安全加固手册.docVIP

8安全加固手册 8.2系统安全值设置 8.2.1查看目前系统值: WRKSYSVAL 一个一个顺序在终端上显示 或者DSPSYSVAL SYSVAL (system value) 8.2.2系统安全级别 推荐设置为40 QSECURITY 40 10 没有用户认证，没有资源保护 20 用户使用密码认证，没有资源保护 30 用户认证和默认的资源保护 40 跟30相似，但是控制了特权指令和设备的接口 （在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问） 50 增强型的安全访问控制，达到真正的C2级安全控制 8.2.3建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5设置帐户最大尝试登陆次数 QMAXSIGN 3（默认值） 达到最大尝试次数措施 QMAXSGNACN 3（默认值） 1 禁用终端 2 禁用用户配置文件 3 全部 （注:建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义） 8.2.6设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的32个密码一样 1 必须和以前的历史记录中的32个密码不同 8.2.7限制安全设备登陆 QLMTSECOFR 1 0 允许所有有*ALLOBJ授权的用户在任意显示终端登陆，有*SERVICE授权的用户可以使用*CHANGE公开认证手段登陆到任意显示终端 1 不允许有*ALLOBJ 或 *SERVICE的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问 8.2.8设置超时策略 QINACTITV 无活动的任务超时 *NONE:无超时 5-300 超时最大允许时间（分钟） 推荐15 非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆，可以继续以前session所保留的屏幕。当设置中断连接任务（*DSCJOB）值去中断任意交互式登陆。 8.2.9限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户ID的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时,登陆信息不显示 1 以下信息会被显示 最后登陆时间 从上次登陆以来的失败登陆 密码7天或之内密码将要过期的警告 8.2.11改变虚拟设备的自动配置值 QAUTOVRT值控制系统自动配置虚拟设备会话（比如5250telnet）的数量 QAUTOVRT值建议设置为*nomax 8.2.12改变远程登陆值 QRMTSIGN值控制是否当工作站支持显示终端或工作站支持功能，允许用户略过在远端系统的登陆提示。（pass-through类似于unix的rlogin功能） 可能值如下: FRCSIGNON: 所有系统的pass through sessions必须通过正常的登录（sign-on）过程 SAMEPRF: 仅允许远端系统profile名与本地系统一致的用户进行不通过登录（sign-on）过程的pass through sessions VERIFY: 如果 QSECURITY 设置为10，没有通过正常的登录（sign-on）过程的pass through sessions允许所有的pass through请求并且不检查密码。 QSECURITY 设置为30的时候必须进行登录。 REJECT: 不允许系统支持pass through sessions 8.2.13创建系统认证参数值 检查系统值报告里面的QCRTAUT参数，并且确认已经改变默认的值*CHANGE为 *USE或更少权限。 检查产品数据库和产品源代码被放在一个有合适的访问权限的库里维护。或者使用可视认证组件命令（Display Object Authority command ）并且检查每一个重要的产品数据库和源代码的公共认证访问 （PUBAUT） 访问参数设置为*EXCLUDE并且都设置了合适的访问控制。 8.3用户、组配置 8.3.1显示所有用户和组的profile DSPAUTUSR SEQ (*GRPPRF) wrkusrprf *all 8.3.2检查每个重要的组的profile，保证是由管理人员赋予的 8.3.3检查系统内的用户，保证是都由管理人员赋予的，并且他们的设置与他们的需要的功能一致 8.3.4系统安装时，已经预定义了许多用户的