen ID der PID des Proze gruppenvaters gleichge setzt Die Kennungen LUID und PID sind f
Download Pdf Manuals
Related Search