AS/400

Implementarea securitatii pe AS/400

Terminologie Protectie la nivel sistem
- valori (variabile) sistem, utilizatori si grupuri ;

Protectie la nivel obiect

- autoritati, liste de autorizare, autoritate adoptata ;

Securitate fizica
- sala masini, UPS, Keylock, workstation, benzi backup;

Mona Doroftei

SECURITATE pe AS/400

AS/400
11/14/2013

OBIECTE sunt descrise de atribute: nume, tip (ce determina diferite caracteristici operationale ale obiectului), marime, data creare, descriere, numele bibliotecii care il contine, etc; orice obiect are un proprietar (owner) care joaca rol important in functiile de securitate; proprietarul unui obiect poate acorda sau revoca accesul altor utilizatori; un utilizator nu poate fi suprimat pina cind nu sunt suprimate toate obiectele ale caror proprietar este; contine date (informatii); de exemplu un fisier contine inregistrari, un program contine instructiuni; header : orice obiect contine in structura sa mai multe parti, un header comun, unul specific dependent de tipul obiectului cit si o parte de informatie (date) ; tipul : este determinat de comanda folosita pentru a crea obiectul ;
2

SECURITATE pe AS/400

AS/400
11/14/2013

Tipuri de fisiere pe AS/400

PF Physical files (for data records and program source) LF Logical files (for relational database functions) SAVF Save files (for online save/restore) DDMF Distributed Data Management (DDM) files DSPF Display file (for I/O to the screen) PRTF Printer file (spool file definition) DKTF Diskette (for I/O to diskette)

TAPF Tape files (for I/O to tape)

CMNF Communications files BSCF BSC communications files MXDF Mixed files ICFF ICF communications files

In general securitatea se refera la fisiere PF si LF , celelalte fisiere nefiind la fel de expuse problemelor securitatii ;

SECURITATE pe AS/400
Comanda EDTOBJAUT(Edit Object Authority) este echivalenta cu WRKOBJ, optiunea 2 ;
Edit Object Authority Object . . . . . . . : IMPRSP Owner . . . . . . . : VERK400

AS/400

Library . . . . . :

U_DOROFTEI

Primary group . . . : *NONE

Object type . . . . : *FILE Type changes to current authorities, press Enter. Object secured by authorization list . . . . . . . . . . . . AUTL1 Object User Group Authority

*GROUP
*PUBLIC

VERK400

*ALL

*AUTL F12=Cancel F24=More keys

F3=Exit F5=Refresh F6=Add new users F10=Grant with reference object F11=Display detail object authorities

tasta F11 permite modificarea drepturilor pe obiect si pe datele acestuia

---------------Data--------------Read Add Update Delete Execute X _ X _ X _ X _ X _ 4

----------Object----------Opr Mgt Exist Alter Ref X _ X _ X _ X _ X _

11/14/2013

SECURITATE pe AS/400

AS/400
11/14/2013

SECURITATE pe AS/400

AS/400
11/14/2013

VALORI VARIABILE SISTEM

AS/400 dispune de peste 100 variabile care controleaza functiile sistemului; aceste variabile se numesc valori sistem ; unele din aceste variabile sunt legate de securitate (reguli pentru parole, control audit, etc)

valorile sistem pot fi modificate prin comanda CHGSYSVAL si gestionarea lor se face prin WRKSYSVAL SYSVAL(*SEC)

cteva exemple : QSECURITY System Security Level (nivel 10 - 50) QMAXSIGN Maximum Number of Signon Attempts.

QDSCJOBITV Disconnected Job Time-Out Interval.

QPWDVLDPGM Password Validation Program (se specifica numele programului de validare a parolelor). QPWDEXPITV Password Expiration Interval Value.(contine valoarea duratei de validitate a parolelor ; aceasta durata poate fi modificata pentru fiecare utilizator prin parametrul PWDEXPITVdin comanda CHGUSRPRF) QPWDLMTAJC Restrictions of Consecutive Digits in Passwords QPWDLMTCHR Restricted Characters for Passwords QPWDMAXLEN Maximum Length of Passwords. QPWDMINLEN Minimum Length of Passwords.
6

SECURITATE pe AS/400

AS/400
11/14/2013

PROFILE UTILIZATORI, GRUPURI

prin profilul utilizator se pot controla actiunile unui utilizator pe AS400, modul in care sistemul ii este prezentat ; profilul contine informatii legate de securitate ; pentru un sistem cu nivel de securitate 20 un profil trebuie sa existe inainte ca utilizatorul sa se poata autentifica ; unui utilizator i se pot specifica drepturi speciale, ce program, menu va folosi la demarare, ce limite i se impun ;

grupurile sunt profile utilizator cu proprietati speciale ; se folosesc pentru a putea defini autoritatile mai multor utilizatori (fara a le da acestora separat autoritati individuale) ;
pentru a crea un grup se foloseste tot comanda de creare a unui profil utilizator, doar ca pentru parola se specifica *NONE ; pentru ca profilul sa devina intr-adevar un grup trebuie sa i se aloce macar un profil utilizator; unui profil utilizator ii se pot specifica un profil grup (parametru GRPPRF) ct si 15 grupuri suplimentare (parametru SUPGRPPRF)

SECURITATE pe AS/400

AS/400
11/14/2013

Comenzi de afiare i gestiune a profilelor:

