忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 23906 | 回复: 2

AS400 SYSTEM Audit Experience 审计经验分享 [复制链接]

论坛徽章:
1
操作系统版块每日发帖之星
日期:2015-08-03 06:20:00
发表于 2010-05-26 21:31 |显示全部楼层
下面整理了下我的心得分享下,审计对IT人员进一步加强系统管理,完善系统有帮助。

J01中
DSPUSRPRF 关注Use profile
        User Profile
        Name (Text)
        Status
        Previous Sign-on Date 用户长期未登录要DISABLE
要有流程并定期和用户确认,删除不使用账户
        Password Change Date密码要定期用户修改,有系统值定义*SYSVAL用户多少日期提示修改密码
        Password *NONE    可以用命令GO SECTOOLS 选择one 列出所有密码使用默认和用户名相同的不安全账户清单,系统值SYSVAL中QPSW开头定义密码规则
        Group Profile
        Group Authority (GRPAUT)                Group Profile Indicator (Yes / No)
        Password Expiration Interval (PWDEXPITV)
密码过期,除操作系统,DR系统账户以外其他应用账户最多365天要修改密码
        Initial Menu (INLMNL)
        Initial Program (INLPGM)
        Limited CASability (LMTCPB)
检查普通AS400用户不能使用命令行
        Special Authority (SPCAUT)
特别关注可以访问所有数据的*ALLOBJ 用户越少越好,普通用户是否超过权限,*SECADM 用户可以修改用户密码

J01  DSPAUTUSR SEQ(*GRPPRF)会按GROUP列出所有用户清单
DSPUSRPRF USRPRF(GHZT) TYPE(*GRPMBR)    可以查询指定一个GROUP中所有该GROUP下对应的USER PROFILE
J02  system value  系统值和很多相关 命令System Security Attributes (PRTSYSSECA)会列出系统安全相关系统值和IBM推荐值提供参考(仅参考不一定适用),更具体可以参考IBM AS400对应OS 版本比如V6R1的 Information Center中 Managing security下内容
Note: The Current Value column on the report shows the current setting on your system. Compare this value to the recommended value to see where you may have security exposures.
Sample System Security Attributes Report
System Security Attributes

System Value
Name                                Current Value                Recommended Value
QALWOBJRST        *NONE                                         *NONE
QALWUSRDMN        *ALL                                                QTEMP
QATNPGM                        QEZMAIN QSYS                        *NONE
QAUDENDACN        *NOTIFY                                        *NOTIFY
QAUDFRCLVL        *SYS                                                *SYS
QAUDCTL                        *AUDLVL                                        *AUDLVL                *OBJAUD
QAUDLVL                        *SECURITY                                *AUTFAIL

J03: password control from the system value. WRKSYSVAL QPWD*   QPWD开通值相关 后续有详细讲解

J04: SST DST ID & Password 公司要求账户和密码平时不向Operationer人员公开,特别是QSECOFR账户,只有IT经理和AS400 administrator知道,而且有纸质记录密码和账户变更情况,避免产生无记录的账户密码变更,在发生灾难情况之前全系统备份恢复系统需要做全系统备份时候的账户和密码,特别是QSECOFR才能恢复系统

J05:
1)Examine the library authoritySPOBJAUT OBJ(QSYS/library name) OBJTYPE (*LIB).
一般LIB与对应Athority list绑定,或者LIB关联USER group, 关注*PUBLIC用户权限是否取消访问权限为*EXCLUDE
DSPAUTLOBJ 可以查看指定authority list下关联的所有OBJ
2)Examine the obj authority in produion:
单个的obj的命令可以用DSPOBJAUT OBJ (name of library/name of file) OBJTYPE (*FILE) and DSPOBJAUT OBJ (name of library/name of program) OBJTYPE (*PGM) 按对象类型查询
查看整个LIB下所有OBJ authority ,推荐用GO SECTOOLS工具(或者GO SECBATCH菜单,具体参考Information Center中 Managing security下内容,选择19. Private authority 或者直接运行PRTPVTAUT  命令输入下面例子查HZTDB lib下所有*FILE的单个OBJ authority 情况,个人认为PRTPVTAUT比information center中推进的PRTPUBAUT要好用,还有个问题是PRTPVTAUT等命令一次不能同时运行多个JOB,IBM文档里说该命令使用到QSYS下一个FILE
                      Print Private Authorities (PRTPVTAUT)                     
                                                                                
