パスワードを使用しないでアクセス制限する
Question
今年度のセキュリティー監査を終えたばかりですが、監査員は、多数のユーザーがコマンド・ラインにアクセスしている点を問題にしていました。大部分のアカウントは、パスワードが *NONE (初期プログラムが *NONE、かつ初期メニューが MAIN) の「Q」 ではじまる(IBM提供) アカウントでした。(QSECOFR は別として) これらのアカウントのデフォルトが *NONE の場合、制限機能の値を *YES にしてもよいでしょうか。
Answer
パスワード *NONE の意味を、ユーザー・プロファイルをサインオンに使用できないと捉えているようですが、シングル・サインオン (Kerberos および EIM による SSO) なら、パスワードを *NONE にしても、コマンド・ラインに自動的にログインすることが可能です。したがって、ユーザー・プロファイルの制限機能パラメーターを *YES に設定するのは賢明です。
また、これらの(ユーザー・)プロファイル・オブジェクトの *PUBLIC 権限を確認して、それらが *EXCLUDE に設定されていることを確認する必要があります。さらにこれらのプロファイルには、他のユーザー・プロファイルやグループ・プロファイルに疑わしい個別権限が割り当てられていないことも合わせて確認してください。。そうでないと、他のユーザーから実行されたバッチ・ジョブや、またはプロファイルの切り替えにより、これらのプロファイルを使用して、不正な操作を行うことができてしまう場合があります。
その他にも次のようなセキュリティー面の考慮事項が残ります。リモート・コマンドの実行が有効になっている場合は、コマンド・ラインから実行できるあらゆるコマンドが FTP を使用して実行できます。したがって、これらのプロファイルに対しては必ず、リモート・コマンドの実行を無効にしてください。