DSPUSRPRF CRTUSRPRF

WRKUSRPRF
CHGPWD CHGPRF GO USER (optiunile 8 si 9)
comenzile pentru gestiunea profilelor utilizator WRKUSRPRF , creare CRTUSRPRF , modificare CHGUSRPRF sunt permise doar utilizatorilor cu drept *SECADM ; comanda EDTOBJAUT pe un profil indica profilul ca USER DEF ; comanda EDTOBJAUT pe un grup da ca USER DEF toate profilele asociate ;

SECURITATE pe AS/400

AS/400
11/14/2013

LISTE - drepturi speciale

*ALLOBJ All object authority is granted for accessing any system resource *AUDIT Allows the user to perform auditing functions *JOBCTL Allows manipulation of job and output *SAVSYS Used for saving and restoring the system and data without having explicit authority to objects queues and subsystems *SECADM Allows administration of User Profiles and Office *SERVICE Allows access to special service functions for problem diagnosis *SPLCTL Allows control of spool functions *IOSYSCFG Allows change of system configuration

- clase de utilizatori
*SECOFR Security Officer

*SECADM Security Administrator

*PGMR Programmer *SYSOPR System Operator *USER End User 9

SECURITATE pe AS/400

AS/400
11/14/2013

LISTE DE AUTORIZARE
listele de autorizare reprezinta un important si foarte utilizat element in securitatea pe AS/400 ; sunt obiecte de tip *AUTL in biblioteca QSYS ; printr-o lista de autorizare se stabileste ce utilizatori au autorizare si pe ce obiecte (resurse) anume ; sunt stabilite si tipurile de autorizare pe obiect si pe datele continute in obiect ; profilele utilizator pe o lista pot fi individuale sau profile de grup; toti membrii unui grup mentionat pe o lista mostenesc toate drepturile grupului pe obiectele din lista ; control total asupra utilizatorilor din lista (adaugare, stergere, modificare) il are proprietarul unei liste ct si utilizatorii cu autoritate speciala *ALLOBJ ; utilizatorii cu *AUTLMGT pot acorda doar drepturile de care ei dispun in lista; unui obiect i se poate asocia doar o lista de autorizare ; daca obiectul este suprimat si apoi restaurat in acelasi sistem el va fi in mod automat luat in considerare de lista respectiva ; prin salvare obiectul pastreaza lista

o lista poate autoriza mai multe obiecte ; listele nu sunt afectate atunci cnd obiectele pe care le contin sunt suprimate ;
un utilizator poate fi inclus in diferite liste ;

10

SECURITATE pe AS/400

AS/400
11/14/2013

Comenzi pentru lucrul cu liste de autorizare

creare lista: CRTAUTL AUTL(AUTL1) TEXT('Exemplu) AUT(*EXCLUDE) afisare lista: DSPAUTL AUTL(AUTL1)
Display Authorization List Object . . . . . . . : AUTL1 Library . . . . . : Object User VERK400 DOROFTEI *PUBLIC QSYS List Mgt X Owner . . . . . . . : VERK400 Primary group . . . : *NONE

Authority *ALL *CHANGE *EXCLUDE

adaugare user pe lista de autorizare : ADDAUTLE AUTL(AUTL1) USER(POPESCU) AUT(*READ) pentru un utilizator autoritatea specifica (prin GRTOBJAUT) asupra unui obiect este folosita inaintea autoritatii conferite de o lista ;

11

SECURITATE pe AS/400

AS/400
11/14/2013

Obiectele pot fi alocate unei liste de autorizare in doua moduri:

prin comanda de creare a obiectului : CRTxxx pentru anumite tipuri (*CMD, *DOC, *FILE,*FLR, *LIB, *PGM) permite specificarea numelui unei liste de autorizare in parametrul AUT ;

CRTPF FILE(U_DOROFTEI/IMPRSP) SRCFILE(U_DOROFTEI/QDDSSRC) AUT(AUTL1)

daca obiectul exista deja i se poate aloca o lista prin comanda Grant Object Authority (GRTOBJAUT) ; doar proprietarul unui obiect, un user cu autoritate speciala (*ALLOBJ) sau un user cu autoritate (*ALL) pe obiect, pot adauga obiectul pe o lista ;

GRTOBJAUT OBJ(U_DOROFTEI/QDDSSRC) OBJTYPE(*FILE) AUTL(AUTL1) pentru a modifica autoritatile pe un obiect se pot folosi comenzile EDTOBJAUT (sau EDTDLOAUT pentru documente)

(echivalent : WRKOBJ optiunea 2)

singurele obiecte care nu pot fi asociate unei liste sunt profilele utilizator (*USRPRF) si listele de autorizare (*AUTL)

12

SECURITATE pe AS/400
Gestiunea listelor : WRKAUTL AUTL(*ALL)
Work with Authorization Lists

AS/400
11/14/2013

Type options, press Enter. 1=Create 2=Edit 4=Delete 5=Display 8=Display objects in list 9=Display documents/folders in list 13=Change description
Opt List __ AGEFIC __ AMEX __ AMEXBUF __ AMEX1804 __ AUTL1 __ CALINVOY Exemplu lista de autorizare AUTL bib CALINVOY Text

__ CHECKSTMTS CHECKSTMTS Report Authorization List

13

SECURITATE pe AS/400

AS/400
11/14/2013

AUTORITATEA ADOPTATA

14