Anhang zur Ausführungsbestimmung für UNIX-Systeme bei


Anhang C: Konfiguration HP-UX

Tabelle 1: Geräte-Beschreibungs-Dateien

Tabelle 2: Hauptspeicher-Beschreibungs-Dateien

Tabelle 3: Werkzeuge, die auf Hauptspeicher-Beschreibungs-Dateien zugreifen

Tabelle 4: Unterstützte Shells

Tabelle 5: Log-Dateien

Tabelle 6: Gruppen-Datei

Tabelle 7: Netzwerk-Dateien

Tabelle 8: Crash Dump Dateien

Tabelle 9: Tabelle des Datei-Systems

Tabelle 10: Daten zur Terminal-Initialisierung

Tabelle 11: Terminal-Konfigurations-Datenbank

Tabelle 12: Terminal Capability Datenbank

Tabelle 13: Scheduled Administrative Commands

Tabelle 14: System-Start Kommando-Prozeduren

Tabelle 15: Schutz der Benutzer-Account-Dateien

Tabelle 16: Weitere Dateien im Verzeichnis /etc

Tabelle 17: Weitere System-Dateien

Tabelle 18: "wall"-Befehl

Tabelle 19: "uudecode"-Befehl

Tabelle 20: "chroot"-Befehl

Tabelle 21: Schutz der System-Verzeichnisse

Tabelle 22: Schutz der temporären System-Verzeichnisse

Tabelle 23: Schutz der Dateien zur Definition der Benutzer-Umgebung

Tabelle 24: Schutz der Mail-Dateien des Benutzers

Tabelle 25: Schutz der Datei der Mail-Alias-Namen

Tabelle 26: Schutz der ftp-Verzeichnisse

Tabelle 27: Schutz der ftp-Dateien

Tabelle 28: Überwachte System-Aufrufe (System Calls) und Aufruf-Art

Tabelle 29: Überwachte System-Dateien

Tabelle 30: Schutz der Dateien für die Batch-Verarbeitung


Tabelle 1: Geräte-Beschreibungs-Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/dev bin bin 555 Verzeichnis der Geräte-Beschreibungs-Dateien
/dev/console root tty 620 Separate Datei für die Konsol-Beschreibungs-Datei
/dev/MAKEDEV root sys 744 Kommando-Prozedur zur Installation von Beschreibungs-Dateien
/dev/rdsk/[disk] root sys 600 Gepufferte Plattensysteme
/dev/rdsk/r[disk] root sys 600 Ungepufferte Plattensysteme
/dev/rmt/[tape] root sys 666 Magnetband-Geräte. Für den Lese- und Schreib-Zugriff auf Magnetbänder für normale Benutzer, hängt die Sicherheit der Daten ausschließlich von den physikalischen Sicherungskontrollen ab.
/dev/pty# root tty 620 Pseudo Terminal-Beschreibungs-Dateien
/dev/tty# root tty 620 Geöffnete Terminal-Beschreibungs-Dateien. Benutzer-zugeordnete Terminals (tty#) von angemeldeten Benutzern
/etc/mknod root system 744 Erzeugt Geräte-Beschreibungs-Dateien mit einem Zeiger (link) auf /bin/mknod.

ToTop


Tabelle 2: Hauptspeicher-Beschreibungs-Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/dev/dmem root other 640 Zeigt auf das "paging device"
/dev/kmem bin sys 640 Image des Kernels im virtuellen Hauptspeicher
/dev/mem bin sys 640 Image des physikalischen Hauptspeichers

ToTop


Tabelle 3: Werkzeuge, die auf Hauptspeicher-Beschreibungs-Dateien zugreifen

Datei/Verzeichnis Owner Gruppe Zugriffsart
/bin/ps bin kmem 2755
/usr/bin/iostat bin sys 2755
/usr/bin/ipcs bin bin 2755
/bin/mail bin mail 6711
/usr/bin/netstat bin sys 2755
/usr/bin/uptime bin sys 2755
/usr/bin/vmstat bin sys 2755
/usr/bin/w bin sys 2755

