cursas400.securitate.ppt

AS

/40

0 Implementarea securitatii pe AS/400

Terminologie

Protectie la nivel sistem- valori (variabile) sistem, utilizatori si grupuri ;

Protectie la nivel obiect

- autoritati, liste de autorizare, autoritate adoptata ;

Securitate fizica - sala masini, UPS, Keylock, workstation, benzi backup;

Mona Doroftei

AS

/40

0

04/19/23

2

SECURITATE pe AS/400

OBIECTE

• sunt descrise de atribute: nume, tip (ce determina diferite caracteristici operationale ale obiectului), marime, data creare, descriere, numele bibliotecii care il contine, etc;

• orice obiect are un proprietar (owner) care joaca rol important in functiile de securitate; proprietarul unui obiect poate acorda sau revoca accesul altor utilizatori; un utilizator nu poate fi suprimat pina cind nu sunt suprimate toate obiectele ale caror proprietar este;

• contine date (informatii); de exemplu un fisier contine inregistrari, un program contine instructiuni;

• header : orice obiect contine in structura sa mai multe parti, un header comun, unul specific dependent de tipul obiectului cit si o parte de informatie (date) ;

• tipul : este determinat de comanda folosita pentru a crea obiectul ;

AS

/40

0

04/19/23

3


Tipuri de fisiere pe AS/400• PF Physical files (for data records and program source)

• LF Logical files (for relational database functions)

• SAVF Save files (for online save/restore)

• DDMF Distributed Data Management (DDM) files

• DSPF Display file (for I/O to the screen)

• PRTF Printer file (spool file definition)

• DKTF Diskette (for I/O to diskette)

• TAPF Tape files (for I/O to tape)

• CMNF Communications files

• BSCF BSC communications files

• MXDF Mixed files

• ICFF ICF communications files

In general securitatea se refera la fisiere PF si LF , celelalte fisiere

nefiind la fel de expuse problemelor securitatii ;

AS

/40

0

04/19/23

4


Comanda EDTOBJAUT(Edit Object Authority)

• este echivalenta cu WRKOBJ, optiunea 2 ;

Edit Object Authority

Object . . . . . . . : IMPRSP Owner . . . . . . . : VERK400

Library . . . . . : U_DOROFTEI Primary group . . . : *NONE

Object type . . . . : *FILE

Type changes to current authorities, press Enter.

Object secured by authorization list . . . . . . . . . . . . AUTL1 Object

User Group Authority

*GROUP VERK400 *ALL

*PUBLIC *AUTL

F3=Exit F5=Refresh F6=Add new users F10=Grant with reference object

F11=Display detail object authorities F12=Cancel F24=More keys

• tasta F11 permite modificarea drepturilor pe obiect si pe datele acestuia

----------Object----------- ---------------Data---------------

Opr Mgt Exist Alter Ref Read Add Update Delete Execute

X X X X X X X X X X

_ _ _ _ _ _ _ _ _ _

AS

/40

0

04/19/23

5


AS

/40

0

04/19/23

6


VALORI VARIABILE SISTEM

• AS/400 dispune de peste 100 variabile care controleaza functiile sistemului; aceste variabile se numesc valori sistem ; unele din aceste variabile sunt legate de securitate (reguli pentru parole, control audit, etc)

• valorile sistem pot fi modificate prin comanda CHGSYSVAL si gestionarea lor se face prin WRKSYSVAL SYSVAL(*SEC)

câteva exemple :

QSECURITY System Security Level (nivel 10 - 50)

QMAXSIGN Maximum Number of Signon Attempts.

QDSCJOBITV Disconnected Job Time-Out Interval.

QPWDVLDPGM Password Validation Program (se specifica numele programului de validare a parolelor).

QPWDEXPITV Password Expiration Interval Value.(contine valoarea duratei de validitate a parolelor ; aceasta durata poate fi modificata pentru fiecare utilizator prin parametrul PWDEXPITVdin comanda CHGUSRPRF)

QPWDLMTAJC Restrictions of Consecutive Digits in Passwords

QPWDLMTCHR Restricted Characters for Passwords

QPWDMAXLEN Maximum Length of Passwords.

