> Tech > Paramètres de sécurités globaux

Paramètres de sécurités globaux

Tech - Par iTPro - Publié le 03 mai 2013
email

Récapitulons : nous avons une architecture sous-jacente conçue avec un souci de sécurité permanent, dans laquelle les choses sont ce qu'elles sont et ne sauraient obéir à des instructions qui leur sont étrangères ou à des programmes non autorisés pour elles.

Paramètres de sécurités globaux

Jusqu’ici tout va bien. Mais, avons-nous un seul modèle de sécurité valable dans tous les cas, ou y a-t-il quelque souplesse ?

C’est ici que les valeurs système de l’IBM i entrent en scène. Nous savons tous ce que sont les valeurs système : les indicateurs (flags) qui contrôlent comment votre i particulier est configuré. Ce sont des paramètres globaux pour votre machine, mais vous pouvez régler les valeurs très différemment de ce qui se pratique ailleurs.

WRKSYSVAL est la commande que nous utilisons pour les atteindre, bien entendu, mais seulement certaines de ces valeurs sont propres à la sécurité. Et c’est là votre point de départ. Pour obtenir les résultats de sécurité souhaités, vos valeurs système de sécurité doivent être bien définies.

Malheureusement, il me semble que parfois nous ignorons les valeurs système. Tout simplement, parce que nous avons l’impression qu’elles peuvent se charger d’elles-mêmes. En réalité, il y a une cinquantaine de valeurs système qui contrôlent la sécurité, et il faudrait un article ou deux pour les couvrir toutes. Voyons quand même quelques-unes des valeurs les plus importantes.

QSECURITY : Cette valeur définit le « niveau de sécurité » de l’i. Autrement dit, elle lui dit à quel point la sécurité est importante, par des valeurs allant de 10, niveau minimum de départ, à 50, conçu pour le niveau de sécurité C2 du Department of Defense.  Pour en savoir plus sur le niveau C2, regardez quelques films de Jason Bourne.

Dans cet article, je ne vous donnerai aucun conseil quant au niveau de sécurité : sachez quand même que vous devriez être à 40 ou 50. Bon, vous avez peut-être une machine de test qui n’est connectée à rien et vous êtes au niveau 10, mais quel est l’intérêt ? Même une machine de test non connectée devrait avoir le même profil de sécurité que votre i d’exploitation. Selon moi, il vous faut une bien bonne raison pour ne pas être à 40.

QPWDEXPITV : Cette valeur vous donne la durée d’efficacité de votre mot de passe. Elle peut aller de un à 366 jours ou être réglée sur *NOMAX, auquel cas vos mots de passe sont éternellement bons. En tant que personne, je préfère *NOMAX parce que je trouve que suffisamment de choses changent dans ma vie de tous les jours. Mais en tant qu’administrateur de sécurité de l’IBM i, mieux vaut quelque chose d’un peu plus court que l’infini.

QPWD* : Il y a environ une dizaine de valeurs système différentes avec ce préfixe et toutes concernent le mot de passe : à quoi il ressemble, quelle est sa longueur, comment traiter les doublons, etc. il n’est jamais facile de décider jusqu’où vous voulez pousser ces exigences. D’un côté, la plupart des enquêtes montrent que très peu des failles de sécurité viennent du fait que quelqu’un a deviné votre mot de passe. Mais si quelqu’un écrit un mot de passe de 10 digits contenant des chiffres, des caractères spéciaux, et des lettres majuscules sur un papillon collé sur l’écran, tout est fichu par terre. D’un autre côté, vous devez empêcher que quelqu’un n’utilise son nom comme mot de passe pendant 10 ans. C’est le simple bon sens.

QCRTAUT : Cette valeur mérite tout votre intérêt. Comme nous le verrons bientôt, ce paramètre aboutit souvent à attribuer la valeur par défaut pour l’autorité d’objet quand nous créons un objet.

Nous éclaircirons ce point quand il sera question de la sécurité des objets. Pour l’instant, sachez qu’il est fort probable que le contenu de cette valeur système soit l’autorité attribuée aux éventuels objets que vous créerez.

Le point intéressant est que la valeur par défaut qu’IBM fournit pour cette valeur système est *CHANGE. Et, comme cette valeur par défaut est le plus souvent utilisée pour les objets créés par des utilisateurs non couverts par une liste d’autorisations, cela signifie que, souvent, la valeur par défaut pour le profil any *PUBLIC sera *CHANGE. Ou, pour le dire autrement, ce sont ceux-là mêmes qui le plus souvent ont le moins d’autorité, qui pourront faire beaucoup de choses avec ces objets. Nous reviendrons aussi sur ce point plus loin.

Vous pourriez être tentés de régler cette valeur sur *USE ou *EXCLUDE, mais cela risque de ne pas marcher pour tout le monde parce que, parfois, même des utilisateurs occasionnels du système doivent exécuter des fonctions susceptibles d’effacer des fichiers, par exemple. Rappelez-vous donc que vous voudrez et devrez parfois changer cette valeur, mais faites-le avec beaucoup de prudence.

En conclusion : Ne négligez pas les valeurs système. Elles contiennent certaines des règles fondamentales qui régissent la sécurité sur votre i et qui déterminent votre souplesse de configuration.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 03 mai 2013