Protection de l’IFS contre les virus
par Phil Coulthard, Mis en ligne le 12/04/2006 - Publié en Novembre 2005
Pendant longtemps, les utilisateurs iSeries ont fait confiance à i5/OS pour repousser les virus, les chevaux de Troie et autres vers, qui assaillent les systèmes Microsoft Windows. Et cela, en grande partie grâce à l’architecture d’authentification basée sur la capacité i5/OS. Bien que cette architecture soit très « mature » (ses origines remontent au S/38 dans les années 1970) et présente parfois quelques faiblesses (que l’IBM traite rapidement), aucun virus n’est jamais parvenu à infecter un programme ou objet natif iSeries.En i5/OS, un objet fichier ne peut pas imiter un programme exécutable et un programme ne peut pas modifier le code binaire d’un autre : une fois créé, un programme est immuable. De plus, les programmes ne peuvent accéder aux objets que par des interfaces sûres et bien définies, et pas directement par l’intermédiaire d’une adresse mémoire ou disque. En matière d’objets natifs, i5/OS rend inopérantes les techniques habituelles des auteurs de virus.
Dans ce propos, le terme vedette est l’adjectif « natif ». La robuste sécurité objet de l’iSeries ne s’étend pas jusqu’aux portions de l’IFS (integrated file system) – particulièrement les portions présentes dans les répertoires racine accessibles à distance par des postes de travail et des serveurs Windows porteurs de virus. Quand un système distant accède à l’IFS, il a le pouvoir d’infecter les fichiers IFS avec un code viral. Les systèmes non infectés qui liront ultérieurement les fichiers infectés pourront eux-mêmes être contaminés. Un virus peut ainsi se répandre dans un réseau d’entreprise en quelques minutes, causant des dégâts incalculables.
Jusqu’à la V5R3, la seule protection antivirus pour l’IFS était constituée de packages antivirus de type PC qui scrutaient la racine IFS à distance, en la traitant simplement comme un autre lecteur disque de PC. Malheureusement, pour pouvoir faire cela, le PC chargé du scanning doit posséder tous les droits objet sur l’IFS : un gros risque pour la sécurité. Le scanning proprement dit doit lire tout le contenu de l’IFS initialement, avec pour résultat de gros volumes de trafic réseau. Et, bien que les scans suivants puissent être limités aux seuls fichiers modifiés depuis le dernier scan, rien ne garantit qu’une infection ne surviendra pas et ne se répandra pas entre les scans.
Avec la V5R3, IBM fait bénéficier i5/OS de la puissance du scanning de virus natif. Moyennant de nouveaux attributs de répertoire et de fichier, valeurs système et programmes de sortie, l’iSeries fournit désormais des points de connexion pour les programmes antivirus tiers qui assurent la protection en temps réel de l’IFS, éliminant le risque d’infection entre des scans. Et comme la protection antivirus est native, elle ne gonfle pas le trafic sur le réseau. Mieux encore, les extensions antivirus i5/OS sont à la disposition de tous : développeurs antivirus commerciaux et non commerciaux. Il sera donc possible de porter un scanner antivirus open-source sur l’iSeries.
Il faut noter que la validation du scanning de virus V5R3 n’inclut pas le logiciel de scanning de virus et de réparation proprement dit. Il faut l’obtenir auprès d’un fournisseur tiers ou écrire le vôtre. Il existe un produit commercial disponible dès à présent – livré, en fait, dans le cadre de la V5R3 – qui permet de bénéficier immédiatement de la protection antivirus natif : StandGuard AV for V5R3 de Bytware. Il est fort probable que d’autres produits antivirus apparaîtront à l’avenir. Pour bien évaluer de tels produits, ou peut-être pour écrire le vôtre, vous devez comprendre les mécanismes de scan de virus de la V5R3.
Heureusement, les améliorations sont simples et vous les assimilerez rapidement. Il y a deux nouveaux attributs de fichier/répertoire, deux nouvelles valeurs système, et deux nouveaux points de sortie de programme. Quand vous
Sauvegarder et restaurer une base Exchange
par Pascal Creusot - Mis en ligne le 29/03/06 - Publié en Mars 2005
La messagerie est devenu au fil du temps un outil capital pour ne pas dire indispensable pour la vie de toutes les entreprises. De nombreux collaborateurs stockent leurs données au sein de la messagerie, et les messages échangés peuvent représenter des affaires ou des transactions pouvant atteindre des sommes importantes. Dans ce contexte, la sauvegarde et la restauration des données de la messagerie représentent donc un enjeu important pour les entreprises.
