[NEWSboard IBMi Forum]
  1. 25-05-01, 09:46 #1
    Olli
    Olli is offline [User]
    Registriert seit
    May 2001
    Beiträge
    12

    Cool Sicherheitslücke?

    Hallo,

    ich mache Urlaubsvertretung für unseren AS/400 Administrator. Durch Zufall habe ich 3 mal das falsche Admin-Kennwort eingegeben und wurde gesperrt. Ich weiß, dass unser Admin den Befehl "actusr" installiert hat. Mit diesem Befehl kann man Benutzer wieder aktivieren. Warum wir das nicht mir wrkusrprf machen liegt auf der Hand, denn nur der Admin darf wrkusrprf, jedoch ist dieser manchmal nicht da und andere Mitarbeiter müssen Benutzer wieder aktivieren.

    Jetzt habe ich natürlich versucht mit meinem Benutzerprofil das Admin-Profil wieder zu aktivieren. Zu meinem erstaunen funktionierte dies.

    D. h. jeder User mit Command Line kann den QSYSOPR verwenden. ;-)

    Gibt es eine Möglichkeit die Sicherheitslücke zu schließen, ohne actusr zu löschen?

    Ist der Befehl actusr weit verbreitet, oder ist das nur eine Einzelprogrammierung von meinem Chef?

    Ich bedanke mich bereits für Eure Hinweise.

    Viele Grüße
    Olli
    Mit Zitat antworten Mit Zitat antworten
  2. 25-05-01, 10:44 #2
    K_Tippi's Avatar
    K_Tippi
    K_Tippi is offline [professional_User]
    Registriert seit
    Dec 2000
    Beiträge
    281

    Talking

    Hallo Olli
    Ich klaub es handelt sich dabei um ein eignen gestricktes Programm. Dieses Programm wurde warschenlich vom Secofr (oder jemanden mit diesen Rechten) mit der Programmberechtigung *OWNER um gewandelt. Damit kann man die Berechtigungen unterlaufen, da ja das Programm die Berechtigung des Erstellers hat.
    Gruß Klaus
    Programmierung
    Mit Zitat antworten Mit Zitat antworten
  3. 25-05-01, 10:51 #3
    Olli
    Olli is offline [User]
    Registriert seit
    May 2001
    Beiträge
    12
    Ah... das kann gut möglich sein.

    Heißt das, wenn ich das ACTUSR Tool mit einem Standart-Benutzer umwandle, dann kann ich nur noch alle hirarchisch darunter liegenden Benutzer freischallten?

    Schon mal vielen Dank.

    Grüße
    Olli
    Mit Zitat antworten Mit Zitat antworten
  4. 26-05-01, 10:43 #4
    vill
    vill is offline [User]
    Registriert seit
    Mar 2001
    Beiträge
    15

    Post

    Hallo,

    wenn man mit übernommenen Berechtigungen arbeitet, muß das Programm die "rechtmäßige" Nutzung gewährleisten.

    Daß heißt, wenn jeder es aufrufen darf, darf es nur für einfache Benutzerprofile arbeiten. In das Programm gehört ein Filter, für welche Profile es Änderungen vornimmt. Ausgemommen werden müssen natürlich alle Q???????-Profile.

    Grüße
    Dietmar Vill
    Mit Zitat antworten Mit Zitat antworten
  5. 28-05-01, 09:20 #5
    Fuerchau's Avatar
    Fuerchau
    Fuerchau is offline [Content_Admin]
    Registriert seit
    Feb 2001
    Beiträge
    20.241
    Das Programm 'actusr' muß mit *OWNER unter einem Profil laufen, dass *SECADM-Rechte besitzt, da sonst generell kein CHGUSRPRF (ausser dem eigenen) möglich ist.
    Man sollte das Programm jedoch mittels EDTOBJAUT nur speziellen Usern zugänglich machen (*PUBLIC *EXCLUDE, USER1 *USE, ...).
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de
    Mit Zitat antworten Mit Zitat antworten
« Vorheriger Thema | Nächster Thema »

Similar Threads

  1. Sicherheitslücke *ALLOBJ
    By Fuerchau in forum IBM i Hauptforum
    Antworten: 8
    Letzter Beitrag: 07-04-03, 14:05

Bookmarks

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •  

Foren-Regeln