Sicherheitshinweise

Die Systemsicherheit erfordert, dass jeder Account im System so gut wie möglich gegen unberechtigte Benutzung geschützt wird. Jeder Benutzer muss sich dabei für die Sicherheit seines Accounts verantwortlich fühlen. Denn: ist erst einmal ein Einbruch in einen schlecht gesicherten Account gelungen, dann können nicht nur die Systemressourcen im Namen dieses Benutzers missbraucht werden, sondern es sind auch alle anderen Benutzer durch die neuen Möglichkeiten des Einbrechers bedroht.

Allgemeine Regeln

• erkannte Sicherheitsmängel melden und nicht ausnutzen
• die Nutzung des eigenen Accounts auch keinem "guten Freund" erlauben
• nach Sitzungsende abmelden (ausloggen)
• auch bei kurzzeitiger Abwesenheit den Rechner sperren oder den Raum abschliessen

Regeln für Passwörter

• wenigstens 8 Zeichen lang
• kein Wort mit Bedeutung und/oder aus einem Wörterbuch
• nicht aus persönlichen Daten hergeleitet
• nicht aus bekannten Abkürzungen gebildet
• das Passwort sollte Zeichen aus allen folgenden Gruppen enthalten:
  • Grossbuchstaben
  • Kleinbuchstaben
  • Ziffern
  • Sonderzeichen
    Vorsicht mit Zeichen wie ´ (Hochkomma), weil manche Tastaurtreiber aus ´a ein á machen.
    Vorsicht bei Nicht-ASCII-Zeichen wie §, ä, ß, ², ..., deren Kodierung über Systemgrenzen hinweg evtl. nicht einheitlich ist.
    Unproblematisch sind: !#$%&()*+,-./:;<=>?@[]_{|}
• das Passwort ist geheimzuhalten
• das Passwort ist regelmässig zu ändern (ca. alle 3 Monate)
• auf verschiedenen Systemen unterschiedliche Passworte wählen
• keine Passworte im Klartext im Rechner (in Scripts, etc.) ablegen

Eine nützliche Technik für gute Passwörter:
Wahl eines Satzes mit einer Bedeutung, den man sich merken kann. Der Reihe nach den ersten Buchstaben jedes Wortes (incl. Groß-/Kleinschreibung) und die Satzzeichen als Passwort nehmen.

Regeln für Unix-Benutzer

• kein World-Write-Zugriff auf das Home directory und alle eigenen Files
• kein World-Zugriff auf Punkt-Files wie .login, .cshrc, .profile, usw.
• kein World-Exec-Zugriff auf eigene Programme (Risiko für den Aufrufer)
• World-Read-Zugriff auf eigene Files nur in Ausnahmefällen
• keine set-UID Programme mit World Exec-Zugriff
• keine set-UID oder set-GID Scripts
• umask auf Wert 077 setzen
• eigene Dateien mittels "ls -alc" von Zeit zu Zeit auf Plausibilität (Name, Eigentümer, Zugriffsschutz, Datum) überprüfen
• nur sichere Directories in die Definition des Kommandosuchpfades (CSH-Variable path, SH-Variable PATH, Environment-Variable PATH) aufnehmen
• Current-Directory (".") gar nicht oder nur als letztes Directory in PATH bzw. path eintragen
• kein "+" im .rhosts-File
• kein Rechner und User aus anderem Sicherheitscluster im .rhosts-File
• kein Eintrag ohne Userangabe im .rhosts File
• keine "alten" Einträge (Hosts , User) im .rhosts-File
• in .netrc-File nur Einträge für Zugang zu anonymous FTP, keine Passworte
• Vorsicht bei der Ausführung von Programmen aus anderen User-Directories (unerwünschte Nebenwirkung, Trojanisches Pferd)
• kein Kommando "xhost +" oder "xhost +Rechnername" geben
• Passwort-Eingaben über xterm nur im Secure-Mode machen (Option Secure-Keyboard oder secureonpwd)