安全加固手册8.2 系统安全 值设置8.2.1 查看目前系统值 :WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value)8.2.2 系统安全级别 推荐设置为 40QSECURITY 4010 没有用户认证,没有资源保护20 用户使用密码认证,没有资源保护30 用户认证和默认的资源保护40 跟 30 相似,但是控制了特权指令和设备的接口(在客户端被认为具有高的风险的时候应用安全级别 40他会限制对对象,其他工作的数 据和系统内部程序的直接访问)50 增强型的安全访问控制,达到真正的 C2 级安全控制8.2.3 建议设置口令复杂度策略QPWDVLDPGM *NONE 无密码检测8.2.4 密码长度最小密码长度QPWDMINLEN 6最大密码长度QPWDMAXLEN 108.2.5 设置帐户最大尝试登陆次数QMAXSIGN 3(默认值)达到最大尝试次数措施QMAXSGNACN 3(默认值)1 禁用终端2 禁用用户配置文件3 全部(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏 管理员要 十分清楚该参数的含义)8.2.6 设置密码有效期QPWDEXPITV 30-90*NOMAX 不限1-366 天QPWDRQDDIF 10 可以和以前的历史记录中的 32 个密码一样1 必须和以前的历史记录中的 32 个密码不同8.2.7 限制安全设备登陆QLMTSECOFR 10允许所有有*ALLOBJ授权的用户在任意显示终端登陆,有* SERVICE授权的用户可以使 用* CHANGE 公开认证手段登陆到任意显示终端1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外) ,除非 他们有特 别的授权允许访问8.2.8 设置超时策略QINACTITV 无活动的任务超时 *NONE: 无超时5-300 超时最大允许时间(分钟)推荐 15非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的 session认证用户通过再次登陆,可以继续以前 session 所保留的屏幕。
当设置中断连接任务(*DSCJOB )值去中断任意交互式登陆8.2.9 限制设备 sessionsQLMTDEVSSN0 不限制一个终端的特定用户 ID 的在同一时刻的使用数1 限制同一时刻只能有一个特定用户登录到这台工作站8.2.10 用户登录信息是否显示在屏幕上QDSPSGNINF0 在用户登录时 ,登陆信息不显示1 以下信息会被显示 最后登陆时间从上次登陆以来的失败登陆密码 7 天或之内密码将要过期的警告8.2.11 改变虚拟设备的自动配置值QAUTOVRT 值控制系统自动配置虚拟设备会话(比如 5250telnet )的数量 值建议设置为 *nomax QAUTOVRT8.2.12 改变远程登陆值QRMTSIGN值控制是否当工作站支持显示终端或工作站支持功能,允许用户略过在远端系统的登陆提示 pass-through 类似于 unix 的 rlogin 功能) 可能值如下 :FRCSIGNON:所有系统的pass through sessio ns必须通过正常的登录(sig n-on)过程SAMEPRF:仅允许远端系统profile名与本地系统一致的用户进行不通过登录(sign-on)过 程的pass through sessionsVERIFY:如果QSECURITY设置为10,没有通过正常的登录 (sign-on)过程的pass through sessions 允许所有的pass through请求并且不检查密码。
QSECURITY设置为30的时候必须进行登录REJECT: 不允许系统支持 pass through sessions8.2.13 创建系统认证参数值检查系统值报告里面的 QCRTAUT 参数,并且确认已经改变默认的值 *CHANGE 为 *USE 或更少权限 检查产品数据库和产品源代码被放在一个有合适的访问权限的库里维护 或者使用可视认证组件命令 (Display Object Authority command )并且检查每一个重要的产品数据库和源代码 的公 共认证访问 ( PUBAUT ) 访问参数设置为 *EXCLUDE 并且都设置了合适的访问控制8.3.1 显示所有用户和组 profile8.3 用的户 、组配置8.3.2 检查每个重要的组 profile ,保证是由管理人DSPAUTUSR SEQ的*GRPPRF) wrkusrprf *all员赋予的8.3.3 检查系统内的用 户, 保证是都由管理人员赋 予的,并且他们的设置与他们的需要的功能一致8.3.4 系统安装时,已经预定义了许多用户的profile,这些用户的profile的密码可以 从用户的 profile 名判断QSRVBAS和QSRV推荐在每次时候后改变。
