Linux Audit Aid Linux Audit AidDie Linux Audit Aid ist auf der deutschen ISACA-Website unter ![[externer Link]](../../../../images/link.gif)
www.isaca.de/LinuxAuditAid/ zu finden (auch engl. und russ.). Der Aufbau der Prüfungshilfe gliedert sich in drei Ebenen: Ein Frame gibt mit Buttons eine grobe Struktur des Themas vor, nach Anwahl einer dieser Schaltflächen erscheint ein Fenster mit den dazugehörigen Inhalten – für weiter gehende Hinweise ist eine Erläuterungsebene vorhanden.
Die Grundgliederung nimmt wesentliche Prüfthemen wie Benutzer(-prüfung), Dateisysteme oder Fernzugriff auf. Die Formulierungen wurden bewusst als Einstieg gewählt, um dem Prüfer auch bei Teilprüfungen ein bestimmtes Thema anbieten zu können. Natürlich lassen sich bestimmte Blöcke nicht scharf voneinander trennen, etwa Anmeldung und Passwort. Es macht aber Sinn, hier kleinere Prüfeinheiten anzubieten, um die Einzelfenster nicht zu überfrachten.
Die Einzelthemen haben einen einheitlichen Grundaufbau, der sich in die Teile "Prüfungsobjekt" und "Prüfungsansatz" gliedert. Diese Begrifflichkeiten mögen nicht in jedem Fall der reinen Lehre entsprechen; es soll aber deutlich werden, dass es um das "Was" (prüfe ich) und das "Woraufhin" (prüfe ich) geht.
Neben dem jeweiligen Kernelement der Prüfung, beispielsweise der Datei "passwd" finden sich zu den meisten Prüfobjekten noch drei weitere Kategorien:
Zur Verdeutlichung des praktischen Umgangs soll hier die Prüfungshilfe zum Thema Password als Beispiel dienen: Der entsprechende Button öffnet das Info-Fenster zum Thema. Zunächst findet der Benutzer einen Befehl, mit dem er das Vorhandensein eines Passwords testen kann (hier: passwd -S -a). Daneben werden ihm die möglichen Ergebnisse mit einer Wertung angezeigt: die Ergebnisse PS (password set) und LK (locked) – in grün dargestellt – sind im Prinzip o. k., das Ergebnis NP (no password) ist hingegen nicht akzeptabel und daher in rot aufgeführt.
Der Benutzer der Linux Audit Aid erfährt darüber hinaus, dass er das in der /etc/shadow gespeicherte Passwort auf Qualität testen sollte. Dazu gibt es als Hinweis die Kategorie "Risiko", die vor einer Verwendung allzu leicht erratbarer Passwörter warnt, und die Kategorie "Beispiel", welche die Verwendung mnemotechnischer Begriffe empfiehlt. Darüber hinaus werden die Zeichen "!" und "*" im Sinnzusammenhang der shadow-Datei erklärt.
Hinzu kommen Verweise auf die Verzeichnisse security und pam.d, welche die Startzuweisungen für die Passwortprüfung bei der Anmeldung enthalten. Mit diesem Wissen wäre der Einstieg in eine Kurzprüfung bereits machbar; dabei ist es natürlich zu empfehlen, auch noch die verwandten Gebiete "Benutzer" und "Anmeldung" zu lesen. Wer zum Thema pam.d mehr wissen möchte, kann mit dem Button "Erläuterung" tiefer einsteigen: Die damit erreichbaren Informationen erklären den generellen Aufbau der pam.d-Dateien (am Beispiel der pam.d/passwd) sowie die Bedeutung der einzelnen Eintragungen.
Über die unmittelbar zur Prüfung nutzbaren Inhalte hinaus bieten Hinweise und Links weitere Unterstützung an. Beispielsweise verweist die Linux Audit Aid auf die Berufsverbände und einschlägige Standards wie Cobit oder ISO. Weitere Links führen auf die Security-Seiten namhafter Hersteller sowie zu bekannten Prüfungs-Tools.
Die aktuell vorliegende Version des Linux Audit Aid ist Version 1.0 und – wie alle derartigen Versionen – noch verbesserungswürdig und -fähig. Die Linux Audit Group (LAG) wird in der nächsten Version Inhalt und Bedienung weiterentwickeln; Anregungen, die aus der Praxis hierzu kommen, nimmt die LAG natürlich gern entgegen. Bis dahin hoffen wir, dem einen oder anderen Kollegen mit dieser Prüfungshilfe in seinem Alltag helfen zu können. (Michael Neuy)
ISACA German Chapter e. V.
Eichenstrasse 7
46535 Dinslaken
www.isaca.de
Bernd Wojtyna
Vorstand Facharbeit
Tel.: +49 251 288-4253
E-Mail: Bernd.Wojtyna@extern.Sparkassen-Informatik.de
Dipl.-Kfm. Michael Neuy
CISA, Linux Audit Group
E-Mail: LAG@isaca.de
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#5, Seite 48
| 