QPWDMINLEN Minimum Length of Passwords.

AS

/40

0

04/19/23

7


PROFILE UTILIZATORI, GRUPURI

prin profilul utilizator se pot controla actiunile unui utilizator pe AS400, modul in care sistemul ii este prezentat ;

profilul contine informatii legate de securitate ; pentru un sistem cu nivel de securitate 20 un profil trebuie sa existe inainte ca utilizatorul sa se poata autentifica ;

unui utilizator i se pot specifica drepturi speciale, ce program, menu va folosi la demarare, ce limite i se impun ;

grupurile sunt profile utilizator cu proprietati speciale ; se folosesc pentru a putea defini autoritatile mai multor utilizatori (fara a le da acestora separat autoritati individuale) ;

pentru a crea un grup se foloseste tot comanda de creare a unui profil utilizator, doar ca pentru parola se specifica *NONE ; pentru ca profilul sa devina intr-adevar un grup trebuie sa i se aloce macar un profil utilizator;

unui profil utilizator ii se pot specifica un profil grup (parametru GRPPRF) cât si 15 grupuri suplimentare (parametru SUPGRPPRF)

AS

/40

0

04/19/23

8


Comenzi de afişare şi gestiune a profilelor:

DSPUSRPRF

CRTUSRPRF

WRKUSRPRF

CHGPWD

CHGPRF

GO USER (optiunile 8 si 9)

comenzile pentru gestiunea profilelor utilizator WRKUSRPRF , creare CRTUSRPRF , modificare CHGUSRPRF sunt permise doar utilizatorilor cu drept *SECADM ;

comanda EDTOBJAUT pe un profil indica profilul ca USER DEF ;

comanda EDTOBJAUT pe un grup da ca USER DEF toate profilele asociate ;

AS

/40

0

04/19/23

9


LISTE

- drepturi speciale*ALLOBJ All object authority is granted for accessing any system resource

*AUDIT Allows the user to perform auditing functions

*JOBCTL Allows manipulation of job and output

*SAVSYS Used for saving and restoring the system and data without having

explicit authority to objects queues and subsystems

*SECADM Allows administration of User Profiles and Office

*SERVICE Allows access to special service functions for problem diagnosis

*SPLCTL Allows control of spool functions

*IOSYSCFG Allows change of system configuration

- clase de utilizatori*SECOFR Security Officer

*SECADM Security Administrator

*PGMR Programmer

*SYSOPR System Operator

*USER End User

AS

/40

0

04/19/23

10


LISTE DE AUTORIZARE listele de autorizare reprezinta un important si foarte utilizat element in

securitatea pe AS/400 ; sunt obiecte de tip *AUTL in biblioteca QSYS ;

printr-o lista de autorizare se stabileste ce utilizatori au autorizare si pe ce obiecte (resurse) anume ; sunt stabilite si tipurile de autorizare pe obiect si pe datele continute in obiect ;

profilele utilizator pe o lista pot fi individuale sau profile de grup; toti membrii unui grup mentionat pe o lista mostenesc toate drepturile grupului pe obiectele din lista ;

control total asupra utilizatorilor din lista (adaugare, stergere, modificare) il are proprietarul unei liste cât si utilizatorii cu autoritate speciala *ALLOBJ ; utilizatorii cu *AUTLMGT pot acorda doar drepturile de care ei dispun in lista;

unui obiect i se poate asocia doar o lista de autorizare ; daca obiectul este suprimat si apoi restaurat in acelasi sistem el va fi in mod automat luat in considerare de lista respectiva ; prin salvare obiectul pastreaza lista

o lista poate autoriza mai multe obiecte ; listele nu sunt afectate atunci când obiectele pe care le contin sunt suprimate ;

un utilizator poate fi inclus in diferite liste ;

