pause-café
destinée aux informaticiens sur plateforme IBM i.
Pause-café #22
Politique de sécurité et AS/400
valeurs système liées à la sécurité :
-
QMAXSIGN, QMAXSIGNACN
indiquent le nombre de tentatives d'ouverture de session infructueuses admise et l'action à entreprendre :
- désactiver l'unité (peu intéressant avec TELNET)
- désactiver le profil
- les deux
-
QDSPSGNINF
affiche des informations sur la dernière ouverture de session et le nombre de tentatives infructueuses :
- particulièrement intéressant pour QSECOFR
- QLMTSECOFR
-
indique si un profil de type *SECOFR(*ALLOBJ ou *SERVICE) peut se signer sur
n'importe quel écran :
- oui (valeur 0) : n'importe qui peut être QSECOFR (s'il trouve le mot de passe)
- non (valeur 1) il faut des droits (*CHANGE) sur l'unité pour pouvoir se signer QSECOFR ce qui ajoute à la sécurité logique (mot de passe) une sécurité physique (il faut pouvoir entrer dans la salle machine, ...)
- QINACTITV, QINATCMSGQ
-
indique un temps d'inactivé maxi (sans E/S écran), ce paramètre
est reconnu par TELNET depuis la V4R20
- si vous indiqué un temps maxi (l'assistant IBM recommande 15 mn), indiquez alors la valeur *DSCJOB pour la val.système QINACTMSGQ et pensez à paramètrer le temps maxi ou un job peut-être déconnecté à 60 Mn par exemple.
- QPWDEXPITV et tout ce qui a trait à la validité d'un mot de passe
-
indique une durée de validité d'un mot de passe.
- Une bonne politique de mot de passe est reconnu par tous les responsables
sécurité comme la méthode encore la plus sure. Sachant
qu'une bonne politique de sécurité n'est bonne que si elle
est acceptée dons acceptable.
- Un délai de 60 ou 90 jours semble raisonnable
(moins c'est difficile, au delà ATTENTION aux "prêts" de mot de passe) - on peut raisonnablement imposer 5 ou 6 c. (l'idéal c'est 8)
- on doit imposer le mot de passe différent des 4 ou 6 précédents (suivant le délai)
- on peut interdire certains caractères, imposer des chiffres,
empêcher des caractères identiques à la même
place lors du changement, ....
- Un délai de 60 ou 90 jours semble raisonnable
- pensez à l'utilitaire Sécurity Toolkit qui permet d'analyser
les profils ayant un mort de passe par défaut (cde ANZDFTPWD) et
plein d'autres listes très utiles (GO SECTOOLS)
- QRMTIPL
indique si l'on accepte un IPL à distance (un simple appel téléphonique suffit)
- QALWOBJRST
-
indique si des objets sensibles peuvent être restaurés
- *ALWLSYSSTS : Des objets à l'état système peuvent être restaurés
- *ALWPGMADP : des pgms adoptants les droits du propriétaires peuvent être restaurés
- *ALWPTF : des PTFs peuvent être restaurées
- *ALL toutes les options précédents sont admises (val. par défaut)
- *NONE aucune option n'est admise (val. conseillée, il faut cependant penser à modifier cette valeur système avant tout changement de version et installation de cumulative)
- QRMTSRVATR
-
indique si des opération de service à distance sont admises
- cela avec le processus d'identification des incidents (ANZPRB)
- QUSEADPAUT
-
indique la liste des personnes habilitées à créer des programmes
en *OWNER
- *NONE : toute personne peut créer des programmes avec le paramètre USEADPAUT(*YES)
- un-nom-de-liste d'autorisation : seuls les profils ayant au moins les doits *USE dans cette liste peuvent créer de tels programmes
Audit sécurité
|
valeur système QAUDCTL ( *NONE = aucune action de trace) et/ou trace/objet ! trace/actions du profil *OBJAUD ! *AUDLVL ! ! ! ! ! ------------------------------ ! ! ! ! ... CHGOBJAUD OBJ() ! ! ! ! ! ! OBJAUD(*NONE) =rien ! ! ! (*CHANGE)=modifs! CHGUSRAUD USRPRF() ! QAUDLVL (*ALL) =tout ! ! (sysval) (*USRPRF)= <----!--> OBJAUD(*NONE) ! ! (*CHANGE) ! actions à tracer ! (*ALL) ! pour tous les *USRPRF = suivant indiquations ! ! profils du système liées au profil. ! !--AUDLVL(*xxxx) ! ! ! ! ^ Fin ! -> actions à tracer ! ! ! (en plus de QAUDLVL)-!-----! ! pour ce profil ! |
|
