系統(tǒng)賬戶缺省密碼檢查

Oo懶覺熊...

系統(tǒng)里用戶名和密碼相同是很大的安全隱患！

創(chuàng)建用戶CRTUSRPRF時
參數(shù)PASSWORD默認(rèn)是*USRPRF，密碼和用戶名相同

查找系統(tǒng)中使用缺省密碼的用戶
執(zhí)行 ANZDFTPWD

                      Analyze Default Passwords (ANZDFTPWD)
Type choices, press Enter.
Action taken against profiles  .   *NONE         *NONE, *DISABLE, *PWDEXP

執(zhí)行完命令后，會生成spool file "QPSECPWD"  

里面會列出該類用戶名及狀態(tài)、密碼是否過期和對應(yīng)的描述。

施展輕功，過而不留名者，拉出午門.... 120

[ 本帖最后由 Oo懶覺熊... 于 2008-2-16 23:58 編輯 ]

fxf_china

輕功不到家的飄過

1112

哦！~那這樣不是有漏洞，隨便一個權(quán)限夠的帳戶執(zhí)行ANZDFTPWD，就可以根據(jù)列出的帳戶登陸？

35200159

有可能有*SECADM權(quán)限的才有使用這個命令的權(quán)限吧,有機(jī)器時試一下.

qingzhou

Oo懶覺熊...最近表現(xiàn)不錯~~~     



我補(bǔ)充一下，AS400提供Security Tools菜單，專門用來系統(tǒng)安全方面的分析和設(shè)置，OS400命令行執(zhí)行GO SECTOOLS進(jìn)入。
有興趣的朋友自己好好每項(xiàng)仔細(xì)看看幫助。


SECTOOLS                        Security Tools                                 
                                                            
Select one of the following:                                                   
                                                                                
   Work with profiles
                                                         
      1. Analyze default passwords                                             
                                                                                
      2. Display active profile list                                            
      3. Change active profile list                                             
      4. Analyze profile activity                                               
                                                                                
      5. Display activation schedule                                            
      6. Change activation schedule entry                                       
                                                                                
      7. Display expiration schedule                                            
      8. Change expiration schedule entry                                       
                                                                                
      9. Print profile internals     
   
   Work with auditing
            
     10. Change security auditing                                               
     11. Display security auditing                                             
                                                                                
   Reports
                                                                     
     20. Submit or schedule security reports to batch                           
                                                                                
     21. Adopting objects                                                      
     22. Audit journal entries                                                  
     23. Authorization list authorities                                         
     24. Command authority                                                      
     25. Command private authority                                             
     26. Communications security                                                
     27. Directory authority                                                   
     28. Directory private authority                                            
     29. Document authority                                                     
     30. Document private authority                                             
     31. File authority                                                         
     32. File private authority                                                
     33. Folder authority                                                      
     34. Folder private authority                                               
     35. Job description authority                                             
     36. Library authority                                                      
     37. Library private authority                                             
     38. Object authority                                                      
     39. Private authority                                                      
     40. Program authority                                                      
     41. Program private authority                                             
     42. User profile authority                                                
     43. User profile private authority                                         
     44. Job and output queue authority                                         
     45. Subsystem authority                                                   
     46. System security attributes                                             
     47. Trigger programs                                                      
     48. User objects                                                           
     49. User profile information                                               
                                                                                
   General system security
                                                     
     60. Configure system security                                             
     61. Revoke public authority to objects                                    
     62. Check object integrity                                                
     80. Related security tasks

明亮

go SECTOOLS 菜單也不是一般用戶能執(zhí)行的。。

xuguopeng

原帖由 1112 于 2008-2-18 12:43 發(fā)表
哦！~那這樣不是有漏洞，隨便一個權(quán)限夠的帳戶執(zhí)行ANZDFTPWD，就可以根據(jù)列出的帳戶登陸？

這怎么能說是漏洞呢?