Revisiones De Wrksysval En Iseries
Páginas: 9 (2112 palabras)
Publicado: 30 de julio de 2012
Work with System Values (WRKSYSVAL). Trabajar con los valores del sistema
Lo primero que hay que mirar en un 400 son los valores de sistema. Es la parte más fácil de inspeccionar, ya que es es muy intuitiva y fácil de comprender. Los valores del sistema son un conjunto de parámetros que dictaminarán cómo debe comportarse el sistema a la hora de funcionar.
Para poder trabajar con ellos, existeun comando de línea que se llama Work with System Values (Trabajar con los valores del sistema), y se invoca con el mandato WRKSYSVAL. Nosotros nos vamos a centrar sólo en los valores de sistema que tienen que ver con la seguridad, y optaremos siempre por auditar solicitando extracciones de información. La mejor manera de auditar es sentarse con el administrador de seguridad, y pedirle ejecucionesque serán volcadas a fichero o a impresora, según proceda, para nuestro posterior análisis. No es una buena práctica recibir atributos especiales para lanzar nosotros mismos consultas, ya que el riesgo de cometer un error y perjudicar la producción es elevado.
Para inspeccionar los valores del sistema, solicitaremos la ejecución de WRKSYSVAL, siendo preferente la obtención de un fichero que nospermita localizar después los parámetros:
WRKSYSVAL SYSVAL(*SEC) (mostrará los valores en pantalla, sólo es útil para consultas específicas)
WRKSYSVAL SYSVAL(*SEC) OUTPUT (*PRINT) (enviará al spool de impresión el resultado, puede ser interesante para tener una copia en papel)
WRKSYSVAL SYSVAL(*SEC) OUTPUT (*FILE) fichero (grabará la ejecución en el fichero especificado, lo recomendable.)
Ladescripción técnica de este mandato la tenéis en http://publib.boulder.ibm.com/infocenter/systems/scope/i5os/index.jsp. Llegado a este punto se hace muy recomendable tener a nuestro lado el documento V5R3 iSeries Security Reference (SC41-5302-07), para poder encontrar descripciones completas de lo que estamos estudiando.
Siguiendo el mismo orden que aparece en la documentación oficial, en estecapítulo aprenderemos a interpretar los siguientes grupos de parámetros:
1. Nivel de Seguridad (QSECURITY)
2. Valores de sistema generales de seguridad
3. Valores de sistema relacionados con la seguridad
4. Valores de sistema de backup y restauración relacionados con la seguridad
5. Valores de seguridad que aplican a las contraseñas
6. Valores de sistema que controlan los parámetros de auditoríaVeamos en qué consisten, uno a uno.
1. QSECURITY (Nivel de seguridad)
El nivel de seguridad es un valor numérico que establece las condiciones de contorno generales del nivel de seguridad. Es un número creciente, lo que implica que valores más elevados implican una seguridad más elevada. Los niveles estándares de seguridad en un 400 son los siguientes:
• Nivel 10 (Seguridad del sistema noobligatoria, no es posible establecerlo)
• Nivel 20 (Seguridad sign-on)
• Nivel 30 (Seguridad sign-on y de recursos)
• Nivel 40 (Seguridad sign-on, de recursos y protección de integridad)
• Nivel 50 (Seguridad sign-on, de recursos y protección de integridad mejorada)
Según el fabricante se recomienda un valor mínimo de 30 (en algunos textos más recientes, recomienda 40), siendo lo realmenteoportuno acudir al menos al nivel 40. El nivel de seguridad 40 incluye a los niveles 20 y 30, mejorándolos especialmente en lo que a controles de integridad se refiere:
• Prevención ante el uso de interfaces no soportadas
• Protección de descripciones de jobs, forzando a que aquellos que envíen trabajos a la cola deban tener autoridad *USE para que estos no fallen
• Impedimento del uso de loslogin por defecto
• Permisividad el uso de HSP (Enhanced Storage Protection, protección mejorada de almacenamiento), haciendo marcajes específicos en los bloques de información de sólo lectura, lectura-escritura o sin acceso
• Protección específica de los espacios asociados a cada programa y direcciones de jobs
Salvo requisito regulatorio no es preciso, por lo general, irse a niveles superiores...
Lo primero que hay que mirar en un 400 son los valores de sistema. Es la parte más fácil de inspeccionar, ya que es es muy intuitiva y fácil de comprender. Los valores del sistema son un conjunto de parámetros que dictaminarán cómo debe comportarse el sistema a la hora de funcionar.
Para poder trabajar con ellos, existeun comando de línea que se llama Work with System Values (Trabajar con los valores del sistema), y se invoca con el mandato WRKSYSVAL. Nosotros nos vamos a centrar sólo en los valores de sistema que tienen que ver con la seguridad, y optaremos siempre por auditar solicitando extracciones de información. La mejor manera de auditar es sentarse con el administrador de seguridad, y pedirle ejecucionesque serán volcadas a fichero o a impresora, según proceda, para nuestro posterior análisis. No es una buena práctica recibir atributos especiales para lanzar nosotros mismos consultas, ya que el riesgo de cometer un error y perjudicar la producción es elevado.
Para inspeccionar los valores del sistema, solicitaremos la ejecución de WRKSYSVAL, siendo preferente la obtención de un fichero que nospermita localizar después los parámetros:
WRKSYSVAL SYSVAL(*SEC) (mostrará los valores en pantalla, sólo es útil para consultas específicas)
WRKSYSVAL SYSVAL(*SEC) OUTPUT (*PRINT) (enviará al spool de impresión el resultado, puede ser interesante para tener una copia en papel)
WRKSYSVAL SYSVAL(*SEC) OUTPUT (*FILE) fichero (grabará la ejecución en el fichero especificado, lo recomendable.)
Ladescripción técnica de este mandato la tenéis en http://publib.boulder.ibm.com/infocenter/systems/scope/i5os/index.jsp. Llegado a este punto se hace muy recomendable tener a nuestro lado el documento V5R3 iSeries Security Reference (SC41-5302-07), para poder encontrar descripciones completas de lo que estamos estudiando.
Siguiendo el mismo orden que aparece en la documentación oficial, en estecapítulo aprenderemos a interpretar los siguientes grupos de parámetros:
1. Nivel de Seguridad (QSECURITY)
2. Valores de sistema generales de seguridad
3. Valores de sistema relacionados con la seguridad
4. Valores de sistema de backup y restauración relacionados con la seguridad
5. Valores de seguridad que aplican a las contraseñas
6. Valores de sistema que controlan los parámetros de auditoríaVeamos en qué consisten, uno a uno.
1. QSECURITY (Nivel de seguridad)
El nivel de seguridad es un valor numérico que establece las condiciones de contorno generales del nivel de seguridad. Es un número creciente, lo que implica que valores más elevados implican una seguridad más elevada. Los niveles estándares de seguridad en un 400 son los siguientes:
• Nivel 10 (Seguridad del sistema noobligatoria, no es posible establecerlo)
• Nivel 20 (Seguridad sign-on)
• Nivel 30 (Seguridad sign-on y de recursos)
• Nivel 40 (Seguridad sign-on, de recursos y protección de integridad)
• Nivel 50 (Seguridad sign-on, de recursos y protección de integridad mejorada)
Según el fabricante se recomienda un valor mínimo de 30 (en algunos textos más recientes, recomienda 40), siendo lo realmenteoportuno acudir al menos al nivel 40. El nivel de seguridad 40 incluye a los niveles 20 y 30, mejorándolos especialmente en lo que a controles de integridad se refiere:
• Prevención ante el uso de interfaces no soportadas
• Protección de descripciones de jobs, forzando a que aquellos que envíen trabajos a la cola deban tener autoridad *USE para que estos no fallen
• Impedimento del uso de loslogin por defecto
• Permisividad el uso de HSP (Enhanced Storage Protection, protección mejorada de almacenamiento), haciendo marcajes específicos en los bloques de información de sólo lectura, lectura-escritura o sin acceso
• Protección específica de los espacios asociados a cada programa y direcciones de jobs
Salvo requisito regulatorio no es preciso, por lo general, irse a niveles superiores...
Leer documento completo
Regístrate para leer el documento completo.