AS400 SYSTEM Audit Experience 审计经验分享 [复制链接]

tomroom

丰衣足食

论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-05-26 21:31 |只看该作者 |倒序浏览

下面整理了下我的心得分享下，审计对IT人员进一步加强系统管理，完善系统有帮助。

J01中
DSPUSRPRF 关注Use profile
 User Profile
 Name (Text)
 Status
 Previous Sign-on Date 用户长期未登录要DISABLE
要有流程并定期和用户确认，删除不使用账户
 Password Change Date密码要定期用户修改，有系统值定义*SYSVAL用户多少日期提示修改密码
 Password *NONE 可以用命令GO SECTOOLS 选择one 列出所有密码使用默认和用户名相同的不安全账户清单，系统值SYSVAL中QPSW开头定义密码规则
 Group Profile
 Group Authority (GRPAUT)  Group Profile Indicator (Yes / No)
 Password Expiration Interval (PWDEXPITV)
密码过期，除操作系统，DR系统账户以外其他应用账户最多365天要修改密码
 Initial Menu (INLMNL)
 Initial Program (INLPGM)
 Limited CASability (LMTCPB)
检查普通AS400用户不能使用命令行
 Special Authority (SPCAUT)
特别关注可以访问所有数据的*ALLOBJ 用户越少越好，普通用户是否超过权限，*SECADM 用户可以修改用户密码

J01 DSPAUTUSR SEQ(*GRPPRF)会按GROUP列出所有用户清单
DSPUSRPRF USRPRF(GHZT) TYPE(*GRPMBR) 可以查询指定一个GROUP中所有该GROUP下对应的USER PROFILE
J02 system value 系统值和很多相关命令System Security Attributes (PRTSYSSECA)会列出系统安全相关系统值和IBM推荐值提供参考（仅参考不一定适用），更具体可以参考IBM AS400对应OS 版本比如V6R1的 Information Center中 Managing security下内容
Note: The Current Value column on the report shows the current setting on your system. Compare this value to the recommended value to see where you may have security exposures.
Sample System Security Attributes Report
System Security Attributes

System Value
Name Current Value Recommended Value
QALWOBJRST *NONE *NONE
QALWUSRDMN *ALL QTEMP
QATNPGM QEZMAIN QSYS *NONE
QAUDENDACN *NOTIFY *NOTIFY
QAUDFRCLVL *SYS *SYS
QAUDCTL *AUDLVL *AUDLVL *OBJAUD
QAUDLVL *SECURITY *AUTFAIL

J03： password control from the system value. WRKSYSVAL QPWD* QPWD开通值相关后续有详细讲解

J04: SST DST ID & Password 公司要求账户和密码平时不向Operationer人员公开,特别是QSECOFR账户，只有IT经理和AS400 administrator知道，而且有纸质记录密码和账户变更情况，避免产生无记录的账户密码变更，在发生灾难情况之前全系统备份恢复系统需要做全系统备份时候的账户和密码，特别是QSECOFR才能恢复系统

J05:
1）Examine the library authority

SPOBJAUT OBJ(QSYS/library name) OBJTYPE (*LIB).
一般LIB与对应Athority list绑定，或者LIB关联USER group，关注*PUBLIC用户权限是否取消访问权限为*EXCLUDE
DSPAUTLOBJ 可以查看指定authority list下关联的所有OBJ
2）Examine the obj authority in produion：
单个的obj的命令可以用DSPOBJAUT OBJ (name of library/name of file) OBJTYPE (*FILE) and DSPOBJAUT OBJ (name of library/name of program) OBJTYPE (*PGM) 按对象类型查询
查看整个LIB下所有OBJ authority ，推荐用GO SECTOOLS工具（或者GO SECBATCH菜单，具体参考Information Center中 Managing security下内容，选择19. Private authority 或者直接运行PRTPVTAUT  命令输入下面例子查HZTDB lib下所有*FILE的单个OBJ authority 情况,个人认为PRTPVTAUT比information center中推进的PRTPUBAUT要好用，还有个问题是PRTPVTAUT等命令一次不能同时运行多个JOB，IBM文档里说该命令使用到QSYS下一个FILE
                  Print Private Authorities (PRTPVTAUT)

Type choices, press Enter.

Object type  . . . . . . . . . . > *FILE       *ALRTBL, *AUTL, *BLKSF...
Changed report only  . . . . . . *NO          *NO, *YES
Library  . . . . . . . . . . . . > HZTDB       Name
Authority type . . . . . . . . . *OBJECT    *OBJECT, *FIELD, *ALL
Folder . . . . . . . . . . . . .

Print AUTL objects . . . . . . . *NO          *NO, *YES
Directory  . . . . . . . . . . .

