Curso RACF (Conocimientos básicos de la arquitectura del sistema III)

From RHS Wiki
Jump to navigation Jump to search

http://vidroop.es/alumno/leccion.php?id_leccion=3537&tipo_jerarquia=3

Logs[edit]

  • La PARAMLIB es la clave del entorno: Librerias
    • APF (Programas Autorizados, Soportan los subsistemas, reescriben las reglas del entorno, se insertan a si mismos)
    • Librerías LPA: Guarna las SVC,s y las Exits
    • SVC,s
    • Exits
    • MVS: Produce un log mostrando el progreso del sistema
    • ...

Registro de Actividad[edit]

Cada vez que hay una STC (Start Task) que no tiene ficha JOB asociado a un subsistema (CICS) o algún JOB controlado
por el JES2 que ha entrado y salido produce:

  • MENSAJES SITEMA (hay forma de evitarlo)
  • REGISTROS en el SMF
  • MENSAJES SPOOL

Herramientas de auditoría[edit]

DSMON[edit]

Provisto por IBMnen entornos RACF, Solo puede ser lanzado por usuarios con permiso AUDIT, muestra:

  • CPU-ID
  • CPU MODEL
  • OPERATING SYSTEM/LEVEL
  • SYSTEM RESIDENCE VOLUME
  • SMF-ID
  • RACF VERSION

SYSLOG[edit]

Estándar en el sistema Ejecutando: 

D IPLINFO

Muestra una información similar a DSMON

SMF[edit]

El corazón del sistema de seguimiento de la actividad

Herramientas de la instalación[edit]

  • REXX y otras

Servicios del sistema[edit]

  • Revisar la PARAMLIB
  • Un solo miembro de la PARAMLIB puede afectar a múltiples servicios
    • APF
    • Data sets (ficheros) críticos
    • Exits del sistema
    • Supervisor Calls (SVC,s) Puede cambiar un programa a estado supervisor
    • Subsistemas

Autorización APF[edit]

  • Es una parte de MVS
  • Permiso para invocar cualquier servicio del sistema
  • Permiso para utlizar SVC,s restringidas
  • Habilidad para ejecutar en estado supervisor o clave 0, 1
  • Permite cambiar cualquier bloque de memoria del sistema incluyendo bloques de control de seguridad

Servicios APF[edit]

El programa debe ejecutar desde una librería APF (IEAAPFxx o PROGxx)
El programa debe estar linkeditado con AC(1)
Las entradas de la PPT deben ser ejecutadas desde una librería APF, pero no necesitan ser AC(1)

Ejemplos de librerías APF[edit]

IEAAPFxx - Static APF Library List[edit]

  • No puede exceder de 253 entradas
  • Tabla estática (modificable en cualquier momento)
  • El data set no necesita existir
  • El volumen debe ser el volser, blancos (para SMS) o '******' para el sysres activo
  • Sintaxis posicional (no por palabra clave)
SYS1.LOADLIB             WYWPK1,         /* MSH SYSTEM REQUIRED */
SMS.LOADLIB                    ,         /* DFB SMS-MGD LOADLIB */
SYSRES.LOADLIB           ******,        /* DCC MUST BE ON SYSRES */
DSN.NOT.THERE            WORK01

OS:
D PROG,APF22

PROGxx - Dynamic APF and list[edit]

  • No tiene restricción de tamaño
  • Tabla dinámica (a través del comando SET PROG) cada vez que se hace un SET se graba un registro 90 dentro del SMF
  • Debe existir el data set
  • El volumen debe ser el volser, SMS, *MACAT* O '******' para el sysres activo
  • Sintaxis posicional (por palabra clave)
  • Controlado a través de utilidades de perfiles de clase: CSVAPF.xxx
FORMAT=[STATIC / DYNAMIC]
APF ADD DSNAME(SYS1.LOADLIB) VOL(SYSPK1) /* MSH etc */
APF ADD DSNAME(PDQ.LOADLIB) SMS /* DFB PDQ LOAD */
APF ADD DSNAME(SYSRES.LOADLIB) VOL(******)

Riesgos de APF[edit]

Son programas de utilidad del sistema, puede haber SVC,s piratas, para protegerse:
Universal access <= READ O [UACC(NONE) e ID(*) ACCESS(<=READ)], sobre todo con los dataset del sistema.
Revisar los productos que tengan autorización APF para comprobar:

  • Por que
  • Que hace
  • Que controles internos y externos tien

Sumario APF[edit]

  • Define programas que forman parte de MVS
  • Controlar quien, cuándo y por que se cambia
  • IEASYSxx - LNKAUTH=operando (no se debe usar) debería ser:
    • APFTAB (más restrictivo)
    • LNKLST (más abierto)
  • IKJTSOxx - Controles del TSO/E
    • 00 es el valor por defecto, pero hay que examinar otros sufijos
    • Alfabetizar las entradas
    • Revisar CLASS(TSOAUTH) RESOURCE(PARAMLIB) para que se puedan ejecutar los comandos PARAMLIB LIST o PARAMLIB UPDATE(xx)
    • Considera AUDIT(SUCCESS(READ)) sobre el perfil de comandos

Checklist[edit]

Revisar:

  • Miembros de parmlib PROGxx y IEAAPFxx
    • Ejecutar el comando D PROG,APF
  • Miembros de parmlib IKJTSOxx
    • Ejecutar el comando TSO PARMLIB LIST
    • Revisar CLASS(TSOAUTH)
  • Miembros de parmlib SCHEDxx
    • Comprobar entradas NOPASS Y KEY(0-7)
  • LNKAUTH= nunca: LNKLST mínimo: APFTAB en IEASYSxx
  • Revisar los datasets APF [listar DSMON para comenzar]
    • Entradas correctas NF, NM
    • Revisar UACC, perfiles de protección, GAC (General Access Contro), PERMIT lists

PPT (Tabla de propiedades de programas)[edit]

  • Parte del módulo de IBM (IEFSDPPT)
  • Se define parte en el miembro de Parmlib SCHEDxx
  • Propiedades
    • La mayoría relacionadas con rendimiento, NO SWAPABLE
    • Muy importantes:
      • NOPASS: Bypass de comprobación de contraseña y controles de RACF
      • KEY(n) Asignación de clave de protección de memoria
  • OJO: Un comando SET SCH=(xx,L) reemplaa la tabla
  • En cada cambio se escribe el registro 90 de SMF

Ejemplos[edit]

  • TSO: PARAMLIB LIST (dentro de TSO)
IKJTSOxx
  • T SCH=(xx,L) DSMON report (para todo el sistema)
SCHEDxx

Data sets del sistema[edit]

Revisar el manual GC28-1432: System Data Sets Definition
Usar el informe DSMON SYSDSN Cualificado generalmente por SYS1.

  • Si es SYS1.algo mirarlo
  • Algunos deben tener acceso universal
  • Otros tienen que ser UNIVERSAL READ
  • Podrían estar definidos en los miembros de PARMLIB
    • Ningún fichero debería tener UNIVERSAL UPDATE
    • Excepto SYS1.BRODCAST

Ejemplos[edit]

Requeridos por el sistema:

  • Parmlib lógicos (SYS1.PARMLIB)
  • SYS1.NUCLEUS
  • SYS1.SVCLIB
  • SYS1.MIGLIB
  • SYS1.CSSLIB
  • LINKLIB lógica PROGxx (o LNKLSTxx)
  • LPALIB lógica PROGxx(o LPALSTxx)
  • Data sets de paginación
  • Data sets de Catálogos
  • Data sets de Dumps
  • Data sets de seguridad

Nota: Datasets APF no RACF PROTECTED = Riesgo de seguridad CRÍTICO

Sumario Data Sets del Sistema[edit]

Revisar cuidadosamente los perfiles:

  • GAC del tipo SYS1.*/READ
  • Utilizar DSMON para seguir los nombres dados a los data sets del sistema
  • Revisar los miembros de PARMLIB (Conocidos por tener modulos hechos en casa)
    • APPCPxx, COUPLExx, CSVLLAxx, IEAAPFxx, IEASYSxx, LOADxx, LNKLSTxx, LPALSTxx, MMSLSTxx, PROGxx, SMFPRMxx
    • Revisar nombres simbólicos
  • Documentación: Apendice C del Manual de RACF: Security Administrator's Guide (SC23-3726)
Retrieved from "https://wiki.herrerosolis.com/index.php?title=Curso_RACF_(Conocimientos_básicos_de_la_arquitectura_del_sistema_III)&oldid=887"