par Carol Woodbury
La V4R5 apporte de nombreuses améliorations visant à améliorer de façon conséquente
les sécurités en proposant des points d'exit au niveau des commandes, une compatibilité
Kerberos et le coprocesseur cryptographique 4758
Même si, à première vue, la V4R5 ne semble pas comporter d'importantes améliorations
en matière de sécurité, en y regardant de plus près, on change d'avis. En effet,
cette version propose davantage de contrôles sur les actions des utilisateurs
grâce à des points d'exit au niveau des commandes, à l'accès aux services d'authentification
de réseau (Kerberos, par exemple) et à la manipulation de threads permettant aux
utilisateurs de se contenter du niveau de sécurité minimum nécessaire pour une
tâche donnée. Ajoutons à cela une configuration TLS (Transport Layer Security)
facile, la recherche de virus dans le courrier électronique pour SMTP (Simple
Mail Transfer Protocol) et la cryptographie assistée par le hardware. Nous allons
approfondir toutes ces fonctionnalités, qui accroissent la sécurité de la machine.
En utilisant des points d'exit, on peut écrire sa propre version de commandes
OS/400
Du nouveau pour les sécurités en V4R5
La V4R5 propose deux points d’exit pour le traitement des commandes. Les points
d’exit transmettent à un programme d’exit dûment répertorié une chaîne de commande
sur le point de s’exécuter. Un premier point d’exit permet au programme d’exit
de modifier cette chaîne de commandes, et l’autre point d’exit permet au programme
d’examiner la chaîne de commandes mais pas de la modifier.
Bien qu’ils ne constituent pas par eux-mêmes une fonction de sécurité, ces points
d’exit permettent de protéger le système contre l’exécution de certaines commandes,
de déterminer facilement si une commande dangereuse a été exécutée, ou préviennent
si l’une d’elles l’a été. Supposons, par exemple, qu’un opérateur système malveillant
veuille endommager le système en exécutant la commande PWRDWNSYS (Power Down System).
On peut écrire un programme d’exit qui ira examiner la chaîne de commandes, envoyer
une alerte, et remplacer l’exécution de cette commande par rine du tout ou par
l’exécution d’une commande différente.
Il existe cependant certaines restrictions. Quand la bibliothèque utilisateur
choisit une commande, le programme d’exit examinant la chaîne de commandes est
invoqué, on ne peut cependant pas modifier la commande sur le point de s’exécuter.
Ainsi, si on tape la commande QSYS/PWRDWNSYS, les deux programmes d’exit sont
appelés, mais la chaîne de commande ne peut pas être modifiée.
En utilisant ces points d’exit, on peut écrire sa propre version de commandes
OS/400 et s’assurer que c’est sa version d’une commande qui est exécutée. En outre,
le programme d’exit n’oblige pas à placer la bibliothèque contenant la commande
dans la partie du système de la liste des bibliothèques, avant QSYS.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre nouveau dossier thématique sur l’éco-conception et les bonnes pratiques à adopter pour réduire votre impact environnemental.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
- Les identités des développeurs doivent être prises en compte !