Les utilisateurs OS/400 ont la possibilité de gérer leurs propres jobs, de type batch et interactif. Pour exploiter cette possibilité, l’utilisateur a besoin d’une interface de contrôle de job telle que celle qu’offrent les commandes CL WRKUSRJOB, WORKJOB, WRKACTJOB, et ainsi de suite.
Dans beaucoup d’installations OS/400, les
Mais quelle est l’autorite speciale de *jobctl ?
utilisateurs se voient souvent aussi attribuer curieusement le moyen de contrôler les jobs de tous les autres utilisateurs du système. Ce niveau d’autorité élevé est accompli en mettant le paramètre SPCAUT à *JOBCTL dans le profil utilisateur ou le profil de groupe. Bien que ce paramétrage soit normal pour les opérateurs et les administrateurs système, il est très inapproprié, voire dangereux, pour les utilisateurs finaux, même s’ils sont limités à la ligne de commande (c’est-à-dire LMTCPB(*YES)).
Les utilisateurs dotés de l’autorité spéciale *JOBCTL peuvent contrôler chaque job sur le système et peuvent même mettre fin aux sous-systèmes. S’ils y sont autorisés, ils peuvent même arrêter le système ! Par conséquent, si un utilisateur a l’accès ligne de commande et *JOBCTL, il peut très certainement mettre fin au sous-système interactif en utilisant la commande ENDSBS QINTER. Mais quel est le danger si un utilisateur n’a pas l’accès ligne de commande ?
Si un utilisateur a JOBCTL et est limité à la ligne de commande avec LMTCPB(*YES), il peut néanmoins mettre fin à votre sous-système interactif en allant à une invite de commande sur un PC Windows sur lequel iSeries Access est chargé et exécuter la commande suivante :
RMTCMD ENDSBS QINTER
Cette commande terminera votre sous-système interactif, ce qui n’est pas une bonne nouvelle ! Et, si l’utilisateur allait jusqu’à terminer le sous-système de contrôle ? Mieux vaut ne pas y penser !
Remarque : La commande iSeries Access for Windows RMTCMD ne respecte pas les restrictions normalement imposées par LMTCMD(*YES). Donc, même les utilisateurs avec des restrictions ligne de commande peuvent exécuter toute commande qui leur est permise.
Pour établir la liste des utilisateurs sur votre système qui ont l’autorité spéciale *JOBCTL, utilisez la commande suivante :
PRTUSRPRF TYPE(*ALL) SELECT(*SPCAUT) SPCAUT(*ALL)
Cette commande donnera la liste de toutes les autorités spéciales attribuées à chaque utilisateur, ainsi que les autorités spéciales attribuées à ses profils de groupes.
Pour contribuer à la protection de votre système, retirez l’autorité spéciale *JOBCTL aux utilisateurs qui n’en ont pas besoin. Pour contrôler l’accès par des interfaces comme RMTCMD, utilisez Exit Programs du serveur de réseau OS/400 pour obtenir le niveau de contrôle le plus granulaire possible.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
