Filtres d’objet pour les opérations de restauration

apporte à  QFRCCVNRST
offrent aux administrateurs un
contrôle plus granulaire sur la conversion
des objets : si le système convertit
les objets et, s’ils ne sont pas convertis,
si ces objets sont autorisés ou non sur
le système.
Les valeurs système QVFYOBJRST
(Verify Object Restore), QFRCCVNRST
et QALWOBJRST (Allow Object
Restore) collaborent sous la forme
d’un ensemble de filtres successifs qui
contrôlent si, comment, et quels objets
peuvent être restaurés sur votre système.
Bien que la V5R2 ne change pas
vraiment QVFYOBJRST ou QALWOBJRST,
vous devez considérer différemment
ces trois valeurs système.
QVFYOBJRST a été ajouté à  la V5R1
et contrôle la vérification des signatures
d’objets et si les objets non signés
ou qui échouent à  la vérification
de signatures, sont autorisés sur le système.
C’est le premier filtre de restauration.
Les objets qui le franchissent
doivent aussi passer au travers du filtre
QFRCCVNRST avant d’être autorisés
sur le système.
Dans les releases précédentes, la
valeur de QFRCCVNRST était 0 ou 1.
Avec 0, le système ne tentait pas de
conversion. Avec 1, le système convertissait
les objets avec des erreurs de validation.
En V5R2, QFRCCVNRST peut
avoir huit valeurs, 0-7. Les valeurs 0 et
1 conservent leur ancien comportement.
Les nouvelles valeurs tiennent
compte du fait que la plupart des programmes
doivent être retraductibles et
que les objets peuvent avoir des signatures.
D’une manière générale, plus la
valeur est élevée et plus le paramétrage
est restrictif. Tout objet sur lequel le
système tente en vain une conversion
ou une retraduction, n’est pas autorisé
sur le système. La valeur 7 indique que
tout objet que le système peut convertir
ou retraduire doit être converti correctement,
sous peine de ne pas être
autorisé.
Il faut noter que la conversion
d’objet supprime les signatures numériques
! En outre, les objets programmes
convertis adoptent l’état utilisateur,
toutes les erreurs de validation
sont corrigées et les éventuelles altérations
de programmes sont supprimées.
Si un objet passe au travers du filtre
QFRCCVNRST, il doit franchir la valeur
système QALWOBJRST, l’ultime filtre
avant d’être autorisé sur le système.
QFRCCVNRST contrôle si les objets
munis d’attributs sensibles à  la sécurité
(autorité adoptée par exemple) sont permis.

Pour protéger au maximum le système,
il faut donner à  ces filtres leurs
valeurs les plus restrictives, contrôler
étroitement les ID utilisateur d’outils
de service, et verrouiller les valeurs système.
Plus personne ne peut distribuer
des programmes qui contournent l’intégrité
du système (virus et vers malveillants,
par exemple) ou qui changent
votre politique de sécurité
(c’est-à -dire, les valeurs système) sans
votre approbation. Toutefois, l’utilisation
des paramètres les plus restrictifs
pour QVFYOBJRST, QFRCCVNRST et
QALWOBJRST peut empêcher la restauration
de certains programmes tout
à  fait dignes de confiance. Cela ne se
produira que si le fournisseur utilise
des techniques susceptibles de
contourner l’intégrité du système.
Tout fournisseur qui agit ainsi devrait
vous en avertir avant que vous n’installiez
son logiciel. Dans la mesure du
possible, je conseille de fonctionner
normalement avec les valeurs les plus
restrictives, puis de réduire les restrictions
temporairement, uniquement
pour restaurer un programme digne
de confiance.