ToTop


Tabelle 4: Unterstützte Shells

Datei/Verzeichnis Owner Gruppe Zugriffsart
/etc/shells bin bin 644

ToTop


Tabelle 5: Log-Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/syslog.conf bin bin 444 "syslog"-Konfigurations-Datei
/etc/utmp root bin 644 Informationen über angemeldete Benutzer
/usr/adm/acct adm bin 755 Roh-Daten zur System-Überwachung inkl. der ausgeführten Benutzer-Befehle.
/usr/adm/auditlog.# root system 600 Standard-Log-Datei für das Überwachungs-Subsystem. Das Zeichen # steht für die Generations-Nummer. Die Erweiterung des Befehls /etc/sec/auditd mit -/option kann genutzt werden, um einen anderen Zugriffspfad und Dateinamen anzugeben.
/usr/adm/lastlog root system 644 Anmeldungszeiten der Benutzer. Zeigt beim Anmelden Datum und Uhrzeit der letzten Anmeldung an.
/usr/adm/acct/sum adm bin 755 Verdichtete Daten der System-Überwachungs-Datei /user/adm/acct.
/usr/adm/shutdownlog bin bin 644 System shutdowns und reboots.
/usr/adm/sulog root root 666 Erfolgreiche und nicht erfolgreiche Versuche den Status "superuser" mittels des Befehls su zu bekommen. Identifiziert die Benutzer, die das Passwort von "root" kennen.
/usr/adm/wtmp adm adm 644 Erfolgreiche Anmeldungen, Abmeldungen, Herunterfahren und Starten des Systems. Wird von den Befehlen "last" und "ac" genutzt.
/usr/lib/acct/pracct bin bin 555 Zeigt die Statistiken der Prozeß-Überwachung an
/usr/spool/mqueue/syslog root root 444 Enthält die Einträge der Mail-Übertragungen inkl. möglicher sensitiver Daten
/usr/adm/critical root root 444 Enthält kritische System-Meldungen. Wird auch in der Datei /etc/sylog.conf konfiguriert.
/etc/btmp adm adm 644 Enthält die ungültigen Anmeldeversuche
/usr/adm/pacct adm adm 644 Zeigt Prozeß-Accounting-Informationen an
/usr/adm/inetd.sec root bin 444 Mögliche Sicherheits-Datei für "inetd"
/etc/auditrc bin bin 544 Überwacht die Datei "rc"

ToTop


Tabelle 6: Gruppen-Datei

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/group root sys 444 Information über die Gruppen
/etc/logingroup root sys 444 Zweite zusätzliche (secondary) Gruppendatei

ToTop


Tabelle 7: Netzwerk-Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/exports root sys 644 Lokales Datei-System und Verzeichnis für NFS.
/etc/ftpusers root sys 644 Liste der zugelassenen ftp-Benutzer
/etc/hosts root other 444 Information about known hosts on the Internet. This file must not be writeable by remote hosts.
/etc/hosts.equiv root sys 600 Grants remote user access to local system without password.
/etc/inetd bin bin 544 Internet daemon. Link to /usr/etc/inetd.
/etc/inetd.conf bin bin 544 Internet daemon configuration database.
/etc/inetd.sec bin bin 544 Optional inetd security file usually used for controlling remote file access
/etc/rexecd bin bin 444 Remote execution daemon. Link to /usr/etc/rexucd.
/etc/services bin bin 444 List of Internet services.
/etc/X*.hosts root system 644 Contains server access control list for the workstation's display.
/usr/etc/ftpd bin bin 544 Ftp daemon.
/usr/bin/rcp root bin 4555 Remote copy program copies files between machines.
/usr/bin/rlogin root bin 4555 Connects the terminal to a remote host.
/usr/bin/remsh root bin 4555 Shell for executing commands on remote hosts.
/etc/tftp bin bin 544 TFTP daemon.
/etc/netGruppe root other 444 NFS Gruppe file
/etc/newconfig bin bin 500 "Master" copies of config files
/etc/rlogind bin bin 544 rlogin daemon
/etc/remshd bin bin 544 Remote shell (remsh) daemon

ToTop


Tabelle 8: Crash Dump Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/tmp/syscore root sys 700 Crash Dump-Datei

ToTop


Tabelle 9: Tabelle des Datei-Systems

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/checklist root system 644 Konfiguration des Datei-Systems

ToTop


Tabelle 10: Daten zur Terminal-Initialisierung

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/ttytype bin bin 444 Terminal port initialization database.
/etc/securetty root sys 600 Secure terminal configuration

