サポートチーム便り2024.12.25
IBM i のセキュリティ対策としてDFU実行を制限する方法はありますか?
Question
セキュリティ対策の一環で、一部ユーザーを除き、STRDFUでのファイル操作を制限したく思います。
ファイル自体に制限・権限を与えるわけにはいかない事情があり、ひとまず制限したいユーザーはSTRDFUのコマンド自体に権限にて制限をかけました。
STRDFUの実行で無事DFUが起動しなくなったと安心していたのですが、念のためSTRPDMからも制限が掛かっているか確認をしたところ、実行できてしまいました。
どうすれば制限出来るのでしょうか。
Answer
挙動に関して承知しました。
ではまずはこちらでも実際に同様の挙動になるか確認いたします。
まずはユーザーにSTRDFUの実行を制限させてみます。
GRTOBJAUT OBJ(STRDFU) OBJTYPE(*CMD) USER(User) AUT(*EXCLUDE)権限が付与できましたら実行してみましょう。
STRDFUの実行は制限出来ているようですね。
では例のSTRPDMの「18=DFUによる変更」を実行してみましょう。
実行、出来てしまいましたね。
実はSTRPDM→2.オブジェクトの処理 or 3.メンバーの処理→18=DFU による変更を選んだ場合に実行されるコマンドはUPDDTAになります。
ではUPDDTAの方に権限を付与しましょう。
GRTOBJAUT OBJ(UPDDTA) OBJTYPE(*CMD) USER(User) AUT(*EXCLUDE)そして実行...
無事利用の制限が出来ました。ユーザーが利用できる範囲を正しく絞り、健全なシステム利用環境を整えていただければと思います。
by . 大熊猫橋