任何商业软件厂商安装时用的密码也应该更改8.3.5 使用以下命令取得用户和组的 profile:取得文件 :输入[DSPUSRPRF],按(PF4),选择输出文件和文件名, 将此文件传输到PC或XC0MM到一个大型机( where Office Services will copy the file/s to audits cc 0820 G drive ) DSPUSRPRF USRPRF(pro) TYPE(*BASIC)每个 profile 检查以下设置 :8.3.5.1 G R O U P (Group Profile)检查每个组里面的用户是否应具有此权限8.3.5.2 P W D E X P I T V ( 密码过期周期 )*SYSVAL:系统默认值为QPWDEXPITV如果已经设置为一个数字,则表示此用户已经设置密码过期周期8・3・5・3 CURLIB (当刖库)检查用户是否指定了合适的库(library )并且保证库足够的安全8.3.5.4 L M T C P B (限制权限)指定是否用户可以更改初始程序,初始菜单,当前库和 attention-key-handling程序值。
NO: 用户可以使用 CHGPRF 命令改变自己用户 profile 里面的所有值PARTIAL:初始化程序和当前库值不能改变 初始菜单可以改变(使用CHGPRF)并且可以在菜单命令行处输入命令YES: 初始程序,初始菜单和当前库不能改变菜单命令行处可以运行部分命令 推荐值 :产品用户设置为 *YES8.3.5.5 S P C A U T ( 特殊权限 )*ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL- 几乎所有对象允许无限访问- 允许管理用户 profile- 保存和恢复系统和数据- 允许操作工作队列和子系统- 允许一些没有控制的功能- 允许控制池( spool )功能*USRCLS -授予用户对他所在的级别(class)特别的授权*NONE- 没有特别的授权检查是否每个用户级别特别的授权是否适当 一般来说,用户和程序不应该有任何特殊授权默认SECADM, QSECOFR,和SYSOPR具有*SAVSYS和*JOBCTL特殊授权推荐设置*PUBLIC默认设 置为 *EXCLUDE 8.3.5.6 I N L P G M ( 初始程序 )*NONE:没有初始程序,用户直接进入命令行。
初始程序,除了注销(sign-off )之外不会提供程序的 退出手段 如果在初始菜单参数中指定了具体菜单名的话,菜单将会被显示 保证没有菜单 / 子菜 单中没有退出选项到命令行级8.3.5.7 I N L M E N U ( 初始菜单 )*SIGNOFF: 当初始程序结束会从系统中注销用户 菜单安全限制一个用户的权力,并且限制这个用户使 用一个安全的环境变量 初始菜单在初始程序结束后显示 确保用户被设置了菜单, 并且菜单的选 项适合用户的工作 运行菜单安全的好处是它容易去执行,会降低安全管理的开销;并且会改善使用界面 推荐设置 :当访问 库和对象的时候限制权限8.3.5.8 L M T D E V S S N ( 限制设备 session)*SYSV AL:如果用户被限制在一个终端 session的时候选择此系统值*NO:不限制访问一个用户id访问设备的session * YES:限制一个用户id访问一个终端的session. 推荐值:*YES 或者 *SYSVAL and QLMTDEVSSN -设置为选项一 (limit number of device sessions to one).8.3.5.9 S T A T U S ( 用户 profile 的状态 )设置用户 profile 是否使用。
ENABLED: 使用*DISABLED: 不使用推荐值 : 无用的和暂不使用的用户 profile 应设置为 *DISABLE 以防止未经授权的访问 注意系统用 户 profiles 如 QSYS, QSECOFR, 等,必须设置为 *ENABLE.8.3.5.10 取 得 一个系统全用户的列表, 并且作如下检查 :a•确认所有的用户和组被单独赋予权限b. 确认是否所有的用户授权均基于部门间已有的管理授权机制c. 确认所有的用户均处在雇佣状态的菜单可以访问重要的进程或执行重要的操作8.3.6 列出所有采用 QSECOFR 授权的程序DSPPGMADP USRPRF(QSECOFR) [optional OUTPUT(*PRINT) to print] 执行此命令可能会消耗大量系统 资源确认安全管理员知道这些程序,以及是否应在添加新的用户考虑是否应对他们设置授权 推荐设置 : 安全管理员应监控 QSECOFR 授权赋予权限的程序8.3.7 确认采用以下安全和密码策略 :a. 安全的赋予和分发密码b. 选择密码标准c. 在雇员离职后更改密码或删除用户(可以从前面的登陆日期得到报告)d. 定期更改密码e. 培训用户密码保密的必要性和在不用时注销工作站f. 当发现违反安全规定时候的处置措施8.3.8 使用以下命令取得授权用户列表DSPAUTUSR列表包括用户 profile ,上次更改密码日期和用户 profile 说明。
可以从上次更改密码日期判断是 否在一个合理的周期内更改密码8.4 库安全( Libraries )8.4.5 取得系统所有库的列表DSPOBJD OBJ(QSYS/*ALL)OBJTYPE(*LIB)OUTPUT(*PRINT)判断产品对象 production objects 被从开 发对象 development objects 中分割在单独的库里8・4・6选择一个重要产品的的库,列出所选择库的内容(对象)DSPLIB (Library Name) 确认产品库中只有产品的对象8・4・7 列出重要产品库中对象的授权DSPOBJAUT OBJ(QSYS/library name) OBJTYPE( *LIB)确认仅有授权的用户和组可以访问 开发用户应该没有产品库的访问权限 并且检查库的所 有者是 否恰当8・4・8 检查访问重要库的管理和授权过程推荐:强。