ToTop


Tabelle 11: Terminal-Konfigurations-Datenbank

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/gettydefs bin bin 444 Terminal-Konfigurations-Datenbank

ToTop


Tabelle 12: Terminal Capability Datenbank

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/usr/lib/terminfo/* bin bin 555 Terminal capability Datenbank

ToTop


Tabelle 13: Scheduled Administrative Commands

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung (original)
/usr/spool/cron/crontabs/root root sys 444 crontab file for root user - likely to be traditional scheduled administrative commands
/usr/spool/cron/crontabs/[user] root [Benutzer-Gruppe] 444 Scheduled commands executed by the cron command.
/usr/lib/cron bin bin 555
/usr/spool/cron/crontabs bin bin 555 Directory containing the crontab files for each user using the cron utility
/usr/spool/cron/atjobs bin bin 555
/usr/spool/cron bin bin 555
/usr/lib/cron/log root root 644 cron log file
/usr/lib/cron/{at.deny,at.allow} bin bin 555 Control files for permitting usage of 'at'
/usr/lib/cron/{cron.allow, cron.deny} bin bin 444 Control files for permitting usage of cron
/etc/cron bin bin 555 cron daemon

ToTop


Tabelle 14: System-Start Kommando-Prozeduren

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/rc bin bin 640 Kommando-Prozedur, die die systemspezifische Start-Prozedur enthält.

ToTop


Tabelle 15: Schutz der Benutzer-Account-Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/etc/passwd root sys 644 Informationen der Benutzer-Accounts, die gemeinsam mit der Authorisierungs-Datenbank genutzt werden.
/.secure/etc/passwd root sys 600 Verzeichnis der Passwort-Datenbank. (nur wenn "trusted mode" genutzt wird)

ToTop


Tabelle 16: Weitere Dateien im Verzeichnis /etc

Datei/Verzeichnis Owner Gruppe Zugriffsart
/etc/conf root system 555
/etc/clusterconf root system 555
/etc/config root system 555
/etc/master root system 755
/etc/init bin bin 755
/etc/mklost+found root system 755
/etc/ncheck root system 755
/etc/netgroup root system 644
/etc/portmap root system 755
/etc/pre_init_rc bin bin 544
/etc/newconfig bin bin 555
/etc/snmpd.conf root system 600
/etc/d.cshrc/etc/d.profile/etc/d.exrc/etc/d.login bin bin 555
/etc/profile bin bin 444
/etc/csh.login bin bin 444
/etc/shutdown.allow bin bin 644
/etc/services bin bin 444

ToTop


Tabelle 17: Weitere System-Dateien

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung (original)
/bin/passwd root system 4555 Change password command. Link to /usr/bin/passwd.
/usr/lib/expreserve root bin 4555 Preserves vi backup files.
/usr/lib/exrecover root bin 4555 Recovers vi backup files.
/usr/lib/sendmail root system 4711 Network mailer program.
/usr/ucb/lprm root daemon 6711 Removes jobs from a printer queue.
/hp-ux root other 755 HP-UX operating system boot file image.

Write protect on this file is critical.

/usr/sam bin bin 555 SAM directory
/usr/sam/* bin bin 555 SAM config files/directories/workspace

ToTop


Tabelle 18: "wall"-Befehl

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
etc/wall bin adm 550 Bildschirm-Meldungen für alle angemeldeten Benutzer.

ToTop


Tabelle 19: "uudecode"-Befehl

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/usr/bin/uudecode bin bin 111 Entschlüsselt Dateien, die durch /usr/bin/uuencode verschlüsselt wurden

ToTop


Tabelle 20: "chroot"-Befehl

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/usr/bin/chroot bin bin 500 Ändert das "root"-Verzeichnis für einen Befehl

ToTop


Tabelle 21: System-Verzeichnisse

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung (original)

root root 755 Root of all file systems and home directory of the superuser
/bin root root 755 Single user commands.
/etc root root 755 System management commands.
/.secure root sys 500 Security & Audit subsystem files.
/usr bin bin 555 A file system hierarchy.
/usr/adm adm adm 755 Administrative information.
/usr/bin bin bin 555 Additional user commands.
/usr/etc bin bin 555 More system management commands.
/usr/lib bin bin 555 Many system execuTabelles, such as the compiler and system libraries.
/usr/local bin bin 555 Commands with a local origin.
/usr/contrib bin bin 555 Certain optional contributed extension commands.
/usr/sam bin bin 555 Dateien von SAM (System Administration Manager)

