Tutoriel sur AS400

Politique de sécurité et AS/400

Commencons par un peu de théorie :

Utilisateurs et droits

La gestion de la sécurité s'appuie sur la notion de profil utilisateur (objet *USRPRF dans QSYS)

pour gérer la liste des utilisateurs : WRKUSRPRF *ALL

l'option 1 permet de créer un nouvel utilisateur :

remarquons les paramètres :

• État : *ENABLED (actif) ou *DISABLED (désactivé, après trois mauvais mot de passe)
  
• classe d'utilisateur
  • *USER : sans droits particuliers
  • *SYSOPR : de type opérateur (droit de sauvegarde et de gestion des travaux)
  • *PGMR : developpeur (droit de gestion des travaux et des spools)
  • *SECADM : droits de création des utilisateurs
  • *SECOFR : tous les droits, pour cet utilisateurs les droits sur les objets ne sont pas vérifiés
    
    
• Droits spéciaux, la classe d'utilisateur ne représentant qu'un assemblage par défaut
  • *ALLOBJ : droits sur TOUS les objets (type QSECOFR)
  • *AUDIT : droit de paramétrer l'audit système
  • *IOSYSCFG : droit de gérer la configuration (lignes, paramétrage IP, etc...)
  • *JOBCTL : droit de contrôler les travaux des autres et les OUTQ avec OPRCTL(*YES)
  • *SAVSYS : droit de sauvegarde global
  • *SECADM : droit de gérer les utilisateurs
  • *SPLCTL : droit absolu de gestion des spools
  • *SERVICE : droit d'accès aux commandes de la maintenance
    
    

    Ne pas confondre profil utilisateur OS/400 (même QSRV) et les profils DST (en dessous l'OS/400). DST est un environnement lié à la maintenance, accessible lors de l'IPL, avec l'option 21(mode manuel) ou partiellement avec la commande STRSST.(voire même maintenant avec Op. navigator) il faut alors indiquer un profil DST (par défaut QSECOFR mot de passe QSECOFR) n'ayant aucun rapport (et donc PAS le même mot de passe) avec le QSECOFR de l'OS/400.

  
  Attention, avec le niveau de sécurité 20, tous les profils sont *ALLOBJ, ilest impossible d'interdir le moindre objet à un profil
  (tout le monde peut tout détruire) et tout ce qui suit en gestion des droits sur les objets ne s'applique pas !

sur cet écran nous pouvons attribuer à l'utilisateur un profil de groupe afin de gérer les droits sur quelques groupes cohérents d'utilisateurs.

quelques remarques :

• depuis la version 3.10 on peut associer à un profil 16 profils de groupe, les droits sont alors cumulatifs
  
• le paramètre OWNER permet d'indiquer qui est propriétaire des objets créés
  
  • *USRPRF le profil reste propriétaire
  • *GRPPRF il y a transfert de propriété au groupe à chaque création
    
• n'utilisez pas QPGMR comme profil propriétaire des applications (trop d'objets possédés)
  
  

la gestion des utilisateurs pouvant être réalisée depuis OPERATION NAVIGATOR :

La gestion des droits est la base de la sécurité sur un AS/400, tout objet possède des droits publics
(indiquant les droits par défaut pour un utilisateur "lambda" indiqué par *PUBLIC) et des droits nominatifs ou privés.

les droits sont révisables par EDTOBJAUT en indiquant le type d'objet (WRKAUT pour les fichiers IFS)

• *EXCLUDE marque une absence de droit
• *USE donne un droit de consultation
• *CHANGE le droit de modification du contenu (fichier BD particulièrement)
• *ALL donne tous les droits (destruction incluse)

F11 permet de voir le détail.

  Ordre de recherche des autorisations sur un objet 
    ---------------------------------------------------
     1/ avec le profil de référence 
         + le profil est il de type QSECOFR ?------OUI ----------->! 
                                              NON                  ! 
                                               !                   ! 
         + le profil a-t-il des droits sur l'objet OUI ----------->! 
                                              NON                  ! 
                                               !                   ! 
         + le profil est-il indiqué dans la liste  OUI ----------->! 
              d'autorisation (s'il y a une liste)                  ! 
                                              NON                  ! 
                                               !                   ! 
     2/ avec le profil de groupe               !                   ! 
                (s'il n'y a pas de profil de groupe -->  3/ )      ! 
                                               !                   ! 
         + le groupe est il SPCAUT(*ALLOBJ) ?  !   OUI ----------->!
                                              NON                  ! 
                                               !                   ! 
         + le groupe a-t-il des droits sur l'objet OUI ----------->! 
                                              NON                  ! 
                                               !                   !
                                               !
     2/ avec le profil de groupe   (suite)     !                   ! 
                                               v                   v 
                                               !                   ! 
                                               !                   ! 
         + le groupe est-il indiqué dans la liste  OUI ----------->! 
              d'autorisation (s'il y a une liste)                  ! 
                                              NON                  ! 
                                               !                   ! 
     3/ avec *PUBLIC                           !                   ! 
                                               !                   ! 
         + *PUBLIC est-il indiqué sur l'objet  !   OUI ----------->! 
                                              NON                  ! 
                                               !                   ! 
         + *PUBLIC EST indiqué dans la liste --------------------->!     
                                                                   ! 
             #######################                               ! 
             # les droits trouvés  # <-----------------------------!   
             # sont pris en compte # 
             ####################### 

Quelques remarques

• le système privilégie toujours les exceptions sur le cas général .
  • un individu peut avoir des droits différents du groupe auquel il appartient
  • un objet peut avoir des droits différents de ceux de la liste d'autorisation qui le protège
• Sur ce modèle un profil peut appartenir à un groupe ayant *ALLOBJ et avoir lui même des interdictions (*exclude)
  
