Benutzerkonten (sec-users)
Überwacht lokale Benutzerkonten, Privilegien und Gruppenangehörigkeiten. Erkennt neue Konten, inaktive Benutzer und unerwartete Administratorrechte.
Konfiguration
| Parameter | Typ | Default | Beschreibung |
|---|
enabled | bool | true | Modul aktivieren/deaktivieren |
inactive_days | int | 90 | Tage ohne Login bis ein Konto als inaktiv gilt |
check_authorized_keys | bool | true | SSH authorized_keys prüfen (nur Linux) |
allowed_uid0_users | list | ["root"] | Erlaubte Benutzer mit UID 0 (nur Linux) |
allowed_sudo_users | list | [] | Erlaubte sudo/wheel-Mitglieder (nur Linux) |
shadow_check | bool | true | /etc/shadow auf leere Passwörter prüfen (nur Linux) |
YAML-Beispiel
sec_users:
enabled: true
inactive_days: 60
check_authorized_keys: true
allowed_uid0_users:
- "root"
allowed_sudo_users:
- "admin"
Diagnose-Codes
Linux
| Code | Severity | Bedeutung | Empfehlung |
|---|
| 7000 | 0 | Keine Benutzerprobleme erkannt | — |
| 7001 | 1 | Neuer Benutzer angelegt | Konto verifizieren |
| 7002 | 2 | Benutzer mit UID 0 (Root-Rechte) | Nur root sollte UID 0 haben |
| 7003 | 2 | Leeres Passwort in /etc/shadow | Passwort setzen oder Konto sperren |
| 7004 | 1 | Inaktiver Benutzer | Konto deaktivieren oder löschen |
| 7005 | 0 | authorized_keys gefunden | SSH-Schlüssel prüfen |
| 7006 | 1 | Neues Mitglied in sudo/wheel-Gruppe | Berechtigung verifizieren |
Windows
| Code | Severity | Bedeutung | Empfehlung |
|---|
| 8000 | 0 | Keine Benutzerprobleme erkannt | — |
| 8001 | 1 | Neuer lokaler Benutzer erkannt | Konto verifizieren |
| 8002 | 1 | Unerwartetes Mitglied in Administrators-Gruppe | Berechtigung prüfen |
| 8003 | 1 | Gastkonto ist aktiviert | Gastkonto deaktivieren |
| 8004 | 1 | Inaktiver Benutzer | Konto deaktivieren oder löschen |
| 8005 | 1 | Neues Mitglied in Administrators-Gruppe | Berechtigung verifizieren |
- Linux: Liest
/etc/passwd, /etc/shadow, /etc/group und authorized_keys.
- Windows: Nutzt
net user, net localgroup und WMI-Abfragen.