Impression
par Dan Riehl, Mis en ligne le 15/O3/2006 - Publié en Septembre 2005
PAA (Program Adoption of Authority) est une technique qui permet d’élever temporairement les autorités de certains utilisateurs pour leur permettre des actions normalement interdites par leur autorité naturelle. Par exemple, supposons que vous vouliez que les gens du help desk puissent redéfinir le mot de passe de l’utilisateur. C’est une fonction sensible pour laquelle le personnel du help desk a besoin de niveaux d’autorité supérieurs (*ALLOBJ, *SECADM, par exemple). Mais si vous octroyez ces hauts niveaux d’autorité aux profils utilisateur des servants du help desk, ils pourront en permanence toucher à vos données sensibles, une situation pour le moins dangereuse.Il faut dans ce cas un petit programme aux fonctions limitées permettant à de tels utilisateurs d’adopter la puissante autorité dont ils ont besoin pour réinitialiser le mot de passe. Dès que le programme adoptant se termine, le haut niveau d’autorité disparaît. C’est exactement ce qu’accomplit PAA.
PAA est une fonction utile que vous auriez tort d’ignorer. Tout en sachant que, dans de mauvaises mains, PAA peut servir de porte dérobée pour obtenir de hauts niveaux d’autorité sans la supervision et le contrôle appropriés.
Lors de mes évaluations des vulnérabilités sur OS/400, j’ai souvent constaté qu’un programme adoptant un haut niveau d’autorité avait été subrepticement créé sur le système et utilisé comme méthode d’infiltration d’un système de sécurité par ailleurs bien conçu. Grâce à l’un de ces programmes adoptants, un utilisateur avisé peut facilement s’octroyer l’autorité d’un utilisateur puissant, comme QSECOFR, et devenir virtuellement QSECOFR chaque fois qu’il le désire.
News iSeries – Semaine 7 – 2006
Toutes les actualités de la semaine du 13 au 19 Février 2006
Lire l'article
La programmation CGI et l’iSeries
par Bradley V. Stone Mis en ligne le 31/01/2006 - Publié en Juin 2005
Voilà plusieurs années déjà que la programmation CGI (Common Gateway Interface) se pratique sur l’iSeries. Depuis au moins la V3R2, IBM fournit des API grâce auxquelles les programmeurs peuvent créer des pages Web entièrement fonctionnelles, sans recourir à des solutions coûteuses et exigeantes en ressources.
Aujourd’hui plus que jamais, les entreprises recherchent le meilleur moyen de proposer des applications Web interactives à leurs clients et utilisateurs. Le choix est vaste, le marketing vante certains produits, et il s’en suit que la plupart des sites passent souvent à côté de la meilleure solution.
En utilisant les API déjà disponibles sur l’iSeries, directement ou par l’intermédiaire d’un utilitaire tierce partie, les programmeurs iSeries s’aperçoivent que la technologie la mieux adaptée à leur cas est précisément celle qu’IBM songe à supprimer.
Trucs & Astuces : iSeries Access for Windows
Les trucs & astuces de la semaine du 9 au 15 Janvier 2006
Lire l'article
Publication de SQL Server dans Active Directory
par Chad Miller - Mis en ligne le 07/12/2005 - Publié en Décembre 2004
Vous avez peut-être remarqué la présence de l'onglet Active Directory dans la boîte
de dialogue SQL Server Properties de la console Enterprise Manager et vous vous
être peut-être interrogé sur le rapport existant entre Active Directory (AD) et SQL
Server ainsi que sur l'avantage d'ajouter SQL Server avec ses bases de données à
AD. Les services réseau tels que les serveurs de fichiers et d'impression se servent
d'Active Directory pour publier et stocker des informations relatives aux ressources
qu'ils proposent. Celui-ci contient une liste des comptes utilisateur et un annuaire
des ressources réseau disponibles.
La puissance informatique s’efforce de suivre le mouvement
Mis en ligne le 08/11/2005 - Publié en Février 2005
Depuis l'an 2000, la School of Information Management
and Systems à l'Université de Californie - Berkeley - a étudié
la quantité de nouvelles informations créées chaque année.
Elle prend en compte toute information nouvellement créée,
stockée sur quatre supports physiques - impression, film,
magnétique et optique - et vue ou entendue dans quatre flux
d'information empruntant des canaux électroniques : téléphone,
radio, télévision et Internet. L'école projette également,
en se fondant sur les données de l'année précédente,
combien de nouvelles informations le monde créera dans les
années à venir.