  
• Listes d'autorisation
  • l'OS fait du cache sur les 16 dernières utilisées
  • la gestion de n objets protégés par une liste d'autorisation est beaucoup plus simple, puisque qu'une manipulation va impacter n objets.
  • assigner une liste d'autorisation peut se faire
    • en masse, par la commande GRTOBJAUT, penser alors au paramètre REPLACE(*YES)
    • pour les objets à venir, par CHGLIB xxx CRTAUT(nom-de-la-liste)
    • CHGAUT pour IFS, le paramètre SUBTREE permet de répercuter en cascade
      

PGP en V3R10

• Liste d'autorisation, vous affiche tous les objets *AUTL de votre système (édition des droits possible)
• Stratégies, les principales valeurs système ayant trait à la sécurité (ouverture de session particluièrement)

• QSECURITY
      40 est la bonne valeur
  

• QMAXSIGN, QMAXSIGNACN

indiquent le nombre de tentatives d'ouverture de session infructueuses admises et l'action à entreprendre :

• désactiver l'unité (peu intéressant avec TELNET)
• désactiver le profil
• les deux

 

• QDSPSGNINF

affiche des informations sur la dernière ouverture de session et le nombre de tentatives infructueuses :

• particulièrement intéressant pour QSECOFR

 

• QLMTSECOFR

indique si un profil de type *SECOFR(*ALLOBJ ou *SERVICE) peut se signer sur n'importe quel écran :


• oui (valeur 0) : n'importe qui peut être QSECOFR (s'il trouve le mot de passe)
• non (valeur 1) il faut des droits (*CHANGE) sur l'unité pour pouvoir se signer QSECOFR ce qui ajoute à la sécurité logique (mot de passe) une sécurité physique (il faut pouvoir entrer dans la salle machine ...)

 

 

• QINACTITV, QINATCMSGQ

indique un temps d'inactivité maxi (sans E/S écran), ce paramètre est reconnu par TELNET depuis la V4R20


• si vous indiqué un temps maxi (l'assistant IBM recommande 15 mn), indiquez alors la valeur *DSCJOB pour la val.système QINACTMSGQ et pensez à paramètrer le temps maxi ou un job peut-être déconnecté à 60 Mn par exemple.

 

• QPWDEXPITV et tout ce qui a trait à la validité d'un mot de passe

indique une durée de validité d'un mot de passe.


• Une bonne politique de mot de passe est reconnue par tous les responsables sécurité comme la méthode encore la plus sure. Sachant qu'une bonne politique de sécurité n'est bonne que si elle est acceptée dons acceptable.
  • Un délai de 60 ou 90 jours semble raisonnable
    (moins c'est difficile, au delà ATTENTION aux "prêts" de mot de passe)
  • on peut raisonnablement imposer 5 ou 6 c. (l'idéal c'est 8)
  • on doit imposer le mot de passe différent des 4 ou 6 précédents (suivant le délai)
  • on peut interdire certains caractères, imposer des chiffres, empêcher des caractères identiques à la même place lors du changement, ....
    
    
    
• QPWDLVL, nouveauté de la version 5.10 permet les mots de passe longs (128 c.) et complexes:
  
  • 0 : mot de passe à 10 c., les mots de passes pour Netserver compatible Windows 95/98/Me sont stockés
  • 1 : mot de passe à 10 c. les mots de passe compatibles 95/98 ne sont plus stockés (clients NT4 ou 2000/XP)
  • 2.: mot de passe complexes, à 128 c. et sensibles à la casse. les mots de passe 95/98 sont stockés
  • 3 : mot de passe longs et complexes, les mots de passe 95/98 ne sont plus stockés
    
    

    ATTENTION : Une modification de cette valeur système ne prend effet qu'à l'IPL et doit être précédée d'une sauvegarde système. Il est ensuite, d'autre part, assez difficile de revenir en arrière et impossible de se connecter à un autre AS/400 en V4.

    
    
    
    
• pensez à l'utilitaire Security Toolkit qui permet d'analyser les profils ayant un mot de passe par défaut (cde ANZDFTPWD) et plein d'autres listes très utiles (GO SECTOOLS)
  
  
  • profils ayant un mot de passe par défaut

    SECTOOLS Outils de sécurité Système: AS400 Choisissez l'une des options suivantes : Gestion des profils 1. Analyser les mots de passe par défaut <-- ANZDFTPWD 2. Afficher la liste des profils actifs 3. Modifier la liste des profils actifs 4. Analyser l'activité des profils 5. Afficher le planning d'activation 6. Modifier le planning d'activation 7. Afficher le planning de péremption 8. Modifier le planning de péremption 9. Imprimer les postes internes de profil A suivre...




• profils avec *ALLOBJ
  
  passez la commande DSPUSRPRF dans un OUTFILE, par curiosité faites une jointure avec QUSRSYS/QASECPWD, généré par ANZDFTPWD
  
  
• profils non connectés depuis x mois
  
  SECTOOLS , option 4 (les profils "inactifs", sont automatiquement désactivés)
  
  
• profils avec LMTCPB(*NO)
  
  réservé aux personnel informatique, pour les autres vous pouvez autoriser des commandes particulières par
  CHGCMD ALWLMTUSR(*YES) rendant cette commande disponible aux profils ayant LTMCPB(*YES)
  
  
• profils IBM :
  • ont-ils le mot de passe par défaut ?
    -> GO SETUP , option 11
    
  • Sont -ils actifs ?
    -> inutile pour QSRV, QSRVBAS
    
• Attention aux mots de passe DST (voir plus haut)
  

• QRMTIPL

indique si l'on accepte un IPL à distance (un simple appel téléphonique suffit)

 

• QALWOBJRST

indique si des objets sensibles peuvent être restaurés


• *ALWLSYSSTS : Des objets à l'état système peuvent être restaurés
• *ALWPGMADP : des pgms adoptants les droits du propriétaires peuvent être restaurés
• *ALWPTF : des PTFs peuvent être restaurées
  
  
• *ALL toutes les options précédents sont admises (val. par défaut)
• *NONE aucune option n'est admise (val. conseillée, il faut cependant penser à modifier cette valeur système avant tout changement de version et installation de cumulative)

 

• QRMTSRVATR

indique si des opérations de service à distance sont admises


• cela avec le processus d'identification des incidents (ANZPRB)

 

• QUSEADPAUT

indique la liste des personnes habilitées à gérer des programmes adoptant

• *NONE : toute personne peut compiler des programmes avec le paramètre USEADPAUT(*YES)
• un-nom-de-liste d'autorisation : seuls les profils ayant au moins les droits *USE dans cette liste peuvent gérer de tels programmes.

