AS400 SYSTEM Audit Experience 审计经验分享
下面整理了下我的心得分享下,审计对IT人员进一步加强系统管理,完善系统有帮助。J01中
DSPUSRPRF 关注Use profile
User Profile
Name (Text)
Status
Previous Sign-on Date 用户长期未登录要DISABLE
要有流程并定期和用户确认,删除不使用账户
Password Change Date密码要定期用户修改,有系统值定义*SYSVAL用户多少日期提示修改密码
Password *NONE 可以用命令GO SECTOOLS 选择one 列出所有密码使用默认和用户名相同的不安全账户清单,系统值SYSVAL中QPSW开头定义密码规则
Group Profile
Group Authority (GRPAUT) Group Profile Indicator (Yes / No)
Password Expiration Interval (PWDEXPITV)
密码过期,除操作系统,DR系统账户以外其他应用账户最多365天要修改密码
Initial Menu (INLMNL)
Initial Program (INLPGM)
Limited CASability (LMTCPB)
检查普通AS400用户不能使用命令行
Special Authority (SPCAUT)
特别关注可以访问所有数据的*ALLOBJ 用户越少越好,普通用户是否超过权限,*SECADM 用户可以修改用户密码
J01DSPAUTUSR SEQ(*GRPPRF)会按GROUP列出所有用户清单
DSPUSRPRF USRPRF(GHZT) TYPE(*GRPMBR) 可以查询指定一个GROUP中所有该GROUP下对应的USER PROFILE
J02system value系统值和很多相关 命令System Security Attributes (PRTSYSSECA)会列出系统安全相关系统值和IBM推荐值提供参考(仅参考不一定适用),更具体可以参考IBM AS400对应OS 版本比如V6R1的 Information Center中 Managing security下内容
Note: The Current Value column on the report shows the current setting on your system. Compare this value to the recommended value to see where you may have security exposures.
Sample System Security Attributes Report
System Security Attributes
System Value
Name Current Value Recommended Value
QALWOBJRST *NONE *NONE
QALWUSRDMN *ALL QTEMP
QATNPGM QEZMAIN QSYS *NONE
QAUDENDACN *NOTIFY *NOTIFY
QAUDFRCLVL *SYS *SYS
QAUDCTL *AUDLVL *AUDLVL *OBJAUD
QAUDLVL *SECURITY *AUTFAIL
J03: password control from the system value. WRKSYSVAL QPWD* QPWD开通值相关 后续有详细讲解
J04: SST DST ID & Password 公司要求账户和密码平时不向Operationer人员公开,特别是QSECOFR账户,只有IT经理和AS400 administrator知道,而且有纸质记录密码和账户变更情况,避免产生无记录的账户密码变更,在发生灾难情况之前全系统备份恢复系统需要做全系统备份时候的账户和密码,特别是QSECOFR才能恢复系统
J05:
1)Examine the library authority:DSPOBJAUT OBJ(QSYS/library name) OBJTYPE (*LIB).
一般LIB与对应Athority list绑定,或者LIB关联USER group, 关注*PUBLIC用户权限是否取消访问权限为*EXCLUDE
DSPAUTLOBJ 可以查看指定authority list下关联的所有OBJ
2)Examine the obj authority in produion:
单个的obj的命令可以用DSPOBJAUT OBJ (name of library/name of file) OBJTYPE (*FILE) and DSPOBJAUT OBJ (name of library/name of program) OBJTYPE (*PGM) 按对象类型查询
查看整个LIB下所有OBJ authority ,推荐用GO SECTOOLS工具(或者GO SECBATCH菜单,具体参考Information Center中 Managing security下内容,选择19. Private authority 或者直接运行PRTPVTAUT命令输入下面例子查HZTDB lib下所有*FILE的单个OBJ authority 情况,个人认为PRTPVTAUT比information center中推进的PRTPUBAUT要好用,还有个问题是PRTPVTAUT等命令一次不能同时运行多个JOB,IBM文档里说该命令使用到QSYS下一个FILE
Print Private Authorities (PRTPVTAUT)
Type choices, press Enter.
Object type. . . . . . . . . . > *FILE *ALRTBL, *AUTL, *BLKSF...
Changed report only. . . . . . *NO *NO, *YES
Library. . . . . . . . . . . . > HZTDB Name
Authority type . . . . . . . . . *OBJECT *OBJECT, *FIELD, *ALL
Folder . . . . . . . . . . . . .
Print AUTL objects . . . . . . . *NO *NO, *YES
Directory. . . . . . . . . . .