RPG et l’IFS : Introduction aux fichiers Stream
par Scott Klement - Mis en ligne le 10/10/2005 - Publié en Janvier 2005
La documentation des API IFS (integrated file system) a de quoi impressionner
un programmeur RPG. Elle ne montre des exemples que pour les programmeurs
C, et les API sont dites de « type Unix », ce qui suggère qu'elles ne
sont pas destinées aux programmeurs RPG. N'en croyez rien ! Non seulement
vous pouvez utiliser les IFS à partir des programmes RPG, mais les API IFS
comptent parmi les plus simples.
Cet article est le premier d'une série traitant de l'utilisation de l'IFS à partir
d'ILE RPG. Je commence par les principes de base des fichiers stream, mais
dans les prochains articles nous verrons les fichiers texte, les fichiers binaires,
les répertoires et bien plus
Traiter les erreurs en RPG
par Julian Monypenny - Mis en ligne le 07/09/2005 - Publié en Novembre 2004
L’écriture du code est souvent simple : c’est plutôt le traitement des erreurs qui prend du temps. Les erreurs prennent toutes sortes de formes et de tailles, mais elles sont de deux types : explosives ou radioactives. L’erreur explosive est évidente : un message d’exception vous signale que le programme a éclaté. Inquiétantes au début, les erreurs explosives sont simples à résoudre. Une tête froide et une analyse soigneuse aboutissent à un redémarrage du programme en bon ordre. Les erreurs radioactives sont bien plus insidieuses : le programme continue à fonctionner mais la sortie est altérée. On peut ne pas détecter la corruption durant des semaines ou des mois, et la réparation du dommage ainsi causé peut tourner au cauchemar.
De meilleurs outils de développement DB2 UDB
par Paul Conte - Mis en ligne le 29/06/2005 - Publié en Octobre 2004
Depuis de nombreuses années, la plupart des développeurs iSeries
utilisent des outils de type écran passif ou écran vert, comme SEU.
Aujourd'hui, il existe de nouveaux outils : WDSc (WebSphere
Development Studio client), basé sur Windows et Linux, et
d'excellents outils d'édition et de débogage graphique dans RSE
(Remote System Explorer). Ces mêmes développeurs disposent
donc d'un environnement moderne pour la programmation
classique en RPG et Cobol, ainsi que pour le développement Java ...Mais qu'en est-il des tâches de développement en base
de données ? Dans cet article, je présente quelques nouveaux
outils d'IBM basés sur le client, y compris ceux de WDSc et
d'iSeries Navigator.
Changer les règles du jeu
par Frank G. Soltis - Mis en ligne le 02/11/2005 - Publié en Février 2005
Dès l'annonce des nouveaux modèles i5 en mai 2004, la plupart des observateurs ont bien compris que les processeurs POWER5 amélioreraient considérablement les performances de l'iSeries. Le degré exact d'amélioration était inconnu jusqu'à l'annonce du 570 à 16 voies en juillet. Ce 570 basé sur POWER5 à 16 voies a été l'iSeries le plus performant de tous les temps, avec un chiffre époustouflant de 44 700 CPW. Pour mettre cela en perspective, ce CPW est supérieur de 20 % au plus gros i890 basé sur POWER4 à 32 voies, présenté un an auparavant.
Considérations sur la sécurité de l’IFS
par Carol Woodbury - Mis en ligne le 04/10/2005 - Publié en Janvier 2005
Quand je m'entretiens de sécurité informatique avec
des administrateurs, il est un sujet qui semble les mettre mal
à l'aise : l'IFS (integrated file system). Aujourd'hui, tout le
monde ou presque a entendu parler de l'IFS, mais bien peu
savent comment assurer la sécurité de cette composante du
système.
L’avenir des écrans en mode caractère
par Jean Mikhaleff - Mis en ligne le 07/09/2005 - Publié en Novembre 2004
Le patrimoine
mondial des programmes avec écrans en mode caractères sur gros
systèmes Cobol et en RPG est évalué 5000 milliards de dollars. Ce gâteau mondial
colossal représente 30 fois le budget annuel de la France. Des sommes
considérables ont été investies en marketing depuis la fin des années 80 pour
essayer de convaincre les DI de « moderniser » ce patrimoine applicatif. 15 ans
plus tard, peut-on tirer un premier bilan ?
