cursas400.securitate.ppt
DESCRIPTION
CursAS400.SecuritateTRANSCRIPT
AS
/40
0 Implementarea securitatii pe AS/400
Terminologie
Protectie la nivel sistem- valori (variabile) sistem, utilizatori si grupuri ;
Protectie la nivel obiect
- autoritati, liste de autorizare, autoritate adoptata ;
Securitate fizica - sala masini, UPS, Keylock, workstation, benzi backup;
Mona Doroftei
AS
/40
0
04/19/23
2
SECURITATE pe AS/400
OBIECTE
• sunt descrise de atribute: nume, tip (ce determina diferite caracteristici operationale ale obiectului), marime, data creare, descriere, numele bibliotecii care il contine, etc;
• orice obiect are un proprietar (owner) care joaca rol important in functiile de securitate; proprietarul unui obiect poate acorda sau revoca accesul altor utilizatori; un utilizator nu poate fi suprimat pina cind nu sunt suprimate toate obiectele ale caror proprietar este;
• contine date (informatii); de exemplu un fisier contine inregistrari, un program contine instructiuni;
• header : orice obiect contine in structura sa mai multe parti, un header comun, unul specific dependent de tipul obiectului cit si o parte de informatie (date) ;
• tipul : este determinat de comanda folosita pentru a crea obiectul ;
AS
/40
0
04/19/23
3
SECURITATE pe AS/400
Tipuri de fisiere pe AS/400• PF Physical files (for data records and program source)
• LF Logical files (for relational database functions)
• SAVF Save files (for online save/restore)
• DDMF Distributed Data Management (DDM) files
• DSPF Display file (for I/O to the screen)
• PRTF Printer file (spool file definition)
• DKTF Diskette (for I/O to diskette)
• TAPF Tape files (for I/O to tape)
• CMNF Communications files
• BSCF BSC communications files
• MXDF Mixed files
• ICFF ICF communications files
In general securitatea se refera la fisiere PF si LF , celelalte fisiere
nefiind la fel de expuse problemelor securitatii ;
AS
/40
0
04/19/23
4
SECURITATE pe AS/400
Comanda EDTOBJAUT(Edit Object Authority)
• este echivalenta cu WRKOBJ, optiunea 2 ;
Edit Object Authority
Object . . . . . . . : IMPRSP Owner . . . . . . . : VERK400
Library . . . . . : U_DOROFTEI Primary group . . . : *NONE
Object type . . . . : *FILE
Type changes to current authorities, press Enter.
Object secured by authorization list . . . . . . . . . . . . AUTL1 Object
User Group Authority
*GROUP VERK400 *ALL
*PUBLIC *AUTL
F3=Exit F5=Refresh F6=Add new users F10=Grant with reference object
F11=Display detail object authorities F12=Cancel F24=More keys
• tasta F11 permite modificarea drepturilor pe obiect si pe datele acestuia
----------Object----------- ---------------Data---------------
Opr Mgt Exist Alter Ref Read Add Update Delete Execute
X X X X X X X X X X
_ _ _ _ _ _ _ _ _ _
AS
/40
0
04/19/23
5
SECURITATE pe AS/400
AS
/40
0
04/19/23
6
SECURITATE pe AS/400
VALORI VARIABILE SISTEM
• AS/400 dispune de peste 100 variabile care controleaza functiile sistemului; aceste variabile se numesc valori sistem ; unele din aceste variabile sunt legate de securitate (reguli pentru parole, control audit, etc)
• valorile sistem pot fi modificate prin comanda CHGSYSVAL si gestionarea lor se face prin WRKSYSVAL SYSVAL(*SEC)
câteva exemple :
QSECURITY System Security Level (nivel 10 - 50)
QMAXSIGN Maximum Number of Signon Attempts.
QDSCJOBITV Disconnected Job Time-Out Interval.
QPWDVLDPGM Password Validation Program (se specifica numele programului de validare a parolelor).
QPWDEXPITV Password Expiration Interval Value.(contine valoarea duratei de validitate a parolelor ; aceasta durata poate fi modificata pentru fiecare utilizator prin parametrul PWDEXPITVdin comanda CHGUSRPRF)
QPWDLMTAJC Restrictions of Consecutive Digits in Passwords
QPWDLMTCHR Restricted Characters for Passwords
QPWDMAXLEN Maximum Length of Passwords.
