Sécurité des outils de service IBM i

10 règles à suivre pour la sécurité des outils de service IBM i

1. Définissez le nombre minimum des ID utilisateur des outils de services absolument nécessaires. Chaque utilisateur de ces outils doit avoir son propre ID utilisateur et assumer ainsi la responsabilité de ses actions dans le log et le journal d’audit.
2. Surveillez que les outils de service sont adéquatement utilisés, en examinant le log et le journal d’audit.
3. Ne créez des ID utilisateur qu’avec les stricts privilèges encadrant le job demandé.
4. Créez des ID utilisateur avec des mots de passe expirés afin que l’utilisateur soit obligé d’en changer à la première utilisation.
5. Ne donnez qu’à un ou deux ID utilisateur des outils de service la faculté de gérer la sécurité de ceux-ci.
6. Pour les utilisateurs qui n’emploient qu’occasionnellement les outils de service, prévoyez de désactiver leur ID utilisateur des outils de service après chaque usage et de le réactiver dès que nécessaire.
7. Changez tous les mots de passe ID utilisateur des outils de service fournis par IBM en autre chose que la valeur par défaut livrée. (Le meilleur moment pour cela est l’installation système, avant tout connexion au réseau.)
8. Si vous autorisez des ID utilisateur des outils de services avec mots de passe expirés et par défaut, à changer leurs propres mots de passe, assurez-vous qu’il n’existe aucun ID utilisateur avec des mots de passe par défaut.
9. Supervisez les autorités de la commande STRSST, en gardant *PUBLIC *EXCLUDE par défaur, et en réservant l’autorité privée à QSRV seulement.

Et pour une politique de sécurité très stricte en entreprise, voici quelques autres mesures à considérer.

1. Créez votre propre ID utilisateur des outils de service avec les mêmes privilèges que l’ID utilisateur des outils de service QSECOFR, désactivez l’ID utilisateur des outils de service QSECOFR, et utilisez celui que vous avez créé.
2. Verrouillez les valeurs système liées à la sécurité.
3. Utilisez la stratégie de mots de passe des outils de service alternée.
4. N’autorisez pas les ID utilisateur des outils de service avec des mots de passe expirés et par défaut, à changer leurs propres mots de passe.
5. Ne validez pas l’autoconfiguration des profils d’unités SST.

IBM Systemi : Security Service Tools

Attachez beaucoup d’attention aux divers aspects de la sécurité des outils de service. Au minimum, utilisez la fonction vous permettant de créer des ID outils de service strictement limités aux privilèges indispensables à l’utilisateur pour mener à bien sa tâche. Pour plus de détails sur les ID utilisateur des outils de service, voir la publication IBM « Systemi : Security Service Tools ».