Le travail collaboratif avec Exchange
par Pascal Creusot - Mis en ligne le 15/06/2005 - Publié en Septembre 2004
Exchange n'est pas simplement un serveur de messagerie, mais c'est aussi une
plateforme conçue pour le travail collaboratif en entreprise. Contrairement à
de nombreux autres logiciels uniquement dédiés à la messagerie, Microsoft
Exchange intègre de manière native des outils et fonctions de travail en
groupe comme la délégation, la mise en place de règles, le partage des objets
Exchange tels que les contacts ou les calendriers. On trouve aussi au sein
d'Exchange avec la mise en place des dossiers publics, une véritable infrastructure
dédiée au partage des informations pour l'ensemble de l'entreprise.
Tous ces éléments sont autant de composants qui apportent une dimension de
travail collaboratif à cette plateforme de messagerie ...
CL : 10 trucs sympas
par Guy Vig - Mis en ligne le 02/11/2005 - Publié en Février 2005
Quand on m'a invité à écrire cet article,
j'ai pensé « Bien sûr que CL peut
être sympa ! ». Suivi d'un bémol, « Ca
dépend en fait de qui lira l'article ».
Voilà presque un quart de siècle que je
travaille avec CL : donc, CL est plus ancien
que certains des professionnels IT
qui liront cet article et pour qui la notion
de fonctions de programmation
« sympas » n'est pas forcément la même
que la mienne
Améliorer l’architecture applicative avec des solutions base de données
par Sharon L. Hoffman - Mis en ligne le 04/10/2005 - Publié en Décembre 2004
La segmentation du code en petits composants appelables améliore la modularisation
et favorise la réutilisation, tout en réduisant la taille et la complexité de
chaque composant de code. On peut appliquer ce principe par diverses techniques
de programmation iSeries, comme des appels de programmes et des programmes
de service. Mais nous nous intéressons ici à trois fonctions de base de données
iSeries qui facilitent le partitionnement des applications : les déclencheurs, les procédures
stockées, et les fonctions définies par l'utilisateur (UDF, user-defined functions).
La V5R3 améliore sensiblement l’I5/OS
par Sharon L. Hoffman - Mis en ligne le 30/08/2005 - Publié en Novembre 2004
En même temps qu'elle annonçait une release matérielle marquante,
IBM a grandement amélioré le système d'exploitation récemment rebaptisé,
i5/OS V5R3.
Bien que l'annonce de la V5R3 mette l'accent sur l'infrastructure, sur les plans matériel et logiciel, IBM n'a pas négligé l'outillage. La V5R3 présente de nouvelles possibilités intéressantes pour CL, ainsi que quelques améliorations très attendues de RPG et Cobol. WDSc (WebSphere Development Studio Client) pour iSeries, est lui aussi enrichi de nouvelles fonctions ...
Résoudre les problèmes Web dans iSeries Access
par Carole A. Miner - Mis en ligne le 22/06/2005 - Publié en Septembre 2004
Le meilleur conseil : lisez bien toute la documentation
iSeries Access for Web (numéro de produit 5722-XH2; souvent appelé simplement
Access for Web dans cet article) est une application Java qui tourne sur
l'iSeries versions V5R1 et V5R2 dans un serveur d'applications Web (comme
WebSphere Application Server, Apache Software Foundation Tomcat). Comme
le produit ne demande aucune installation de code PC, le dépannage se borne
généralement à vérifier que l'utilisateur du navigateur peut se connecter au
serveur iSeries et à l'application Access for Web ...Pour installer et configurer Access for Web sur votre serveur iSeries, il faut
d'abord télécharger le iSeries Access for Web Installation and Users Guide
(SC41-5518) à partir de la page Access for Web à www.ibm.com/eserver/iseries/
access/web. Si vous utilisez la liste ainsi obtenue et si vous suivez la documentation,
Access for Web sera vite opérationnel. Autre bonne source d'informations
: un nouveau Redbook, iSeries Access for Web ans HATS Limited
Edition : V5R2 Hot Topics for iSeries Browser Users (SG24-7005), dont une copie
téléchargeable se trouve aussi sur la page iSeries Access for Web.
10 Trucs & Astuces pour RPG IV
Les pros du RPG sont toujours en quête de nouvelles astuces et techniques pour simplifier leurs jobs, résoudre des problèmes épineux, introduire de nouvelles fonctions et rendre leurs programmes plus efficaces et plus faciles à maintenir. Les récentes releases RPG IV sont riches de nouvelles techniques et structures visant à optimiser vos programmes. Voici donc une liste de 10 trucs sympas (sans ordre particulier) que j’ai trouvés récemment
Lire l'article