ToTop


Tabelle 22: temporäre System-Verzeichnisse

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/tmp root root 1777 Schreibbares Verzeichnis für temporäre Dateien
/usr/tmp root other 1777 Schreibbares Verzeichnis für temporäre Dateien

ToTop


Tabelle 23: Empfehlungen zum Datei-Schutz der Benutzer-Umgebungen

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung (original)
.cshrc Name des Benutzers Gruppe des Benutzers 640 Environment file for C shell.
.forward Name des Benutzers Gruppe des Benutzers 640 Mail forwarding address.
.login Name des Benutzers Gruppe des Benutzers 640 Environment file for csh shell.
.logout Name des Benutzers Gruppe des Benutzers 640 Environment file for csh shell.
.mailrc Name des Benutzers Gruppe des Benutzers 640 Environment file for mail.
.netrc Name des Benutzers Gruppe des Benutzers 600 Information used for ftp auto-login.
.plan Name des Benutzers Gruppe des Benutzers 644 Message displayed by the finger command.
.profile Name des Benutzers Gruppe des Benutzers 640 Environment file for the sh, sh5, ksh shells.
.project Name des Benutzers Gruppe des Benutzers 644 Message text displayed by the finger command..
.Xdefaults Name des Benutzers Gruppe des Benutzers 640 Xwindows file. Contains workstation access control list.
.X11startupt Name des Benutzers Gruppe des Benutzers 640 Workstation startup file.
.mwmrc Name des Benutzers Gruppe des Benutzers 640
.Xdefaults.mwm Name des Benutzers Gruppe des Benutzers 640
/usr/lib/X11/vue/Vuewm/sys.vuewmrc bin bin 444 Source of .vuewmrc
.vue/vuewmrc Name des Benutzers Gruppe des Benutzers 640

ToTop


Tabelle 24: Mail-Dateien des Benutzers

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/usr/mail/[username] [user] mail 600 Mail-Datei des Benutzers
/usr/mail bin mail 755 Verzeichnis der Mail-Datei

ToTop


Tabelle 25: Datei der Mail-Alias-Namen

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung (original)
/usr/lib/aliases root sys 644 Mail aliases file. Link to /etc/aliases.
/usr/lib/aliases.dir root sys 664 Link to /etc/aliases.dir
/usr/lib/aliases.pag root sys 664 Link to /etc/aliases.pag.
/var/yp/src/ mail.aliases root sys 4711 Source file for send mail/NIS mapping. Link to /etc/aliases.

ToTop


Tabelle 26: ftp-Verzeichnisse

Verzeichnis Owner Gruppe Zugriffsart Beschreibung
~ftp ftp ftpusers 555 Home-Verzeichnis des anonymen ftp
~ftp/bin root sys 555 Verzeichnis für den Befehl ls
~ftp/etc root sys 555 Verzeichnis für die ftp-Gruppen und Passwort-Dateien
~ftp/pub ftp ftpusers 777 Public directory for files accessible to anonymous ftp users.
~ftp/dist (optional) root sys 555 Zusatz-Verzeichnis, das die lesbaren Informationen oder Software für die anonymen ftp-Benutzer enthält

ToTop


Tabelle 27: ftp-Dateien

Datei Owner Gruppe Zugriffsart Beschreibung
~ftp/bin/ls ftp sys 111 Unterstützt den ftp-Befehl list
~ftp/etc/group root sys 444 group-Datei des ftp-Accounts
~ftp/etc/passwd root sys 444 Passwort-Datei des ftp-Accounts

