Berechtigungsmanagement für AFS-Homeverzeichnisse

Das Netzwerk-Dateisystem AFS stellt Nutzern schnell und einfach Speicherressourcen bereit, auf die dezentral gemeinsam zugegriffen werden kann. Studenten und Mitarbeiter nutzen dieses Dateisystem innerhalb der TU Chemnitz häufig in Form ihres persönlichen AFS-Homeverzeichnisses, welches kostenfrei mehrere Gigabyte Datenvolumen zur Verfügung stellt. Schwierig ist hierbei meist das Rechtemanagement, welches den Zugriff auf Datei- und Verzeichnis-Ebene regelt. AFS bietet ein feingranulares Berechtigungssystem mit mehreren Freigabestufen. Aufgrund von fehlendem Hintergrundwissen oder auch durch unbeabsichtigte Fehlkonfiguration können sich jedoch ungewollte Zugriffsberechtigungen für andere Nutzer ergeben.

Dieses Problem wurde im Rahmen der URZ-Sicherheitsinitiative 2014 identifiziert und bearbeitet. Um zukünftig derartige Sicherheitsrisiken zu vermeiden, entwickelte das URZ-Team ein Software-Tool, welches falsch gesetzte Zugriffsrechte im AFS-Homeverzeichnis erkennt und automatisch korrigiert. Potentielle Sicherheitslücken können somit zeitnah und ohne Zusatzaufwand für den Nutzer geschlossen werden.

Organisatorisch ergibt sich hieraus eine grundlegende Änderung an der Sicherheitsrichtlinie für AFS-Homeverzeichnisse. Zukünftig werden die Zugriffsrechte auf AFS-Homeverzeichnisse automatisch überprüft und angepasst. Somit bleibt sichergestellt, dass ausschließlich der jeweilige Besitzer Vollzugriff auf seine Daten hat. Versehentlich gesetzte Lese- oder Schreibrechte für andere Nutzer und/oder Nutzergruppen werden so vermieden.

Falls Sie Daten oder Verzeichnisse in Ihrem AFS-Homeverzeichnis mit anderen Nutzern teilen, beachten Sie bitte nachfolgende Hinweise:

Bisher war es möglich, Verzeichnisse für andere Nutzer freizugeben. Für diesen Zweck besitzen die meisten Nutzer ein PUBLIC-Verzeichnis, über welches Dateien mit anderen geteilt werden können. Mit Einführung des hier vorgestellten Sicherheitskonzeptes entfällt die Funktion des PUBLIC-Verzeichnisses. Auch Ordner innerhalb Ihres AFS-Homeverzeichnisses, die Sie eventuell selbst für andere Nutzer zugänglich gemacht haben, sind davon betroffen. Wenn Sie weiterhin Dateien mit anderen Nutzern tauschen möchten, finden Sie hier mögliche Alternativen.

Technisch bedeutet diese Änderung, dass es standardmäßig nicht mehr möglich sein wird, dauerhafte Änderungen an den Zugriffskontrolllisten (ACLs) Ihres AFS-Homeverzeichnisses vorzunehmen. Diese werden erkannt und regelmäßig automatisch durch sichere Standardwerte ersetzt. Falls für Sie die Notwendigkeit besteht, die ACLs Ihres Homeverzeichnisses manuell zu verwalten, so kann diese neue Sicherheitsfunktion im IdM-Portal deaktiviert werden. Bitte beachten Sie jedoch, dass Sie dann selbst für die korrekte und sichere Einstellung der Zugriffsrechte für Ihr AFS-Homeverzeichnis verantwortlich sind.

Getagged mit: , , , , , ,
Veröffentlicht in Allgemein, Campusnetz, IT-Sicherheit, Speicher

Schreibe einen Kommentar