Search subdirectory  . . . . . . *NO          *NO, *YES

结果如下
                                       Private Authorities (Full Report)
5761SS1 V6R1M0  080215
                     Primary    Auth                            -----
Object    Owner    Group    List       User       Authority  Opr
XQ03       WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             WUJIN    *ALL       X
XQ04       WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             WUJIN    *ALL       X
XQ04L1    WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             WUJIN    *ALL       X
XQ05       WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             WUJIN    *ALL       X
XQ05L1    WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             WUJIN    *ALL       X
XQ05TMP1 YAOSB1    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             YAOSB1    *ALL       X
XQ06       WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE
                                             WUJIN    *ALL       X
XQ06L1    WUJIN    *NONE    AHZTDB    *PUBLIC    *EXCLUDE


J06 Auditing and Logging 可以使用DSPAUDJRNE 命令比较方便的方法查询系统审计日志，比直接DSPJRN方便
You can use the DSPAUDJRNE command to list the user profiles that are newly disabled.Remember: The system writes audit entries only if the QAUDCTL value specifies *AUDLVL and the QAUDLVL system value specifies *SECURITY.
DSPAUDJRNE 查看显示结果如下：USER是那个用户操作的修改和修改内容

  05/26/10  16:27:01
ENTRY USER    USRPRF    USRPRF  PASSWORD PASSWORD
TYPE  PROFILE NAME    COMMAND CHANGED  EXPIRED
  TIMESTAMP
  CP  A E2TWUSER TW0201    CHG    Y       N
  2010-05-23-21.12.54.909088
  CP  A E2TWUSER TW0201    CHG
  2010-05-23-21.12.54.923888
  CP  A E2TWUSER TW0201    CHG
  2010-05-23-21.12.54.950816
  CP  A E2TWUSER TW0301    CHG    Y       N
  2010-05-23-21.12.57.909904
  CP  A E2TWUSER TW0301    CHG
下面是11. Display security auditing 结果
                     Current Security Auditing Values

Security Auditing Journal Values

Security journal QAUDJRN exists . . . . . : YES

Journal receiver attached to QAUDJRN  . . : QEAA9D6116
   Library . . . . . . . . . . . . . . . . :    QSYS

Security Auditing System Values

Current QAUDCTL system value  . . . . . . : *NOQTEMP  *AUDLVL *OBJAUD

Current QAUDLVL system value  . . . . . . : *DELETE *SAVRST *SECURITY
                                             *SERVICE  *SYSMGT *CREATE
                                             *AUTFAIL  *OBJMGT *JOBDTA
                                             *NETCMN *PGMADP *PRTDTA
                                             *SPLFDTA  *SECCFG

                                                                     More...
Press Enter to continue.

F3=Exit F12=Cancel


其他1：

                                                System Values
5761SS1 V6R1M0  080215                                                                            05/26/10  1
            Current                      Shipped
Name          value                         value                         Description
QPWDCHGBLK    *NONE                         *NONE                         Block password change
QPWDEXPITV  >  40                            *NOMAX                         Password expiration interval
QPWDEXPWRN    7                            7                            Password expiration warning
QPWDLMTAJC  >  1                            0                            Limit adjacent digits in password
QPWDLMTCHR    *NONE                         *NONE                         Limit characters in password
QPWDLMTREP  >  2                            0                            Limit repeating characters in password
QPWDLVL    >  2                            0                            Password level
QPWDMAXLEN  >  10                            8                            Maximum password length
QPWDMINLEN    6                            6                            Minimum password length
QPWDPOSDIF    0                            0                            Limit password character positions
QPWDRQDDGT  >  1                            0                            Require digit in password
QPWDRQDDIF  >  8                            0                            Duplicate password control
QPWDRULES    *PWDSYSVAL                   *PWDSYSVAL                   Password rules
QPWDVLDPGM    *NONE                         *NONE                         Password validation program

上面系统值实现如下密码规则
账户密码设定规则
1、密码最小长度是6
2、密码最大长度是10
3、密码中至少包含一位数字
例如：密码设置 testing 无效，设置成test1a 有效
4、密码中不能使用连续重复的字符
   例如：密码设置 test22  无效，设置成test12 有效
5、新密码不能使用前次密码在同一位置上的字符
   例如：前次密码设置 test12
新密码设置成 good32 无效
新密码设置成 good23 有效
6、用户输入错误密码达到5次，帐户将被锁住。
7、新密码设置不能与前24次的密码相同。
8、密码有效使用期是40天

其他2：账户超过设置日期比如90账户没有登录系统自动disable账户，最先是通过ANZPRFACT命令配置的，安全期间也可以直接通过JOBSCDE配置，配置需要操作用户有*ALLOBJ, *SECADM, and *JOBCTL特别权限，jobscde参数如下
Job: QSECIDL1    Entry number: 000771    Status: SCD
Next submit date . . . . . . . : 05/27/10
Command  . . . . . . . . . . . : QSYS/CALL PGM(QSYS/QSECIDL2) PARM('090')
注意要通过Change Active Profile List (CHGACTPRFL)命令将某些账户加入其中，这样系统会认为这些帐户是始终活动的，我们是把所有Q开头账户，和DR 灾备系统的账户加入清单，避免账户长期不使用被DISABLE影响应用。

其他3：AS400 ODBC,OLEDB, Navigator，EXCEL上下传功能控制和FTP权限控制，在Navigator中检查控制，具体参考我之前文档