Qu'est-ce qu'un programme adoptant les droits du propriétaire ou "en *OWNER " : Il s'agit d'un attribut lié à un programme compilé indiquant que pendant l'exécution de ce programme, toute personne qui va en demander l'exécution (si elle possède le droit d'exécution) aura, pendant cette exécution uniquement, les droits du propriétaire du programme ajoutés à ces propres droits. Cela permet de placer dans un programme, CL par exemple, une commande qui serait autrement interdite. Deux paramètres sont à considérer : USRPRF(*OWNER) indiqué lors d'une compilation ou par CHGPGM USEADPTAUT(*YES) indiqué sur CHGPGM qui indique que si ce programme est appelé par un programme en OWNER, cet attribut se répercute en cascade (*NO par défaut)

Toujours sous Operation Navigator, un clic droit sur Sécurité propose "Configuration".

• Rapport d'informations administrateur : rapport technique destiné à l'administrateur sécurité.
• rapport d'informations utilisateurs : comment présentation les modifications aux utilisateurs.
  

et enfin LES APPLIQUER

ATTENTION, la valeur par défaut "application immédiate", modifie immédiatement vos valeurs système. Prenez plutôt l'option "sauvegarde des modifications"

Vous trouverez un équivalent sur le web à http://www-1.ibm.com/servers/security/planner/ (mais multi-plateformes)

En V5R20, L'option 7 du menu STRSST, permet de fixer certaines options de sécurité :   ........................................................................... : Work with System Security : : System: AS400: : Type choices, press Enter. : : : : Allow system value security changes . . . . . 1 1=Yes, 2=No : : Allow new digital certificates . . . . . . . 1 1=Yes, 2=No : : Allow a service tools user ID with a : : default and expired password to change : : its own password . . . . . . . . . . . . . . 2 1=Yes, 2=No : :.........................................................................: La première option permet d'empêcher la modification de certaines valeurs système (on dit alors qu'elles sont verrouillées) voici la liste des valeurs système devenant non modifiables si vous indiquez 2 (jusqu'à ce que vous indiquez 1)

QALWOBJRST QDSCJOBITV QPWDPOSDIF QALWUSRDMN QINACTMSGQ QPWDRQDDGT QAUDCTL QLMTDEVSSN QPWDRQDDIF QAUDENACN QLMTSECOFR QPWDVLDPGM QAUDFRCLVL QMAXSGNACN QRETSVRSEC QAUDLVL QMAXSIGN QRMTSIGN QAUTOCFG QPWDEXPITV QRMTSRVATR QAUTORMT QPWDLMTAJC QSECURITY QAUTOVRT QPWDLMTCHR QSHRMEMCTL QCRTAUT QPWDLMTREP QUSEADPAUT QCRTOBJAUD QPWDLVL QVFYOBJRST QDEVRCYACN QPWDMAXLEN QPWDMINLEN QDSPSGNINF lors de l'utilisation de la commande CHGSYSVAL, vous recevez CPF18C0 La valeur système &1 ne peut pas être modifiée

Risques liés à la Sécurité

·     dans l'environnement 5250

ligne de commandes sur les menus [suivant le paramètre LMTCPB(  ) sur le profil]

écrans restant "ouverts" [suivant val. systèmes QINACTITV et QINACTMSGQ ]

accès aux applications sensibles (menus non personnalisés)

QUERY/400 :  

accès aux données confidentielles (fichiers ET spools)

écrasement de fichiers (Query avec sortie dans un fichier, puis opération inverse)

 

•    venant du réseau

Rexec et autres commandes entrantes FTP    mêmes problèmes qu'avec QUERY   
FTP toujours, passer des commandes avec "rcmd..."

FTP tiens compte du paramètre LMTCPB, Rmtcmd de Client Access NON !

clients FTP graphiques (DEL possible)


Accès aux données avec HTTP (mauvaise configuration d'Apache),

Attention aux options : +ExecCGI , +Indexes


Authentification HTTP

• liste de validation (notion d'"utilisateur internet")
  • CRTVLDL
  • Passer par l'administration HTTP (sur le port 2001) pour gérer les entrées
    
    
• authentification applicative (par N° d'adhérent, de client, etc...)
  
  • mettre en place HTTPS (config Apache uniquement, sans incidence sur la codification java/php)
    avec l'authentification, sinon les mots de passe circulent en clair
    
    
  • on peut aussi configurer FTPS, pour ceux qui veulent monter un Serveur FTP
    voyez alors les points d'exit pour :
    • configurer une entrée "anonymous"
    • limiter l'utilisation de commandes CL, etc...
      
    • voyez si vous ne devez pas préférer HTTP et les fonctions upload (transfert de fichier depuis le client)
      
• différencier les profils pour différencier les applications java/php si elles se multiplient.
  vérifier alors :
  • que ce profil ne peux pas ouvrir de session 5250, ni passer de commandes
  • voyez l'Audit (*DELETE par exemple) pour ce profil particulièrement.
    

 

Coding Http :

• Injection SQL et XSS
  
  
  • Injection SQL
    
    • - un formulaire demande un N° de client
    • - la requête associée est DELETE FROM CLIENTS WHERE NOCLI = $nocli
    • - un malveillant saisi "1 or 0=0"
    • ==> il n'y a plus rien dans le fichier client !
      
  • XSS
    • On arrive à insérer du Javascript dans la base, qui s'affiche tel que et agit sur les navigateurs qui consultent (par exemple)
      
      
  • Parade : vérifier les données recues !
    
    vérification de la longueur et du type des variables
      -numérique
      -date
      -email, etc...
    désactiver tout ce qui peut ressemble à du html ou du code
    
    
  • crypter les données sensibles (clé, mot de passe, etc..) avec ENCRYPT_RC2 et ENCRYPT_TDES
    
    
  • "Préparer" les requêtes, quand c'est possible (db2_connect sous PHP, par exemple)
    
    les requêtes préparées s'exécutent en deux fois :
    1. Préparation
       le moteur SQL calcul un plan d'accès, optimise et attend des paramètres
       
       Ex (php): $stmt = db2_prepare($db, "select * from clients where nocli = ? or depcli < ?") ;
       
    2. Exécution
       lancement de la requête avec attribution de valeurs pour les paramètres attendus
       
       Ex (php): $rc = db2_execute($stmt, array(2222, 44) ) ;
       
       si les paramètres envoyés ne sont corrects, cela sera refusé par SQL qui attendait 2 informations numériques du fait du PREPARE
       
       
  • Faire les mises à jour par procédures cataloguées
    
    

    Procédures cataloguées une procédures cataloguées peut être écrite en SQL ou externe. Dans le cas d'une procédure externe, il ne s'agit que "d'enregistrer" en tant que procédure un exécutable existant (description destinée à SQL et enregistrée dans SYSPROCS et SYSPARMS de QSYS2) * dans le cas d'un pgm ILE (RPG4 ou CLLE), cette information est aussi stockée dans l'exécutable, se faisant une simple restauration re-enregistre cet exécutable en tant que procédure. * dans le cas d'un pgm GAP3 ou CL simple(CLP), il faut redéclarer la procédure par CREATE PROCEDURE (script SQL lancé par iSeries Navigator ou par RUNSQLSTM)

    
    

cas particulier de PHP et php.ini

• Ne pas afficher les erreurs, mais un message générique ("logger" quand même)
  • display_error dans php.ini à Off
    
• consulter le fichier error_log,généré par apache, régulièrement
  
• les procédures cataloguées ne doivent jamais "planter" (gestion d'erreur rigoureuse, voir Monitor/On-error en RPG4)
  
• Autres paramètres :
  • register_global à Off
    • création automatique des variables de formulaire, c'est vraiment dangereux
  • error_reporting = E_ALL, en dev. uniquement
    • indique les variables utilisées, non déclarées
  • masquer php (ne pas montrer que c'est du php en masquant l'extension) ?
    • si oui, c'est de la configuration Apache (redéfinition des types mime, par exemple)
      
      
• Voyez http://www.php.net/manual/fr/security.php
  

   

•     venant des PC

le cache mot de passe sous windows 95/98 et client access V3R2M0

Operation navigator installé sur un poste utilisateur( sauf utilisation d'Administration d'application)

Netserver (partages trop ouverts, en lecture/écriture, utilisation d'un profil par défaut)

   –› ODBC , MSQUERY (livré avec EXCEL)   et autre produits du genre (Access ....)

il est simple de créer une nouvelle source de données




il est toujours simple d'être en mise à jour sur le fichier


l'ordre SQL est modifiable



ici, nous pouvons supprimer une table (un fichier physique)




---

 

·                     Ce qu'il ne faut surtout pas faire

·                     Profils utilisateurs OS/400


Droits *ALLOBJ (sur les profils ou profils de groupe)

Laisser LMTCPB(*NO) à tout le monde

Pgm en *OWNER avec ligne de commande

Travailler avec QSECOFR (voir l'utilitaire SU sur volubis.fr)

Laisser les mots de passe QSRV etc... au défaut (penser à DST)

 

·                     Droits



Objets Base de Données : droits à *ALL

Netserver : partager QSYS.LIB en lecture/écriture

Serveur WEB : autoriser /* (pass ou bloc <directory> sous Apache)

 

·                     Divers


politique de mot de passe trop laxiste (1 ou 2c autorisés, jamais modifiés)

politique de mot de passe trop sévère (mot de passe à 10c , différent des 32 précédents)

ce qui se termine par des mot de passe écrits en clair sur des pense-bête.


profil banalisé connu de tous pour connexion automatique ("PCS / PCS" par exemple)

---




·                     Quelques suggestions


 

la politique du tout sécuritaire.


 

les pgm sont le point de passage obligé.


Profils utilisateurs de classe *USER
Droits *EXCLUDE sur les objets
Compiler les Pgm en *OWNER

pour la mise en place :   faire un RVKOBJAUT

                     utiliser CRTAUT sur les bibliothèques (droit des objets à venir)

                     CHGCMDDFT sur les commandes de compilation



-Limiter les actions possibles du réseau avec l'administration d'applications (iseries navigator)


-Limiter l'accès QSECOFR aux unités autorisées (DSP01 + qq postes privilégiés)


-Changer le mot de passe DST


-Enlever les mots de passe QSRV etc.. ainsi qu'aux profils de groupe
.

 

une politique plus modérée

 

permettant une restitution des données aux utilisateurs
(Query / odbc et autres produits de restitution)



-droits *USE sur les objets (*exclude sur certaines bibliothèques sensibles [paie, ...] )


-compiler les pgm normalement


-gérer les profils par groupe utilisateurs et donner à certains groupes le droit *change en fonction des besoins applicatifs.


-compiler en *OWNER les pgm CL utilisant certaines commandes (DLTF, CLRPFM, RMVM)


pour la mise en place :   (voyez un exemple de CL)

faire un GRTOBJAUT en REPLACE(*YES)

                     utiliser CRTAUT sur les bibliothèques , probablement par listes d'autorisation.

                     faire une analyse des sources par FNDSTRPDM   
                                (ou PRTCMDUSG, mais non disponible avec le type CLLE, uniquement CLP)



Limiter les actions possibles du réseau avec l'administration d'applications (iseries navigator)

Changer le mot de passe DST (sous DST)

Enlever les mots de passe QSRV, QSRVBAS et aux profils de groupe

 

·                     Cas particuliers

les fichiers IFS



difficiles à gérer, utilisez au maximum la notion d'héritage à la création
(*INDIR sur la commande MKDIR)



pour revenir sur les droits existants, voyez les outils IFS écrits par IBM
(comme CHGOWNALL et CHGAUTALL)


ne respectent pas la notion de programme adoptant (en *Owner)



les fichiers spools.



la règle est la suivante :



par défaut, tout le monde peut accèder et manipuler ses propres spools

avec une OUTQ DSPDTA(*YES), toute personne ayant les droits de lecture sur l'outq peut consulter les spools des autres (ce n'est pas la valeur par défaut)



- le profil utilisateur possède un attribut droits spéciaux pouvant être *JOBCTL et/ou *SPLCTL

- l'OUTQ en possède un paramètre OPRCTL


• avec OPRCTL(*YES), toute personne ayant les droits *JOBCTL peut gérer tous les spools de cette OUTQ.

• avec OPRCTL(*NO), les droits de l'OUTQ sont alors considérés pour déterminer qui peut manipuler les spools de l'OUTQ :


     > AUTCHK(*OWNER) il faut être le propriétaire de l'OUTQ

     > AUTCHK(*DTAAUT) il faut avoir les droits *CHANGE sur l'outq

• ATTENTION le droit spécial *SPLCTL donne le droit de gérer les spools d'une OUTQ quelque soit le paramétrage de cette dernière (c'est un peu comme *ALLOBJ , mais sur les spools), sauf à interdir explicitement la bibliothèque de l'OUTQ (enlever le droit *Execute) .

 

 

Mise en place

• Pour les services réseau, ne démarrer que ce qui est utile !
  
• pour tous les services SNA voyez CHGNETNA , particulièrement :
• JOBACN
• DDMACC

• pour IP soyez vigilant et ne démarrez pas (ou sous contrôle) :
  
  • ROUTED si vous ne vous en servez pas (protocole RIP)
    
  • REXECD (commandes à distance)
    
  • DDM sur IP qui lui aussi permet de passer des commandes à distance
    • Surtout ne démarrer par DDM sur IP avec le paramètre PWDRQD(*NO) sur la commande CHGDDMTCPA
      
  • INETD (le serveur qui démarre ECHO, DAYTIME et autres services assez inutiles sur AS)
    
  • Attention avec NFS qui utilise les RPC (remote procédures call) très prisées des HACKERS si vous êtes sur le NET
    
  • POP : permet l'énumération des profils utilisateurs
    

    « binder » quand c'est possible (mettre le serveur à l'écoute sur la bonne adresse IP et non sur toutes)
    

    ici SMTP, pour Apache, voyez la directive listen

• avec client access express, vous pouvez utiliser l'administration d'application :

La première chose à faire avec Client Access est de définir les droits des différents utilisateurs, option par option :

Pour cela, choisissez (avec un clic droit sur le nom du système) : "Administration d'application"

à la première utilisation ou lors d'un changement de version, vous risquez de voir :

il s'agit de nouvelles options d'op.nav, non enregistrées sur l'AS/400 (elles sont enregistrée en tant que point d'exit [WRKREGINF].)

choisir OK, vous montre les applications non encore enregistrées :

que vous devez ajouter, afin qu'elles apparaissent sur la fenêtre de droite.

Voilà !

Vous définissez, ensuite, fonction de client access (Operation navigator compris) par fonction , qui a le droit de les utiliser.

et cela à deux niveaux,

Premièrement, les droits par défaut :

vous indiquez :

1/ pour operation navigator

• la colonne "Utilisation par défaut" indique un droit (cochée) ou une absence de droit (non cochée) pour un profil standard.
• la colonne "Utilisation de tous les objets" indique un droit ou une absence de droit pour un profil *ALLOBJ.
• "Utilisation personnalisée", indique des droits spécifiques pour un ou plusieurs utilisateurs.

2/ pour les applications client access, les droits par défaut

3/ Il existe aussi une option équivalente pour "Gestion centralisée"
(clic droit sur Gestion centralisée à la place d'un nom de système)

pour indiquer des droits individuels, prenez l'option "utilisateurs et groupe", pour l'utilisateur concerné, choisissez "propriété".

puis fonctions

Indiquez alors quelles sont les fonctions pour lesquelles, cet utilisateur ne respecte pas la règle générale.

Nouveautés V5R20 : administration d'application centralisée.

Vous pouvez maintenant définir sur un as/400 ce que chaque utilisateur peut faire avec les fonctions de Client Access et pour l'ensemble des AS/400 du réseau. Il faut d'abord définir un système en tant que système d'administration (clic droit/propriétés)

Définition d'un système d'administration dans l'image d'installation, paramètre ce système comme système d'administration dans une image que vous auriez créé (il faudra indiquer son emplacement sur l'AS/400).

Un client (PC) a trois manières de découvrir quel est son système d'administration :

• Vous en avez défini un dans l'image qui a été utilisée lors de l'installation (pas d'installation depuis CD)
• Vous allez dans les propriétés de Client Access (panneau de configuration) et vous indiquez le système d'administration
  
• Le premier système auquel votre PC ce connecte ET qui est système d'administration devient le système de référence.
  