Search subdirectory. . . . . . *NO *NO, *YES
结果如下
Private Authorities (Full Report)
5761SS1 V6R1M0080215
Primary Auth -----
Object Owner Group List User AuthorityOpr
XQ03 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
WUJIN *ALL X
XQ04 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
WUJIN *ALL X
XQ04L1 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
WUJIN *ALL X
XQ05 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
WUJIN *ALL X
XQ05L1 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
WUJIN *ALL X
XQ05TMP1 YAOSB1 *NONE AHZTDB *PUBLIC *EXCLUDE
YAOSB1 *ALL X
XQ06 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
WUJIN *ALL X
XQ06L1 WUJIN *NONE AHZTDB *PUBLIC *EXCLUDE
J06 Auditing and Logging 可以使用DSPAUDJRNE 命令比较方便的方法查询系统审计日志,比直接DSPJRN方便
You can use the DSPAUDJRNE command to list the user profiles that are newly disabled.Remember: The system writes audit entries only if the QAUDCTL value specifies *AUDLVL and the QAUDLVL system value specifies *SECURITY.
DSPAUDJRNE 查看显示结果如下:USER是那个用户操作的修改和修改内容
05/26/1016:27:01
ENTRY USER USRPRF USRPRFPASSWORD PASSWORD
TYPEPROFILE NAME COMMAND CHANGEDEXPIRED
TIMESTAMP
CPA E2TWUSER TW0201 CHG Y N
2010-05-23-21.12.54.909088
CPA E2TWUSER TW0201 CHG
2010-05-23-21.12.54.923888
CPA E2TWUSER TW0201 CHG
2010-05-23-21.12.54.950816
CPA E2TWUSER TW0301 CHG Y N
2010-05-23-21.12.57.909904
CPA E2TWUSER TW0301 CHG
下面是11. Display security auditing 结果
Current Security Auditing Values
Security Auditing Journal Values
Security journal QAUDJRN exists . . . . . : YES
Journal receiver attached to QAUDJRN. . : QEAA9D6116
Library . . . . . . . . . . . . . . . . : QSYS
Security Auditing System Values
Current QAUDCTL system value. . . . . . : *NOQTEMP*AUDLVL *OBJAUD
Current QAUDLVL system value. . . . . . : *DELETE *SAVRST *SECURITY
*SERVICE*SYSMGT *CREATE
*AUTFAIL*OBJMGT *JOBDTA
*NETCMN *PGMADP *PRTDTA
*SPLFDTA*SECCFG
More...
Press Enter to continue.
F3=Exit F12=Cancel
其他1:
System Values
5761SS1 V6R1M0080215 05/26/101
Current Shipped
Name value value Description
QPWDCHGBLK *NONE *NONE Block password change
QPWDEXPITV>40 *NOMAX Password expiration interval
QPWDEXPWRN 7 7 Password expiration warning
QPWDLMTAJC>1 0 Limit adjacent digits in password
QPWDLMTCHR *NONE *NONE Limit characters in password
QPWDLMTREP>2 0 Limit repeating characters in password
QPWDLVL >2 0 Password level
QPWDMAXLEN>10 8 Maximum password length
QPWDMINLEN 6 6 Minimum password length
QPWDPOSDIF 0 0 Limit password character positions
QPWDRQDDGT>1 0 Require digit in password
QPWDRQDDIF>8 0 Duplicate password control
QPWDRULES *PWDSYSVAL *PWDSYSVAL Password rules
QPWDVLDPGM *NONE *NONE Password validation program
上面系统值实现如下密码规则
账户密码设定规则
1、密码最小长度是6
2、密码最大长度是10
3、密码中至少包含一位数字
例如: 密码设置 testing 无效,设置成test1a 有效
4、密码中不能使用连续重复的字符
例如: 密码设置 test22无效,设置成test12 有效
5、新密码不能使用前次密码在同一位置上的字符
例如: 前次密码设置 test12
新密码设置成 good32 无效
新密码设置成 good23 有效
6、用户输入错误密码达到5次,帐户将被锁住。
7、新密码设置不能与前24次的密码相同。
8、密码有效使用期是40天
其他2: 账户超过设置日期比如90账户没有登录系统自动disable账户,最先是通过ANZPRFACT命令配置的,安全期间也可以直接通过JOBSCDE配置,配置需要操作用户有*ALLOBJ, *SECADM, and *JOBCTL特别权限,jobscde参数如下
Job: QSECIDL1 Entry number: 000771 Status: SCD
Next submit date . . . . . . . : 05/27/10
Command. . . . . . . . . . . : QSYS/CALL PGM(QSYS/QSECIDL2) PARM('090')
注意要通过Change Active Profile List (CHGACTPRFL)命令将某些账户加入其中,这样系统会认为这些帐户是始终活动的,我们是把所有Q开头账户,和DR 灾备系统的账户加入清单,避免账户长期不使用被DISABLE影响应用。
其他3:AS400 ODBC,OLEDB, Navigator,EXCEL上下传功能控制和FTP权限控制,在Navigator中检查控制,具体参考我之前文档 沙发!
真是太感谢啦!
多多交流! 请教个问题 我用QSECOFR登录后 不能访问其它库 怎么回事 比如WRKOBJPDM USRTEMP 也报库不存在可是QSECOFR有*ALLOBJ 的权限啊
页:
[1]