Curso RACF (Conocimientos básicos de la arquitectura del sistema IV)

From RHS Wiki
Revision as of 19:26, 9 April 2016 by Rafahsolis (talk | contribs)
Jump to navigation Jump to search

Data Sets Dinámicos

Parmlib Dinámicas

No necesitan IPL (Implica reiniciar el sistema Initial Program Load), hasta 11 PARMLIBS

Linklist Dinámica

Reordena la búsqueda de un módulo en las librerías del sistema

Lpalist dinámica

Resecuenciamiento de la SYS1.LINKLIB, SYS1.LPALIB y SYS1.MIGLIB

Órden de búsqueda

  1. . Job pack area (JPA)
  2. . TASKLIB
  3. . STEPLIB or JOBLIB
  4. . LPA, en el siguiente órden:
    1. . Dynamic LPA modules, los especificados en PROGxx
    2. . Fixed LPA (FLPA) modules, los específicados en IEAFIXxx
    3. . Modified LPA (MLPA) modules, los especificados en IEALPAxx
    4. . Pageable LPA (PLPA) modules, cargados de la librerías especificadas en LPALSTxx o PROGxx

Suario DSMON

  • Heramienta básica de auditoría incorporada al comprar Security Server (RACF) es DSMON
  • Proporciona varios informes: System id, formatos de PPT, revisiones de protección de data sets sensibles
  • No todos los data sets del sistema se nombran SYS1.*
  • Lo miembros de parmlib (instalación o imagen específica del sistema) definen data sts del sistema)
  • Otras utilidades del sistema requieren generador de informes RYO y/o revisión del log de consola
    • El comando DISPLAY es mucho más comprensible que antaño
    • REXX EXEC puede emitir, capturar informar

Exits del sistema

  • Permiten la personalización de la ejecución de los servicios estándar del sistema
  • Tipos:
    • Embebidas / tomadores de decisión: IEFACTRT, IEFUJI
      Pueden necesitar cambios en función del producto existente.
    • Modify input / decisión: Pre y post proceso de la exit: ICHRIX01/02
    • Exits Estándar: IGGPRE00 - Pre-asignación de DASD
    • Especificadas en PARMLIB:
      • CONSOLxx - Exit Universal WTO (IEAVMXIT) (in)activa
      • EXITxx - Exits de asingnación de Recuperación
      • MPFLSTxx - Utilidad de proceso de mensajes (message processing | command intercept) Modificandola con un SET se puede ocultar rastros
      • PROGxx - Exits dinámicas SAF, llamadas por la utilidade de llamada de recursos CSVDYNEX.**
      • SMFPRMxx - Exits SMF
      • Otras...
    • Sistemas externos de seguridad
      • RACF / Top Secret - Activo si está presente en la LPA
      • ACF2 - Establecida en el registro C-GSO-EXITS
    • Exits de producto
      • Revisión de manuales: Seguridad / Exits / Adaptación
      • EXITxx - Exits de asignación de Recuperación
      • JES2 / JES3 - Muchas exits en la instalación
        Algunas pueden compromenter procesos de seguridad
      • VTAM - Más exits del sistema
  • Tendencia del futuro sistema:
    • Aumentan las exits
    • Mejor documentada
  • Revisión manual
    • Beneficios:
      • Estándares de cumplimiento automatizados
      • Instalación personalizada / especificaciones del sistema
    • Riesgos:
      • Puertas traseras
      • Controles comprometidos
  • Generalmente reside en la LPALIB. Puede ser instalada dinamicamente en (E)CSA.

Listado de EXITS

SVC,s (Supervisor Calls

  • Requerimientos de servicio del sistema operativo a nivel de usuario.
  • IBM restringe los métodos para alcanzar el estado SUPERVISOR
  • IBM se reserva 0 - 199
  • 200 - 255 son para uso de la instalación
    • Posibilidad de apropiarse de SVC,s no usadas segun la versión de MVS
  • Parmlib (IEASVCxx) documenta algunas
  • Algunos productos autorizados APF instalan SVC,s por si mismos
  • Utilidad del sistema para ver las SVC,s en uso (map SVCs)

Subsistemas

  • Subsistema: Realiza funciones en beneficio de muchos usuarios
    • DB2, JESx, IMS, operaciones automátizadas, etc.
  • Parte integral del sistema operativo
    • Notificación de eventos del sistema seleccionados
    • Puede recibir órdenes emitidas por el comando EVERY
  • La mayor parte están definidos en parmlib (IEFSSNxx)
    • ¿Tiene alguien asignada la responsabilidad?
    • ¿Está IEFSSNxx documentado?
  • Algunos productos autorizados APF los instalan SVC,s ellos mismos
  • Revisión para exits, interfaces de seguridad, etc.
    • JESx
    • DB2
  • Uso de una utilidad de escaneo del almacenamiento para revisión

IEFSSNxx Tabla de nombres de subsistemas

  • Los comentarios siguen la especificación - fomenta su uso
  • Especifica los componentes del sistema de servicios multi-usuario
  • SMS debe ser primero (si es usado)
    • PROMPT=DISPLAY devuelve los parámetros en el arranque
    • JES debe ser el segundo
  • Busca el subsistema RACF
  • No todos los subsistemas se definen allí, algunos se instalan dinámicamente a si mismos (autorizados APF), algunos pueden anunciar su presencia, otros no.

Unix system services

Era opcional, ahora automático

  • Proporciona múltiples servicios basados en internet (FTP, SMTP, etc)
  • Prefijo BPX u OMVS (OpenEdition MVS)
  • Sistema de ficheros jerárquico (HFS)
  • Llamadas SAF(System Authorization Facility)
    • FACILITY BPX.**
    • SURROGAT BPX.**
    • UNIX PRIV

Resumen

  • El sitema tiene el mejor aislamiento de cualquier JOB, usuario o STC's ejecutando en su entorno de la industria.
  • La forma de hacerlo produce que todos los jobs, usuarios o STC's tengan en su direccionamiento todas las tablas críticas con las que construir una estrategia de penetración o abuso de autoridad
  • Todos los parámetros dinámicos dificultan mucho el seguimiento de la configuración del entorno para saber quien podia hacer que a que hora
  • Los módulos son fijos pero sus directorios no, esto hace que puedan ser sustituidos
Retrieved from "https://wiki.herrerosolis.com/index.php?title=Curso_RACF_(Conocimientos_básicos_de_la_arquitectura_del_sistema_IV)&oldid=903"