.............................................................................. : Audit des actions utilisateur (AUDLVL) - Aide : : : : : : *NONE : : Aucun niveau d'audit n'est indiqué. Le niveau d'audit pour cet : : utilisateur provient de la valeur système QAUDLVL. : : : : *CMD : : Les chaînes de commande CL, les commandes de contrôle opérateur et : : les procédures de l'environnement 36 sont consignées pour cet : : utilisateur. : : : : *CREATE : : Des postes d'audit sont envoyés lorsque des objets sont créés par : : cet utilisateur. : : : : *DELETE : : Des postes d'audit sont envoyés lorsque des objets sont supprimés : : par cet utilisateur. : : : : : |
: : : *JOBDTA : : Audit de toutes les données de démarrage et d'arrêt de travail pour : : cet utilisateur. : : : : *OBJMGT : : Audit des modifications de gestion des objets effectuées par cet : : utilisateur (un déplacement ou un changement de nom par exemple). : : : : *OFCSRV : : Audit des modifications des services bureautiques effectuées par cet : : utilisateur (sur le répertoire du système ou l'utilisation du : : courrier OfficeVision/400 par exemple). : : : : *PGMADP : : Audit des droits pour cet utilisateur obtenus via une adoption de : : programme. : : : : *SAVRST : : Audit des actions de sauvegarde et de restauration effectuées par : : cet utilisateur. : : : |
: : : : : *SECURITY : : Audit des modifications de sécurité effectuées par cet utilisateur. : : : : *SERVICE : : Audit de l'utilisation des outils de maintenance du système (SST) : : par cet utilisateur. : : : : *SPLFDTA : : Audit des opérations sur les fichiers spoule effectuées par cet : : utilisateur. : : : : *SYSMGT : : Audit de l'utilisation des fonctions de gestion du système par cet : : utilisateur. : .............................................................................. |
Créer un récepteur de journal (CRTJRNRCV) |
Créer un journal (CRTJRN) |
Gestion des valeurs système Système: S4409790 Afficher à partir de . . Premiers caractères valeur système Sous-ensemble par type *SEC F4 pour liste |
Valeur système |
Gestion des valeurs système Système: S4409790 Afficher à partir de . . Premiers caractères valeur système Sous-ensemble par type *SEC F4 pour liste |
Valeur système |
Gestion des valeurs système Système: S4409790 Afficher à partir de . . Premiers caractères valeur système Sous-ensemble par type *SEC F4 pour liste |
Valeur système |
Modifier l'audit d'objet (CHGOBJAUD) |
Modifier audit d'utilisateur (CHGUSRAUD) |
en règle générale ne démarrer que ce qui est utile
- pour tous les services SNA voyez CHGNETNA , particulèrement :
- JOBACN
- DDMACC
- pour IP soyez vigilant et ne démarrez pas (ou sous contrôle)
:
- ROUTED si vous ne vous en servez pas (protocole RIP)
- REXECD (comandes à distance)
- DDM sur IP qui lui aussi permet de passer des commandes à distance
- Surtout ne démarrer par DDM sur IP avec le paramètre PWDRQD(*NO) sur la commande CHGDDMTCPA
- INETD (le serveur qui démarre ECHO, DAYTIME et autres services assez inutiles sur AS)
- Attention avec NFS qui utilise les RPC (remote procédures call) très prisées des HACKERS si vous êtes sur le NET
- avec client access express, vous pouvez utiliser l'administration d'application :
Vous définissez fonction de client acces (Operation navigator compris) par fonction , qui a le droit de les utiliser.
et cela à deux niveaux, Premièrement, les droits par défaut :
vous indiquez 1/ pour operation navigator
2/ pour les applications client access, les droits par défaut
pour indiquer des droits individuels, prenez l'option "utilisateurs et groupe", pour l'utilisateur concerné, choisissez "propriété".
puis fonctions
Indiquez alors quelles sont les fonctions pour lesquelles, cet utilisateur ne respecte pas la règle générale.
Si vous souhaitez aller plus loin, voyez les points d'exit
Registration Facility
Nouvelles fonction de l'OS permettant d'associer à une fonction logiciel un pgm de contrôle entreprise chargé de valider une action.
DEUX NOTIONS :
- Exit POINT : association d'un point d'appel de programme à une action logiciel.
ce point d'appel est nommé sur 20 caractères.
