von Dan Riehl
Eines meiner liebsten Projekte ist die Sicherheitsüberprüfung von iSeries Systemen. Es ist fast so etwas wie eine Schatzsuche. Ich weiß, dass die Schwachstellen definitiv vorhanden sind – manchmal sehr gut verborgen, meist jedoch nicht. Der eigentliche Spaß besteht im Auffinden, Erläutern und Planen zukünftiger Vermeidung.
Eine der Schwachstellen, die sich auf vielen Systemen befinden, sind Benutzerprofile mit gleichlautenden Passwörtern (z. B. Benutzer-ID HANSMEIER mit dem Passwort HANSMEIER). Kritisch wird es, wenn solche Benutzerprofile über umfangreiche Berechtigungen verfügen, was leider häufig der Fall ist. Dies stellt dann eine klare Gefährdung der gesamten Systemintegrität einschließlich der Daten dar. Solche Benutzerprofile lassen sich mit der CL-Anweisung ANZDFTPWD (Analyze Default Passwords) ausfindig zu machen. Diese CL-Anweisung kann aus dem Menü SECTOOLS heraus oder direkt über die Befehlszeile aufgerufen werden. Bei der Ausführung lassen sich Aktionen festlegen, die für aufgefundene Benutzprofile mit identischen Passwörtern angewendet werden sollen. Mögliche Aktionen sind beispielsweise die Deaktivierung betroffener Benutzerprofile (der Benutzer kann sich nicht mehr anmelden) oder eine Statusänderung des Passwortes auf „abgelaufen“ (der Benutzer muss bei der nächsten Anmeldung ein neues Passwort vergeben).
Soll diese Überprüfung wöchentlich automatisch ablaufen, so kann dem Job-Scheduler ein Eintrag hinzugefügt werden, um die Anweisung ANZDFTPWD mit den gewünschten Optionen auszuführen. ANZDFTPWD ACTION(*PWDEXP) beispielsweise druckt einen Bericht und setzt alle aufgefundenen Passwörter, die identisch mit dem Benutzerprofil sind, auf den Status „abgelaufen“.
Noch nicht Abonnent? Sonderaktion nutzen.
Ähnliche Artikel:
