, Intégrité des objets sur votre partition

Sur votre IBMi en version 40 de sécurité, vous pouvez signer vos objets !

Mais, êtes vous sur que tous les objets sur votre machine sont sains

Vous avez une commande qui permet de faire ce contrôle CHKOBJITV.
Demander une sortie, attention ca prendra un certain temps

Exemple :

SBMJOB CMD(CHKOBJITG USRPRF(*ALL) OUTFILE(votre bib/CHKOBJITG))
JOB(CHKOBJITG)
JOBQ(QSYSNOMAX)

Vous pouvez retrouver ces violations c’est la zone aiviol

Sur les programmes , programmes de service etc …

ALTERED – L’objet a été falsifié.
BADSIG – L’objet a une signature numérique qui n’est pas valide.
DMN – Le domaine n’est pas correct pour le type d’objet.
PGMMOD – L’objet exécutable a été falsifié.
BADLIBUPDA – L’attribut de protection de la bibliothèque n’est pas défini correctement.
SCANFSFAIL – L’objet a été analysé par un programme de sortie lié à l’analyse et, au moment de cette dernière demande d’analyse, l’objet a échoué à l’analyse.
Si une violation est enregistrée pour un module de microcode sous licence, le nom de l’objet sera le nom RU à 8 caractères, où le nom RU est le nom d’unité remplaçable du module de microcode sous licence, le nom de la bibliothèque sera vide et le type d’objet sera *LIC. Si une violation de ce type est rencontrée, contactez votre représentant de service pour récupérer.

Sur les fichiers

NOSIG – L’objet peut être signé mais ne possède pas de signature numérique.
NOTCHECKED – L’objet ne peut pas être vérifié, il est en mode débogage, enregistré avec de l’espace de stockage libéré ou compressé.
NOTTRANS – L’objet n’a pas été converti au format actuel ou n’est pas compatible avec la version, la version et le niveau de modification actuels.

Si après votre analyse vous avez des objets ALTERED ou BADSIG essayez de comprendre ce que c’est
Vous aurez beaucoup de NOTTRANS, ils ne sont pas très grave ?

Comment s’en prémunir pour ne plus injecter d’objet non conformes ?

il y a 3 valeurs systèmes à régler

QVFYOBJRST Vérification de l’objet à la restauration

QFRCCVNRST Forçage de la conversion à la restauration

QALWOBJRST Option de restauration des objets sensibles

Voici l’ordre dans lequel , elles s’enchainent

Attention faites des tests

Vous pourrez alors suivre par les audits ces violations
par exemple les types GR,OR,RA,RJ,RO,RP,RQ,RU,RZ sur les restaurations mais pas que …

Conclusion:

Pas de panique, mais on peut trouver des choses bizarres demandez des explications à vos fournisseurs de logiciels
et attention cependant aux objets de domaine *SYSTEM, si vous en avez dans la liste vous devez agir

/par
, , Utilisez DRDA sur #IBMi

Dans ACS vous avez des exemples comme si dessous

Vous indiquer le nom de votre base de données distantes et vous exécuter votre requête sur le système distant.

derrière cette requête ce cache un protocole nommé DRDA , comme ODBC il permet de ce connecté à une base de donnée distante.

Nous allons voir comment le mettre en œuvre .

sur le système source
Vous devez créer une entrée pour la base de données

le plus simple c’est de passer par la commande WRBRDBDIRE , vous ajouterez une connexion IP à votre système distant.

Sur le système cible
Vous devez paramétrer le service par la commande CHGDDMTCPA , il faut avoir le même mode d’authentification que la base de données distante, par défaut user + mot de passe
vous devez démarrer le service STRTCPSVR *DDM

voila c’est tout
vous pouvez à partir de votre système source faire un connect SQL sur votre système cible si vous avez un mot de passe.

Si vous ne voulez pas renseigner de mot de passe comme dans les exemples ACS vous allez devoir utiliser sur votre système source les postes poste d’authentification serveur.
Pour les ajouter vous avez la commande ADDSVRAUTE, vous devrez également avoir mis la valeur système QRETSVRSEC à ‘1’ pour que vos mots de passe soit enregistrés

il est conseillé d’ajouter un poste générique, par exemple QDDMDRDASERVER en indiquant un user et un mot de passe du système cible !

il n’y a pas de commande WRKSRVAUTE mais vous pouvez en trouver une ici https://github.com/Plberthoin/PLB/tree/master/GTOOLS/

Exemple :

A partir de ce moment la mot de passe sera passé directement.

Vous pouvez facilement, par des services sql comparer 2 partitions (valeurs systèmes, fonctions , etc …)

Remarques

Les noms doivent être en majuscule
il est conseillé de mettre un programme d’exit de contrôle
Attention, vous pouvez vous connecter avec un utilisateur *disabled
Les fichier DDM sur IP s’appuient sur cette technologie

/par
, Utilisez NFS sur votre IBMi

NFS est un protocole de partage de fichier issu du monde Unix, SMB est celui de windows c’est celui qui est utilisé dans NETSERVER.

https://fr.wikipedia.org/wiki/Network_File_System

Nous allons voir comment l’utiliser NFS sur l’IBMi qui peut être client et serveur par exemple pour partager un fichier d’installation ou de paramétrage.

Sur le serveur

Vous devez démarrer le serveur.

STRNFSSVR SERVER(*ALL)

Vous devez créer le répertoire à exporter

CRTDIR (‘/SHARE_NFS’)

Vous devez monter l’export

Paramétrage dans exports vous avez un fichier

EDTF STMF(‘/etc/exports’)
/SHARE_NFS/URANUS -ro

pour exporter

EXPORTFS

Si tout se passe bien vous aurez ce message :

Demande d’exportation exécutée.
1 postes exportés, 0 postes non exportés.

Vous pouvez être obligé de rajouter des droits sur votre partage :

CHGNFSEXP OPTIONS(‘-I -O RW=,ANON=0’) DIR(‘/SHARE_NFS/URANUS’)

Votre répertoire est maintenant exporté.

Sur le client

Vous devez démarrer le même serveur.

STRNFSSVR SERVER(*ALL)

Vous devez créer un répertoire pour le montage

MKDIR DIR(‘/MNT/NEPTUNE’)

Vous devez faire le montage

MOUNT TYPE(*NFS) MFS(‘NEPTUNE:/SHARE_NFS/URANUS’)
MNTOVRDIR(‘/MNT/NEPTUNE’)

Si tout va bien vous aurez ce message :


Système de fichiers monté.

Vous pouvez contrôler par :

DSPMFSINF OBJ(‘/MNT/NEPTUNE’)

Objet . . . . . . . . . . . . : /MNT/NEPTUNE

Type de système de fichiers . : Syst. de fichiers réseau (NFS)

Taille de bloc . . . . . . . . : 32768
Nombre total de blocs . . . . : 23303175
Blocs libres . . . . . . . . . : 5182808
Nombre maximal de liens à des
objets . . . . . . . . . . . : 32767
Nombre maximal de liens à un
répertoire . . . . . . . . . : 1000000
Longueur maximale d’un
composant de nom de chemin . : 255
Longueur maximale de nom de
chemin . . . . . . . . . . . : Pas de maximum

Pour accéder au fichier par exemple :

wrklnk (‘/mnt/NEPTUNE/*’)

Répertoire . . . . : /mnt/NEPTUNE

Vous pourrez voir votre fichier par 5

Remarque :

Vous pouvez l’utiliser que en serveur ou en client avec un système distant sous Linux le plus souvent.

C’est un protocole très connu par les administrateurs Unix.

Pour échanger entre IBMi, vous pouvez également utiliser QFileSvr.400

/par