QPWDMINLEN Minimum Length of Passwords.
AS
/40
0
04/19/23
7
SECURITATE pe AS/400
PROFILE UTILIZATORI, GRUPURI
prin profilul utilizator se pot controla actiunile unui utilizator pe AS400, modul in care sistemul ii este prezentat ;
profilul contine informatii legate de securitate ; pentru un sistem cu nivel de securitate 20 un profil trebuie sa existe inainte ca utilizatorul sa se poata autentifica ;
unui utilizator i se pot specifica drepturi speciale, ce program, menu va folosi la demarare, ce limite i se impun ;
grupurile sunt profile utilizator cu proprietati speciale ; se folosesc pentru a putea defini autoritatile mai multor utilizatori (fara a le da acestora separat autoritati individuale) ;
pentru a crea un grup se foloseste tot comanda de creare a unui profil utilizator, doar ca pentru parola se specifica *NONE ; pentru ca profilul sa devina intr-adevar un grup trebuie sa i se aloce macar un profil utilizator;
unui profil utilizator ii se pot specifica un profil grup (parametru GRPPRF) cât si 15 grupuri suplimentare (parametru SUPGRPPRF)
AS
/40
0
04/19/23
8
SECURITATE pe AS/400
Comenzi de afişare şi gestiune a profilelor:
DSPUSRPRF
CRTUSRPRF
WRKUSRPRF
CHGPWD
CHGPRF
GO USER (optiunile 8 si 9)
comenzile pentru gestiunea profilelor utilizator WRKUSRPRF , creare CRTUSRPRF , modificare CHGUSRPRF sunt permise doar utilizatorilor cu drept *SECADM ;
comanda EDTOBJAUT pe un profil indica profilul ca USER DEF ;
comanda EDTOBJAUT pe un grup da ca USER DEF toate profilele asociate ;
AS
/40
0
04/19/23
9
SECURITATE pe AS/400
LISTE
- drepturi speciale*ALLOBJ All object authority is granted for accessing any system resource
*AUDIT Allows the user to perform auditing functions
*JOBCTL Allows manipulation of job and output
*SAVSYS Used for saving and restoring the system and data without having
explicit authority to objects queues and subsystems
*SECADM Allows administration of User Profiles and Office
*SERVICE Allows access to special service functions for problem diagnosis
*SPLCTL Allows control of spool functions
*IOSYSCFG Allows change of system configuration
- clase de utilizatori*SECOFR Security Officer
*SECADM Security Administrator
*PGMR Programmer
*SYSOPR System Operator
*USER End User
AS
/40
0
04/19/23
10
SECURITATE pe AS/400
LISTE DE AUTORIZARE listele de autorizare reprezinta un important si foarte utilizat element in
securitatea pe AS/400 ; sunt obiecte de tip *AUTL in biblioteca QSYS ;
printr-o lista de autorizare se stabileste ce utilizatori au autorizare si pe ce obiecte (resurse) anume ; sunt stabilite si tipurile de autorizare pe obiect si pe datele continute in obiect ;
profilele utilizator pe o lista pot fi individuale sau profile de grup; toti membrii unui grup mentionat pe o lista mostenesc toate drepturile grupului pe obiectele din lista ;
control total asupra utilizatorilor din lista (adaugare, stergere, modificare) il are proprietarul unei liste cât si utilizatorii cu autoritate speciala *ALLOBJ ; utilizatorii cu *AUTLMGT pot acorda doar drepturile de care ei dispun in lista;
unui obiect i se poate asocia doar o lista de autorizare ; daca obiectul este suprimat si apoi restaurat in acelasi sistem el va fi in mod automat luat in considerare de lista respectiva ; prin salvare obiectul pastreaza lista