Exemple : QIBM_QPWSF_File_Serveur la fonction serveur de fichier de Client/Access est reconnue, il est possible de lui associer un pgm de validation.
- Exit program : programme associé à un point d'exit. l'écriture est à votre charge
il reçoit deux paramètres 1/ 1 alpha renvoyé par le programme '0' = refus '1' = validation 2/ données reçues (description suivant le format)
- Commandes : WRKREGINF (ADDEXITPGM / RMVEXITPGM)
Attributs du réseau Système: S4409790 Nombre maximal d'étapes . . . . . . . . . . . . : 16 Accès aux demandes DDM . . . . . . . . . . . . . : *OBJAUT Accès aux demandes Client Access . . . . . . . . : *REGFAC <-- Type du réseau RNIS par défaut . . . . . . . . . : Liste de connexion RNIS par défaut . . . . . . . : QDCCNNLANY Support ANYNET admis . . . . . . . . . . . . . . : *NO Domaine du serveur de réseau . . . . . . . . . . : S4409790 |
Work with Registration Info (WRKREGINF) |
Work with Registration Information |
Work with Exit Programs |
|
PGM PARM(&APPLI &WUSER &USERLG + &WPWD &PWDLG + &WADR &ADRLG + &CODERETOUR + &PROFIL &PASSWORD &CURLIB) DCL VAR(&APPLI) TYPE(*CHAR) LEN(4) DCL VAR(&WUSER) TYPE(*CHAR) LEN(50) DCL VAR(&USERLG) TYPE(*CHAR) LEN(4) DCL VAR(&WPWD) TYPE(*CHAR) LEN(50) DCL VAR(&PWDLG) TYPE(*CHAR) LEN(4) DCL VAR(&WADR) TYPE(*CHAR) LEN(50) DCL VAR(&ADRLG) TYPE(*CHAR) LEN(4) DCL VAR(&CODERETOUR) TYPE(*CHAR) LEN(4) DCL VAR(&PROFIL) TYPE(*CHAR) LEN(10) DCL VAR(&PASSWORD) TYPE(*CHAR) LEN(10) DCL VAR(&CURLIB) TYPE(*CHAR) LEN(10) DCL VAR(&USER) TYPE(*CHAR) LEN(10) DCL VAR(&POS) TYPE(*DEC) LEN(3 0) /*********************************************************************/ /*QIBM_QTMF_SVR_LOGON : serveur FTP */ /* */ /*Format TCPL0100 : - APPLICATION 1 = FTP */ /* - IDENTIFIANT */ /* - LG DE IDENTIFIANT */ /* - MOT DEPASSE */ /* - LG DE MOT DE PASSE */ /* - ADRESSE IP */ /* - LG DE ADRESSE IP */ /* EN RETOUR */ /* - CODE RETOUR 0 = 1 REJET */ /* >0 = OK */ /* - PROFIL A UTILISER */ /* - MOT DE PASSE A UTILISER */ /* - CURLIB A UTILISER */ /* */ /*********************************************************************/ /* EXTRACTION */ CHGVAR &POS %BIN(&USERLG) CHGVAR &USER %SST(&WUSER 1 &POS) /* TEST DU PROFIL */ IF (&USER = 'QUSER') (DO) CHGVAR %bin(&CODERETOUR) 0 SNDMSG MSG('FTP : connexion QUSER refusée !') + TOUSR(*SYSOPR) ENDDO ELSE (CHGVAR %bin(&CODERETOUR) 1) ENDPGM |
Dernier point le filtrage IP permettant de définit (adresse IP par adresse IP) qui a le droit d'utiliser ceratins services IP
(le test se fait sur le n° de port)
ATTENTION
TOUT CE QUI n'est pas EXPLICITEMENT autorisé est INTERDIT (automatiquement)
Le filtrage IP lit vos règles dans L'ORDRE DE SAISIE.
(si vous êtes trompé, passez à la console RMVTCPTBL *IPFTR qui enlève tous les filtres)
VOUS DEVEZ prévoir les services autorisés en entrée/sortie.
+ prenons le WEB, naturellement tout le monde pense à autoriser en sortie, les ports source > 1023 (client) vers 80 (serveur www).
mais il faut aussi prévoir en entrée (les réponses) de 80 vers
> à 1023.
pour cela on peut tester sur TCP, s'il s'agit de la première trame (demande de connexion), ou d'une autre trame (dialogue déja établit)
|
FTP est un cas plus complèxe à gérer. |
|
|
|
Nouveautés SMTP et messagerie en V4R50
|
|
|
|
|
|
|
©AF400