AS

/40

0

04/19/23

11

Comenzi pentru lucrul cu liste de autorizare

creare lista: CRTAUTL AUTL(AUTL1) TEXT('Exemplu’) CRTAUTL AUTL(AUTL1) TEXT('Exemplu’) AUT(*EXCLUDE)AUT(*EXCLUDE)

afisare lista: DSPAUTL AUTL(AUTL1)DSPAUTL AUTL(AUTL1) Display Authorization List Display Authorization List

Object . . . . . . . : AUTL1 Owner . . . . . . . : VERK400 Object . . . . . . . : AUTL1 Owner . . . . . . . : VERK400

Library . . . . . : QSYS Primary group . . . : *NONE Library . . . . . : QSYS Primary group . . . : *NONE

Object List Object List

User User Authority Authority Mgt Mgt

VERK400 *ALL VERK400 *ALL X X

DOROFTEI *CHANGE DOROFTEI *CHANGE

*PUBLIC *EXCLUDE*PUBLIC *EXCLUDE

adaugare user pe lista de autorizare :

ADDAUTLE AUTL(AUTL1) USER(POPESCU) AUT(*READ)ADDAUTLE AUTL(AUTL1) USER(POPESCU) AUT(*READ)

• pentru un utilizator autoritatea specifica (prin GRTOBJAUT) asupra unui obiect este folosita inaintea autoritatii conferite de o lista ; ;


AS

/40

0

04/19/23

12

Obiectele pot fi alocate unei liste de autorizare in doua moduri:• prin comanda de creare a obiectului : CRTxxx pentru anumite tipuri (*CMD,

*DOC, *FILE,*FLR, *LIB, *PGM) permite specificarea numelui unei liste de autorizare in parametrul AUT ;

CRTPF FILE(U_DOROFTEI/IMPRSP) SRCFILE(U_DOROFTEI/QDDSSRC) CRTPF FILE(U_DOROFTEI/IMPRSP) SRCFILE(U_DOROFTEI/QDDSSRC) AUT(AUTL1)AUT(AUTL1)

• daca obiectul exista deja i se poate aloca o lista prin comanda Grant Object Authority (GRTOBJAUT) ; doar proprietarul unui obiect, un user cu autoritate speciala (*ALLOBJ) sau un user cu autoritate (*ALL) pe obiect, pot adauga obiectul pe o lista ;

GRTOBJAUT OBJ(U_DOROFTEI/QDDSSRC) OBJTYPE(*FILE) GRTOBJAUT OBJ(U_DOROFTEI/QDDSSRC) OBJTYPE(*FILE) AUTL(AUTL1)AUTL(AUTL1)

• pentru a modifica autoritatile pe un obiect se pot folosi comenzile

EDTOBJAUT EDTOBJAUT (sau EDTDLOAUT EDTDLOAUT pentru documente)

(echivalent : WRKOBJ optiunea 2)

• singurele obiecte care nu pot fi asociate unei liste sunt profilele utilizator (*USRPRF) si listele de autorizare (*AUTL)


AS

/40

0

04/19/23

13

Gestiunea listelor : WRKAUTL AUTL(*ALL)WRKAUTL AUTL(*ALL)

Work with Authorization ListsWork with Authorization Lists

Type options, press Enter. Type options, press Enter. 1=Create 2=Edit 4=Delete 5=Display 8=Display objects in list 1=Create 2=Edit 4=Delete 5=Display 8=Display objects in list 9=Display documents/folders in list 13=Change description 9=Display documents/folders in list 13=Change description Opt List Text Opt List Text

__ AGEFIC __ AGEFIC

__ AMEX __ AMEX

__ AMEXBUF __ AMEXBUF

__ AMEX1804 __ AMEX1804

__ AUTL1 Exemplu lista de autorizare __ AUTL1 Exemplu lista de autorizare

__ CALINVOY AUTL bib CALINVOY __ CALINVOY AUTL bib CALINVOY

__ CHECKSTMTS CHECKSTMTS Report Authorization List__ CHECKSTMTS CHECKSTMTS Report Authorization List


AS

/40

0

04/19/23

14


AUTORITATEA ADOPTATA

cursas400.securitate.ppt

Documents