o lista poate autoriza mai multe obiecte ; listele nu sunt afectate atunci când obiectele pe care le contin sunt suprimate ;
un utilizator poate fi inclus in diferite liste ;
AS
/40
0
04/19/23
11
Comenzi pentru lucrul cu liste de autorizare
creare lista: CRTAUTL AUTL(AUTL1) TEXT('Exemplu’) CRTAUTL AUTL(AUTL1) TEXT('Exemplu’) AUT(*EXCLUDE)AUT(*EXCLUDE)
afisare lista: DSPAUTL AUTL(AUTL1)DSPAUTL AUTL(AUTL1) Display Authorization List Display Authorization List
Object . . . . . . . : AUTL1 Owner . . . . . . . : VERK400 Object . . . . . . . : AUTL1 Owner . . . . . . . : VERK400
Library . . . . . : QSYS Primary group . . . : *NONE Library . . . . . : QSYS Primary group . . . : *NONE
Object List Object List
User User Authority Authority Mgt Mgt
VERK400 *ALL VERK400 *ALL X X
DOROFTEI *CHANGE DOROFTEI *CHANGE
*PUBLIC *EXCLUDE*PUBLIC *EXCLUDE
adaugare user pe lista de autorizare :
ADDAUTLE AUTL(AUTL1) USER(POPESCU) AUT(*READ)ADDAUTLE AUTL(AUTL1) USER(POPESCU) AUT(*READ)
• pentru un utilizator autoritatea specifica (prin GRTOBJAUT) asupra unui obiect este folosita inaintea autoritatii conferite de o lista ; ;
SECURITATE pe AS/400
AS
/40
0
04/19/23
12
Obiectele pot fi alocate unei liste de autorizare in doua moduri:• prin comanda de creare a obiectului : CRTxxx pentru anumite tipuri (*CMD,
*DOC, *FILE,*FLR, *LIB, *PGM) permite specificarea numelui unei liste de autorizare in parametrul AUT ;
CRTPF FILE(U_DOROFTEI/IMPRSP) SRCFILE(U_DOROFTEI/QDDSSRC) CRTPF FILE(U_DOROFTEI/IMPRSP) SRCFILE(U_DOROFTEI/QDDSSRC) AUT(AUTL1)AUT(AUTL1)
• daca obiectul exista deja i se poate aloca o lista prin comanda Grant Object Authority (GRTOBJAUT) ; doar proprietarul unui obiect, un user cu autoritate speciala (*ALLOBJ) sau un user cu autoritate (*ALL) pe obiect, pot adauga obiectul pe o lista ;
GRTOBJAUT OBJ(U_DOROFTEI/QDDSSRC) OBJTYPE(*FILE) GRTOBJAUT OBJ(U_DOROFTEI/QDDSSRC) OBJTYPE(*FILE) AUTL(AUTL1)AUTL(AUTL1)
• pentru a modifica autoritatile pe un obiect se pot folosi comenzile
EDTOBJAUT EDTOBJAUT (sau EDTDLOAUT EDTDLOAUT pentru documente)
(echivalent : WRKOBJ optiunea 2)
• singurele obiecte care nu pot fi asociate unei liste sunt profilele utilizator (*USRPRF) si listele de autorizare (*AUTL)
SECURITATE pe AS/400
AS
/40
0
04/19/23
13
Gestiunea listelor : WRKAUTL AUTL(*ALL)WRKAUTL AUTL(*ALL)
Work with Authorization ListsWork with Authorization Lists
Type options, press Enter. Type options, press Enter. 1=Create 2=Edit 4=Delete 5=Display 8=Display objects in list 1=Create 2=Edit 4=Delete 5=Display 8=Display objects in list 9=Display documents/folders in list 13=Change description 9=Display documents/folders in list 13=Change description Opt List Text Opt List Text
__ AGEFIC __ AGEFIC
__ AMEX __ AMEX
__ AMEXBUF __ AMEXBUF
__ AMEX1804 __ AMEX1804
__ AUTL1 Exemplu lista de autorizare __ AUTL1 Exemplu lista de autorizare
__ CALINVOY AUTL bib CALINVOY __ CALINVOY AUTL bib CALINVOY
__ CHECKSTMTS CHECKSTMTS Report Authorization List__ CHECKSTMTS CHECKSTMTS Report Authorization List
SECURITATE pe AS/400
AS
/40
0
04/19/23
14
SECURITATE pe AS/400
AUTORITATEA ADOPTATA