ToTop


Tabelle 28: System-Aufrufe (System Calls) und Aufruf-Art

Aufruf-Art Beschreibung System Call
create() Aufzeichung aller Objekt-Erstellungen (Dateien, Verzeichnisse, andere Datei-Objekte) create(2) mknod(2) mkdir(2) semget(2) msgget(2) shmget(2) shmat(2) pipe(2)
delete Aufzeichnen aller Objekt-Löschungen (Dateien, Verzeichnisse, andere Datei-Objekte) rmdir(2) semctl(2) msgctl(2)
moddac Aufzeichnen aller Änderungen an den Objekt-Zugriffs-Kontrollen chmod(2) chown(2) umask(2) fchown(2) fchmod(2) setacl(2) fsetacl(2)
modaccess Aufzeichnen aller Zugriffs-Änderungen link(2) unlink(2) chdir(2) setuid(2) setgid(2) chroot(2) setgroups(2) setresuid(2) setresgid(2) rename(2) shmctl(2) shmdt(2) newgrp(1)
open Aufzeichnung des Öffnens eines Objektes (Öffnen einer Datei, Öffnen von anderen Objekten) open(2) execv(2) ptrace(2) execve(2) truncate(2) ftruncate(2) lpsched(1M)
close Aufzeichnung des Öffnens eines Objektes (Öffnen einer Datei, Öffnen von anderen Objekten) close(2)
process Aufzeichnung aller ausgeführten Prozesse exit(2) fork(2) vfork(2) kill(2)
removable Aufzeichnung aller Ereignisse, die sich auf auswechselbare Speicher-Medien beziehen (Mounten und Dismounten von Platten und Bändern) smount(2) umount(2) vfsmount(2) rfa_netunam(2)
login Aufzeicnung aller Logins und Logouts login(1) init(1M)
admin Aufzeichnung aller Verwaltungsereignisse und Privilegien-Änderungen stime(2) cluster(2) swapon(2) settimeofday(2) sethostid(2) privgrp(2) setevent(2) setaudproc(2) audswitch(2) setaudid(2) setdomainname(2) reboot(2) sam(1M) audisp(1M) audevent(1M) audsys(1M) audusr(1M) chfn(1) chsh(1) passwd(1) pwck(1M) init(1M)
ipccreat Aufzeichnung aller "ipc create"-Ereignisse socket(2) bind(2) ipccreate(2) ipcdest(2)
ipcopen Aufzeichnung aller "ipc open"-Ereignisse connect(2) accept(2) ipclookup(2) ipcconnect(2) ipcrecvcn(2)
ipcclose Aufzeichnung aller "ipc close"-Ereignisse shutdown(2) ipcshutdown(2)
ipcdgram Aufzeichnung aller "ipc datagram" Transaktionen user datagram
uevent1 uevent2 Aufzeichnung von benutzer-definierten Ereignissen

ToTop


Folgende System-Aufrufe sind zu überwachen:

Benutzer: Ereignis: login
System-Aufruf (System Call) Überwachung (J/N)
login(1)
init(1m)

ToTop


Benutzer: Ereignis: admin
System-Aufruf (System Call) Überwachung (J/N)
stine(2)
cluster(2)
swapon(2)
settimeofday(2)
sethostid(2)
privgrp(2)
setevent(2)
setaudproc(2)
audswitch(2)
setaudid(2)
setdomainname(2)
reboot(2)

ToTop


Benutzer: Ereignis: moddac
System-Aufruf (System Call) Überwachung (J/N)
chmod(2)
chown(2)
umask(2)
fchown(2)
fchmod(2)
setacl(2)
fsetacl(2)

ToTop


Tabelle 29: Überwachte System-Dateien

Datei/Verzeichnis Beschreibung (original)
/dev/drum Paging device.
/dev/kmem Virtual main memory image.
/etc/exports File systems available for NFS export.
/etc/fstab File system table.
/etc/hosts Host name file.
/etc/group Group file.
/etc/inetd.conf Internet daemon configuration file.
/.secure/etc/passwd Secure authorization file
/etc/passwd Password file.
/etc/rc Generic startup command script.
/etc/ttys Terminal port initialization data.
/usr/adm/acct Execution accounting file.
/etc/crontab Scheduled system administration commands.
/usr/spool/mqueue/syslog /usr/spool/mqueue/syslog.# Log files for system messages of priority 8 or higher.
/hp-ux HP-UX operating system boot file image.

ToTop


Tabelle 30: Schutz der Dateien für die Batch-Verarbeitung

Datei/Verzeichnis Owner Gruppe Zugriffsart Beschreibung
/usr/lib/cron/at.allow root system 644 Benutzer mit der Erlaubnis Batch-Befehle zu nutzen
/usr/lib/cron/at.deny root system 644 Benutzer ohne Erlaubnis Batch-Befehle zu nutzen

ToTop


Zurück zu den Unix-Systemen.

Stand 05.03.1998