Type choices, press Enter.                                                     
                                                                                
Object type  . . . . . . . . . . > *FILE         *ALRTBL, *AUTL, *BLKSF...     
Changed report only  . . . . . .   *NO           *NO, *YES                     
Library  . . . . . . . . . . . . > HZTDB         Name                          
Authority type . . . . . . . . .   *OBJECT       *OBJECT, *FIELD, *ALL         
Folder . . . . . . . . . . . . .                                               
                                                                                
Print AUTL objects . . . . . . .   *NO           *NO, *YES                     
Directory  . . . . . . . . . . .                                               
                                                                                
Search subdirectory  . . . . . .   *NO           *NO, *YES                                    
                                                                                
结果如下   
                                         Private Authorities (Full Report)   
5761SS1 V6R1M0  080215                                                      
                         Primary     Auth                               -----
Object      Owner       Group       List        User        Authority  Opr  
XQ03        WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 WUJIN       *ALL        X   
XQ04        WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 WUJIN       *ALL        X   
XQ04L1      WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 WUJIN       *ALL        X   
XQ05        WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 WUJIN       *ALL        X   
XQ05L1      WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 WUJIN       *ALL        X   
XQ05TMP1    YAOSB1      *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 YAOSB1      *ALL        X   
XQ06        WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        
                                                 WUJIN       *ALL        X   
XQ06L1      WUJIN       *NONE       AHZTDB      *PUBLIC     *EXCLUDE        

                                                                              
J06   Auditing and Logging   可以使用DSPAUDJRNE 命令比较方便的方法查询系统审计日志,比直接DSPJRN方便
You can use the DSPAUDJRNE command to list the user profiles that are newly disabled.Remember: The system writes audit entries only if the QAUDCTL value specifies *AUDLVL and the QAUDLVL system value specifies *SECURITY.
DSPAUDJRNE 查看显示结果如下:USER是那个用户操作的修改和修改内容

  05/26/10  16:27:01                                      
    ENTRY USER       USRPRF     USRPRF  PASSWORD PASSWORD
    TYPE  PROFILE    NAME       COMMAND CHANGED  EXPIRED  
  TIMESTAMP                                               
  CP  A   E2TWUSER   TW0201       CHG      Y        N     
  2010-05-23-21.12.54.909088                              
  CP  A   E2TWUSER   TW0201       CHG                     
  2010-05-23-21.12.54.923888                              
  CP  A   E2TWUSER   TW0201       CHG                     
  2010-05-23-21.12.54.950816                              
  CP  A   E2TWUSER   TW0301       CHG      Y        N     
  2010-05-23-21.12.57.909904                              
  CP  A   E2TWUSER   TW0301       CHG                     
下面是11. Display security auditing    结果
                        Current Security Auditing Values                        
                                                                                
Security Auditing Journal Values                                               
                                                                                
   Security journal QAUDJRN exists . . . . . :   YES                           
                                                                                
   Journal receiver attached to QAUDJRN  . . :   QEAA9D6116                     
     Library . . . . . . . . . . . . . . . . :     QSYS                        
                                                                                
Security Auditing System Values                                                
                                                                                
   Current QAUDCTL system value  . . . . . . :   *NOQTEMP  *AUDLVL   *OBJAUD   
                                                                                
   Current QAUDLVL system value  . . . . . . :   *DELETE   *SAVRST   *SECURITY  
                                                 *SERVICE  *SYSMGT   *CREATE   
                                                 *AUTFAIL  *OBJMGT   *JOBDTA   
                                                 *NETCMN   *PGMADP   *PRTDTA   
                                                 *SPLFDTA  *SECCFG              
                                                                                
                                                                        More...
Press Enter to continue.                                                      
                                                                                
