Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Härtung des Basis-Systems

Die FUJITSU Server BS2000 SE Serie mit Management Unit, HNC und Server Unit x86 sind Systeme, die hohen Sicherheitsansprüchen genügen. Dabei handelt es sich um die statisch implementierte Sicherheit eines gehärteten Systems, welche durch Administrationstätigkeiten nicht beeinflusst werden kann.

Das Basis-System von Management Unit, HNC und Server Unit x86 ist jeweils ein Linux-System, basierend auf SUSE Linux Enterprise Server (SLES) 11.

Das Basis-System dient ausschließlich der Administration der Systeme selbst. Es findet kein normaler Benutzerbetrieb mit Kundenapplikationen statt.

Folgende Eigenschaften kennzeichnen diese Systeme:

  • Es sind nur für den Betrieb erforderliche, signierte Softwarekomponenten installiert.

  • Die an den Systemen zum Einsatz kommende Basis-System-Software wird auf einer CD/DVD ausgeliefert, die eine Prüfsumme enthält. Anhand der Prüfsumme wird bei der Installation überprüft, ob sich alle Pakete der CD in einem unverfälschten, d.h. der Produktion entsprechenden Zustand befinden.

  • Für den Benutzerzugang werden nichtprivilegierte Kennungen genutzt.

  • Diese Kennungen sind im Rahmen eines differenzierten Rollenkonzepts mit klar definierten (und beschränkten) Funktionen und Zugriffsrechten ausgestattet.

  • Außerhalb dieses Rollenkonzepts ist kein Zugang zum System möglich.

  • Eine Rechteeskalation ist im Rahmen des Rollenkonzepts nicht möglich. Der Zugang zur Kennung root ist gesperrt. Notwendige Rechte für Service/Diagnose oder für Updates durch den Service von FUJITSU sind durch erweiterte Rechte der Rolle Service realisiert.

  • Das Rollen- und Benutzerkonzept erlaubt es, personalisierte Kennungen einzurichten sowie Passwörter und Passworteigenschaften zu verwalten.

  • Aktionen, welche zu Konfigurations- oder Zustandsänderungen führen, werden protokolliert und können den sie ausführenden Personen zugeordnet werden.

  • Der Datenverkehr zwischen Administrations-PCs und Basis-System erfolgt ausschließlich verschlüsselt.

  • Alle nicht benutzten Netzwerk-Dienste sind deaktiviert.

  • Der Netzwerkzugang ist durch die jeweilige systeminterne Firewall auf die benötigten Netzwerk-Ports eingeschränkt.

Die Konfiguration der Basis-Systeme orientiert sich an den Empfehlungen des Center for Internet Security (CIS, http://www.cisecurity.org).
Abweichungen von diesen Empfehlungen ergeben sich nur durch Funktionen, die für den Betrieb der Basis-Systeme erforderlich sind (z.B. ist für den SE Manager im Basisbetriebssystem immer ein Webserver aktiv, der die Benutzeroberfläche bereitstellt). Diese Abweichungen von den CIS-Empfehlungen führen nicht zu Sicherheitslücken.

Powered by Atlassian Confluence and Scroll Viewport.