  ATTENTION, si le profil de connexion n'est pas le profil Windows en cours, l'utilisateur devra se signer dès le démarrage du PC
  

Ensuite vous pourrez définir des règles d'utilisations, générales ou par profil.
(ce que l'on pouvait faire avec les stratégies Microsoft, mais de manière plus simple ici)

• Paramètres de gestion locale indique des règles liées à un système (faire du FTP ou utiliser ODBC sur CET AS/400)
• Paramètres de gestion centralisée indique des droits d'utilisation de la fonction PC (quelque soit le serveur)

Regardons :

la première fois, il faut enregistrer les applications sur le système

vous pouvez maintenant voir ce qui peut être administré :

l'utilisateur a-t-il le doit de lancer une session 5250, d'en configurer une nouvelle ?

etc...

cela peut aller jusqu'à l'utilisation de certaines commandes ou contrôles ACTIVE X..

l'option Paramètres avancés permet de forcer certains paramètres de configuration d'un utilisateur (utilisez Ajout)

• les options de connexion

• gestion du mot de passe

• option de langage

• maintenance du produit (vérification de PTF)

Si vous souhaitez aller plus loin

• voyez les points d'exit

 Registration Facility 

 Nouvelle fonction de l'OS permettant d'associer à une fonction logiciel   un pgm de contrôle entreprise chargé de valider une action.

 DEUX NOTIONS :

- Exit POINT : association d'un point d'appel de programme à une action logiciel.
                   ce point d'appel est nommé sur 20 caractères.

      Exemple : QIBM_QPWSF_File_Serveur la fonction serveur de fichier                   de Client/Access est reconnue, il est possible de lui associer un pgm de validation.

- Exit program : programme associé à un point d'exit. (l'écriture est à votre charge)

           il reçoit deux paramètres
              1/ 1 alpha renvoyé par le programme : '0' = refus, '1' = validation               2/ données reçues (description suivant le format)

    - Commandes : WRKREGINF  (ADDEXITPGM / RMVEXITPGM)

• Répliquez les mots de passe entre Iseries et Windows 2000/NT

1. installez sur un serveur Client access et demandez le démarrage automatique de la commande à distante entrante
2. indiquez à la valeur système QPWDVLDPGM *REGFAC
3. associez au point d'exit QIBM_QSY_VLD_PASSWRD, le programme suivant :

1/ Paramétrage IP

• voyez s'il faut une deuxième carte, deuxième interface (adresse IP)
• voir les routes
• CHGTCPA
  • Enlever IP Forwarding (fonction de passerelle)
  • enlever IP Source Routing (réponse aux Loose Source and Record Route[LSRR], utilisé par Traceroute)

permettant de définir (adresse IP par adresse IP) qui a le droit d'utiliser certains services IP (le test se fait sur le n° de port)

ATTENTION

TOUT CE QUI n'est pas EXPLICITEMENT autorisé est INTERDIT (automatiquement)

Le filtrage IP lit vos règles dans L'ORDRE DE SAISIE.

(si vous êtes trompé, passez à la console RMVTCPTBL *IPFTR qui enlève tous les filtres)

 VOUS DEVEZ prévoir les services autorisés en entrée/sortie.

      + prenons le WEB, naturellement tout le monde pense à autoriser         en sortie, les  ports source > 1023 (client) vers 80 (serveur www).

        mais il faut aussi prévoir en entrée (les réponses) de 80 vers > à 1023.

 pour cela on peut tester sur TCP, s'il s'agit de la première trame        (demande de connexion), ou d'une autre trame (dialogue déja établit)

Par exemple, pour un serveur web, autorisez ports 80 et 443

# ----------------------------------------------------------------------
# Instructions permettant le service HTTP entrant HTTP(80) et HTTPS(443)
# ----------------------------------------------------------------------
INCLUDE FILE = /QIBM/UserData/OS400/TCPIP/PacketRules/Services.i3p
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 1.2.3.4 DSTADDR = * SERVICE = HTTP_80_FS JRN = OFF
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = 1.2.3.4 SERVICE = HTTP_80_FC JRN = OFF
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 1.2.3.4 DSTADDR = * SERVICE = HTTP_443_FS JRN = OFF
FILTER SET HTTP_INBOUND ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = 1.2.3.4 SERVICE = HTTP_443_FC JRN = OFF
FILTER_INTERFACE LINE = ETHERNET SET = HTTP_INBOUND
# ---------------------------------------------------------------------

Puis activez, sur la bonne interface

Retrait : en cas de problème, utiliser la commande RMVTCPTBL

Journaliser les rejets ? Ajouter :

FILTER SET journal ACTION = DENY DIRECTION = INBOUND SRCADDR = * DSTADDR = 1.2.3.4 PROTOCOL = TCP DSTPORT = * SRCPORT = * JRN = FULL
FILTER_INTERFACE LINE = ETHERNET SET = HTTP_INBOUND, journal

• ET ENFIN, , à défaut d'empêcher peut-être souhaitez vous savoir qui a fait quoi ?

Audit sécurité

Le système propose depuis la V2 une fonction d'audit (via un journal) permettant de garder trace de certaines actions utilisateur. Depuis la V2R30 il est possible de paramétrer cette fonction ... . par objet définir les actions entreprises sur cet objet à tracer *NONE aucune trace *CHANGE les modifications *ALL toute utilisation *USRPRF suivant le profil utilisant cet objet <--------- . par profil ! ! définir le niveau de trace pour les objets ayant *USRPRF <------ Fin définir les actions système à tracer *NONE = suivant QAUDLVL *xxxx = action à tracer




valeur système QAUDCTL ( *NONE = aucune action de trace) et/ou trace/objet ! trace/actions du profil *OBJAUD ! *AUDLVL ! ! ! ! ! ------------------------------ ! ! ! ! ... CHGOBJAUD OBJ() ! ! ! ! ! ! OBJAUD(*NONE) =rien ! ! ! (*CHANGE)=modifs! CHGUSRAUD USRPRF() ! QAUDLVL (*ALL) =tout ! ! (sysval) (*USRPRF)= <----!--> OBJAUD(*NONE) ! ! (*CHANGE) ! actions à tracer ! (*ALL) ! pour tous les *USRPRF = suivant indications ! ! profils du système liées au profil. ! !--AUDLVL(*xxxx) ! ! ! ! ^ Fin ! -> actions à tracer ! ! ! (en plus de QAUDLVL)-!-----! ! pour ce profil !




Pour les objets : La valeur par défaut est *NONE Vous pouvez forcer une valeur pour les objets sensibles (certaines commandes système par exemple) ou bien indiquer que cela est fonction du profil DANS CE CAS UNIQUEMENT on tiendra compte du paramètre OBJAUD de la commande CHGUSRAUD. Pour les actions utilisateur : La valeur système prime avant toutes choses. (dft = *NONE) Les actions à auditer indiquées au niveau de l'utilisateur sont considérées en plus. SI QAUDLVL = *CREATE et profil P1 = *DELETE, le système audit toutes les créations ET pour P1 les créations et les suppressions.




.............................................................................. : Audit des actions utilisateur (AUDLVL) - Aide : : : : : : *NONE : : Aucun niveau d'audit n'est indiqué. Le niveau d'audit pour cet : : utilisateur provient de la valeur système QAUDLVL. : : : : *CMD : : Les chaînes de commande CL, les commandes de contrôle opérateur et : : les procédures de l'environnement 36 sont consignées pour cet : : utilisateur. : : : : *CREATE : : Des postes d'audit sont envoyés lorsque des objets sont créés par : : cet utilisateur. : : : : *DELETE : : Des postes d'audit sont envoyés lorsque des objets sont supprimés : : par cet utilisateur. : : : : :




: : : *JOBDTA : : Audit de toutes les données de démarrage et d'arrêt de travail pour : : cet utilisateur. : : : : *OBJMGT : : Audit des modifications de gestion des objets effectuées par cet : : utilisateur (un déplacement ou un changement de nom par exemple). : : : : *OFCSRV : : Audit des modifications des services bureautiques effectuées par cet : : utilisateur (sur le répertoire du système ou l'utilisation du : : courrier OfficeVision/400 par exemple). : : : : *PGMADP : : Audit des droits pour cet utilisateur obtenus via une adoption de : : programme. : : : : *SAVRST : : Audit des actions de sauvegarde et de restauration effectuées par : : cet utilisateur. : : :




: : : : : *SECURITY : : Audit des modifications de sécurité effectuées par cet utilisateur. : : : : *SERVICE : : Audit de l'utilisation des outils de maintenance du système (SST) : : par cet utilisateur. : : : : *SPLFDTA : : Audit des opérations sur les fichiers spoule effectuées par cet : : utilisateur. : : : : *SYSMGT : : Audit de l'utilisation des fonctions de gestion du système par cet : : utilisateur. : .............................................................................. Mise en place 1/ création d'un récepteur de journal 2/ création d'un journal QAUDJRN dans QSYS 3/ renseignement des valeurs système QAUDCTL et QAUDLVL 4/ CHGOBJAUD et CHGUSRAUD , puis DSPJRN pour analyse ....




Créer un récepteur de journal (CRTJRNRCV) Indiquez vos choix, puis appuyez sur ENTREE. Récepteur de journal . . . . . . AUDITRCV Nom Bibliothèque . . . . . . . . . *CURLIB Nom, *CURLIB ID pool mémoire secondaire . . . *LIBASP 1-16, *LIBASP Seuil d'alerte du récepteur . . *NONE 1-1919999, *NONE Texte 'descriptif' . . . . . . . Récepteur pour journal d'audit                 Fin F3=Exit F4=Invite F5=Réafficher F10=Autres paramètres F12=Annuler F13=Mode d'emploi invite F24=Autres touches




Créer un journal (CRTJRN) Indiquez vos choix, puis appuyez sur ENTREE. Journal . . . . . . . . . . . . QAUDJRN Nom Bibliothèque . . . . . . . . . QSYS Nom, *CURLIB Récepteur de journal . . . . . . AUDITRCV Nom Bibliothèque . . . . . . . . . *LIBL Nom, *LIBL, *CURLIB *LIBL ID pool mémoire secondaire . . . *LIBASP 1-16, *LIBASP File att msg seuil d'alerte . . QSYSOPR Nom Bibliothèque . . . . . . . . . *LIBL Nom, *LIBL, *CURLIB Texte 'descriptif' . . . . . . . journal d'audit       Fin F3=Exit F4=Invite F5=Réafficher F10=Autres paramètres F12=Annuler F13=Mode d'emploi invite F24=Autres touches




Gestion des valeurs système Système: S4409790 Afficher à partir de . . Premiers caractères valeur système Sous-ensemble par type *SEC F4 pour liste Indiquez vos options, puis appuyez sur ENTREE. 2=Modifier 5=Afficher Valeur Option système Type Description QALWUSRDMN *SEC Admission objets domaine utilisateur dans biblio 5 QAUDCTL *SEC Contrôle d'audit QAUDENDACN *SEC Action d'arrêt d'audit QAUDFRCLVL *SEC Forçage des données d'audit QAUDLVL *SEC Niveau d'audit de sécurité QCRTAUT *SEC Droits publics par défaut pour objets créés QCRTOBJAUD *SEC Audit pour objets créés A suivre... Commande ===> F3=Exit F4=Invite F5=Réafficher F9=Rappel F11=Noms seuls F12=Annuler




Valeur système Valeur système . . . . : QAUDCTL Description . . . . . : Contrôle d'audit   Contrôle audit *OBJAUD (objet par objet) *AUDLVL (profil par profil)         Fin Appuyez sur ENTREE pour continuer. F3=Exit F12=Annuler