F3=Exit   F12=Cancel                                                           
                                                                                


其他1:

                                                   System Values                                                      
5761SS1 V6R1M0  080215                                                                              05/26/10  1
                Current                         Shipped                                                               
Name           value                           value                           Description                           
QPWDCHGBLK     *NONE                           *NONE                           Block password change                  
QPWDEXPITV  >  40                              *NOMAX                          Password expiration interval           
QPWDEXPWRN     7                               7                               Password expiration warning            
QPWDLMTAJC  >  1                               0                               Limit adjacent digits in password      
QPWDLMTCHR     *NONE                           *NONE                           Limit characters in password           
QPWDLMTREP  >  2                               0                               Limit repeating characters in password
QPWDLVL     >  2                               0                               Password level                        
QPWDMAXLEN  >  10                              8                               Maximum password length               
QPWDMINLEN     6                               6                               Minimum password length               
QPWDPOSDIF     0                               0                               Limit password character positions     
QPWDRQDDGT  >  1                               0                               Require digit in password              
QPWDRQDDIF  >  8                               0                               Duplicate password control            
QPWDRULES      *PWDSYSVAL                      *PWDSYSVAL                      Password rules                        
QPWDVLDPGM     *NONE                           *NONE                           Password validation program            

上面系统值实现如下密码规则
账户密码设定规则
1、密码最小长度是6
2、密码最大长度是10
3、密码中至少包含一位数字
例如: 密码设置 testing 无效,设置成test1a 有效
4、密码中不能使用连续重复的字符
      例如: 密码设置 test22  无效,设置成test12 有效
5、新密码不能使用前次密码在同一位置上的字符
      例如: 前次密码设置 test12  
新密码设置成 good32 无效
新密码设置成 good23 有效
6、用户输入错误密码达到5次,帐户将被锁住。
7、新密码设置不能与前24次的密码相同。
8、密码有效使用期是40天

其他2: 账户超过设置日期比如90账户没有登录系统自动disable账户,最先是通过ANZPRFACT命令配置的,安全期间也可以直接通过JOBSCDE配置,配置需要操作用户有*ALLOBJ, *SECADM, and *JOBCTL特别权限,jobscde参数如下
Job:   QSECIDL1       Entry number:   000771     Status:   SCD  
Next submit date . . . . . . . :   05/27/10                                 
Command  . . . . . . . . . . . :   QSYS/CALL PGM(QSYS/QSECIDL2) PARM('090')
注意要通过Change Active Profile List (CHGACTPRFL)命令将某些账户加入其中,这样系统会认为这些帐户是始终活动的,我们是把所有Q开头账户,和DR 灾备系统的账户加入清单,避免账户长期不使用被DISABLE影响应用。

其他3:AS400 ODBC,OLEDB, Navigator,EXCEL上下传功能控制和FTP权限控制,在Navigator中检查控制,具体参考我之前文档

论坛徽章:
0
发表于 2010-07-22 16:13 |显示全部楼层
沙发!
真是太感谢啦!
多多交流!

论坛徽章:
1
操作系统版块每日发帖之星
日期:2016-08-07 06:20:00
发表于 2016-07-18 16:43 |显示全部楼层
请教个问题 我用QSECOFR登录后 不能访问其它库 怎么回事 比如WRKOBJPDM USRTEMP 也报库不存在  可是QSECOFR有*ALLOBJ 的权限啊
您需要登录后才可以回帖 登录 | 注册

本版积分规则

久等啦!10张门票开启你的DTCC2017之旅

2017中国数据库技术大会将于2017年5月11-13日如约而至,本届大会以“数据驱动•价值发现”为主题,共设定2大主场和21个技术专场,云集海内外120+位技术大牛,共同探讨Oracle、MySQL、NoSQL、云端数据库、区块链、深度学习等领域的前瞻性热点话题。
即日起,填写DTCC2017会前调查问卷,即有机会赢取价值2600元的大会门票1张!仅限10张!
----------------------------------------
活动截止时间:2017年5月5日统一公布

问卷入口>>
  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP