-
Nochmal ein "kurzer" Kommentar:
Im Auslieferungszustand der AS/400 brauche ich nur wenige Handgriffe um die Maschine sicher zu machen (kein Hexenwerk).
Der Systemwert QCRTAUT legt fest, wie neue Objekte in der Berechtigung vergeben werden. Hier steht der Default (leider) auf *CHANGE, was bedeutet, dass für jedes Obekt, dass auf die AS/400 kommt, für alle Benutzer die Änderungsberechtigung gilt.
Ändere ich diesen auf *EXCLUDE, habe ich (normalerweise) keine weiteren Sicherheitsprobleme. Dies gilt mindestens seit V2 (V1 kenne ich nicht) und muss daher gar nicht geändert werden.
Nur jetzt fängt das Nachdenken an:
Wie richte ich einen neuen Benutzer ein ?
Wenn ein neuer Benutzer mit der sog. ALLOBJ-Berechtigung angelegt wird, kann und darf dieser natürlich (fast) alles. Im Zweifel (per ftp oder auch sonst wie) eben auch einen "rm *", der jedoch an den Betriebssystemteilen bereits scheitert !
Auf Windows lege ich einen neuen Benutzer ja auch nicht in der Gruppe Admin an.
Wenn ich auf Windows einen User als "Admin" einrichte darf der das natürlich auch.
Aber so ist das nun mal mit der Benutzerberechtigung. Bei Windows überlege ich mir ja auch, mit welchen Rechten ich den User ausstatte. Warum nicht bei der AS/400 ?
Und was das "durchwandern" der Platten angeht, so sehe ich auf der AS/400 nur, wozu ich auch berechtigt bin.
Richte ich auf einem Windows-Server einen Benutzer ein, der auch gleichzeitig AUF DEM SERVER arbeiten können muss, also lokal angemeldet, hat er natürlch auch Zugriff auf alle Verzeichnisse die zumindest zum Lesen berechtigt sind, anders ginge es ja auch nicht, da sonst kein Programm zur Ausführung kommt.
Man darf bei der AS/400 nicht vergessen, dass ein Benutzer AUF DEM RECHNER arbeitet und nicht nur mit freigegebenen Verzeichnissen.
Wenn ich nun neue Bibliotheken erstelle (oder aus Software installiere) erhält erst mal ausser dem Ersteller NIEMAND Berechtigung an der Lib (siehe QCRTAUT). Ich muss also jeden einzelnen Benutzer (oder die Gruppe) explizit berechtigen.
Aber wer macht das schon so ?!?!
Wenn ich schon für neue Objekte den Zugriffsschutz für *PUBLIC auf *CHANGE zulasse ist das genauso, wie wenn ich für einen Windows-Server das Root-Verzeichnis mit der Berechtigung "Jeder/Alles" incl. Vererbung auf alle Unterverzeichnisse einstelle.
Was mich eben wundert ist, dass sich bei Windows über die Grundeinstellung Gedanken gemacht werden, bei der AS/400 eben nicht.
Und genau darin liegt die grundsätzliche Sicherheit des OS/400 (midesten seit V2), wie auch des WindowsNT/2000/XP, begründet. Stelle ich die Sicherheit des System bei der Installation nicht ein (QSECURITY, QCRTAUT) habe ich natürlich später Probleme !!!
Es gibt auch Anwendungen, die z.B. mit Oracle/SQL-Server-DB's arbeiten. Bei diesen Client/Server-Anwendungen habe ich genau das gleiche Problem wie bei AS/400-Anwendungen. Da ich eine gültige DB-Anmeldung benötige um mittels Client-Programmen auf die Daten zugreifen zu können, kann ich genau die gleiche Anmeldung verwenden um per ODBC auf die Daten zuzugreifen.
Für dieses Problem gibt es auf der DB-Seite aber leider keine Lösung (vielleicht kennt ja jemand eine).
Solange ich also die Sicherheit des OS im Griff habe sind auch die "kritischen" Tools der IBM und auch jede Menge anderer Anbieter sicher.
Was die Kommunikation OS/400 zu OS/400 angeht so bin ich nicht auf Telnet angewiesen sondern kann da ganz locker mit SNA bzw. SNA over IP arbeiten, da das SNA bereits vor IP existierte. Wenn ich dann per CHGNETA die Datenverdichtung (seit V3) einschalte hilft mir auch kein Leitungstrace mehr weiter, da nicht jeder Block einzeln verdichtet wird sondern eine Verdichtungshistorie (Huffmann) aufgebaut wird.
Gerade da Telnet nicht sicher ist, sollte eben SNA verwendet werden und es gibt kein OS/400 dass nicht SNA beherrscht.
Wie sieht das Ganze eigentlich unter Verwendung von Thin-Clients aus ? Denn das ist wohl eher mit einer AS/400 vergleichbar. Alle Programme laufen auf dem Server, ich melde micht auf dem Server an, starte einen Explorer auf dem Server usw. usw. usw.
Also nix für ungut, man kann noch seitenlang über das Thema Sicherheit diskutieren.
Ich persönlich halte die AS/400 aber immer noch für sicherer als Windows !
Aber: Reden allein hilft nicht ! Tun muss man es !
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel
Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
![[NEWSboard IBMi Forum]](images/duke/nblogo.gif)
[Content_Admin]
Mit Zitat antworten
Bookmarks