Gestion des valeurs système Système: S4409790 Afficher à partir de . . Premiers caractères valeur système Sous-ensemble par type *SEC F4 pour liste Indiquez vos options, puis appuyez sur ENTREE. 2=Modifier 5=Afficher Valeur Option système Type Description QALWUSRDMN *SEC Admission objets domaine utilisateur dans biblio QAUDCTL *SEC Contrôle d'audit QAUDENDACN *SEC Action d'arrêt d'audit QAUDFRCLVL *SEC Forçage des données d'audit 5 QAUDLVL *SEC Niveau d'audit de sécurité QCRTAUT *SEC Droits publics par défaut pour objets créés QCRTOBJAUD *SEC Audit pour objets créés A suivre... Commande ===> F3=Exit F4=Invite F5=Réafficher F9=Rappel F11=Noms seuls F12=Annuler




Valeur système Valeur système . . . . : QAUDLVL Description . . . . . : Niveau d'audit de sécurité   Options Options audit audit *AUTFAIL *SERVICE *CREATE *SPLFDTA *DELETE *SYSMGT *JOBDTA *OBJMGT *OFCSRV *PGMADP *PGMFAIL *PRTDTA *SAVRST *SECURITY Fin Appuyez sur ENTREE pour continuer. F3=Exit F12=Annuler




Gestion des valeurs système Système: S4409790 Afficher à partir de . . Premiers caractères valeur système Sous-ensemble par type *SEC F4 pour liste Indiquez vos options, puis appuyez sur ENTREE. 2=Modifier 5=Afficher Valeur Option système Type Description QALWUSRDMN *SEC Admission objets domaine utilisateur dans biblio QAUDCTL *SEC Contrôle d'audit QAUDENDACN *SEC Action d'arrêt d'audit QAUDFRCLVL *SEC Forçage des données d'audit QAUDLVL *SEC Niveau d'audit de sécurité QCRTAUT *SEC Droits publics par défaut pour objets créés 5 QCRTOBJAUD *SEC Audit pour objets créés A suivre... Commande ===> F3=Exit F4=Invite F5=Réafficher F9=Rappel F11=Noms seuls F12=Annuler




Valeur système Valeur système . . . . : QCRTOBJAUD Description . . . . . : Audit pour objets créés   Option d'audit . . . . . . . : *NONE *NONE *USRPRF *CHANGE *ALL                 Appuyez sur ENTREE pour continuer. F3=Exit F12=Annuler




Modifier l'audit d'objet (CHGOBJAUD) Indiquez vos choix, puis appuyez sur ENTREE. Objet . . . . . . . . . . . . . *all Nom, générique*, *ALL Bibliothèque . . . . . . . . . af400 Nom, *LIBL, *USRLIBL... Type d'objet . . . . . . . . . . *all *ALL, *ALRTBL, *AUTHLR... Valeur d'audit d'objet . . . . . *usrprf *NONE, *USRPRF, *CHANGE, *ALL                   Fin F3=Exit F4=Invite F5=Réafficher F12=Annuler F13=Mode d'emploi invite F24=Autres touches




Modifier audit d'utilisateur (CHGUSRAUD) Indiquez vos choix, puis appuyez sur ENTREE. Profil utilisateur . . . . . . . TOTO Nom + si autres valeurs Valeur d'audit d'objet . . . . . <<< *SAME, *NONE, *CHANGE, *ALL Audit des actions utilisateur . <<< *SAME, *NONE, *CMD... + si autres valeurs                 Fin F3=Exit F4=Invite F5=Réafficher F12=Annuler F13=Mode d'emploi invite F24=Autres touches




Pour lire le contenu du journal, vous devez utiliser la commande DSPJRN, le type de poste, indique l'événement :

• AF violation de sécurité
• CA modification des droits
• CD Chaînes de commande.
• CO Créations d'objet.
• CP Modifications de profil utilisateur.
• DO Suppressions d'objets.
• JS Actions sur les travaux.
• ND Violations des filtres de recherche de répertoire.
• NE Violations des filtres d'extrémité.
• OR Restauration d'objets.
• OW Modifications de propriété d'objet.
• PG Modification du groupe principal d'un objet.
• PO Sorties imprimées.
• PW Mots de passe incorrects.
• SF Actions sur les fichiers spoule.
• SV Modifications de valeurs système.
• VO Actions de la liste de validation.
• YR Lecture d'objets de la bibliothèque de documents.
• YC Modifications d'objets de la bibliothèque de documents.
• ZR Lecture d'objets.
• ZC Modifications d'objets.

Pour une analyse plus complète, placez le résultat de DSPJRN dans un fichier base de données ou utilisez DSPAUDJRNE

Autre Surveillance

• Moniteurs dans gestion centralisée
  • sur la CPU utilisée par le sous système Zend
    • Moniteurs/Travail
      
      Indiquez les coordonnées des travaux à surveiller (par exemple tout le sous système Zend)
      
      
      indiquez ce qui constitue un évenement anormal (UC consommée à plus de xx %)
      -> associez une commande OS/400 à lancer (envoi de message, de mail, etc...)
      
  • sur l'espace disque
    • utiliser alors Moniteurs système et surveillez Espace disque
      
      vous pourrez définir un seuil d'occupation maxi, et lui associer une commande s'il est dépassé.
      
      
• V5R40 : détection d'intrusions
  
  On peut détecter
  • les problèmes de fragments IP
      datagrames trop gros ou mal numérotés
  • les paquets malformés
  • SYN floods (débordements)
      de multiples connections sont initialisées avec un tiers usurpé et jamais achevées
  • redirections ICMP
  • ECHO perpétuel
  • utilisation de LSRR (voir en début de cours)
  • le scannage de ports
    
    
  • Mise en place
    • Mettre en place QOS
    • Activer l'audit (QAUDCTL)
    • Mettre *ATNEVT dans QAUDLVL ou QAUDLVL2
    • Copier /QIBM/PRODATA/OS400/QOS/IDSPOLICY.CONF dans /QIBM/USERDATA/OS400/QOS/ETC et éditez le.
    • démarrer QOS par STRTCPSVR *QOS
      
      
  • analyse des résultats : CPYAUDJRNE TYPE(IM)
    

Ce tutoriel provient du site VOLUBIS