Ein großer Vorteil der IBM eServer i5 Server und ihrer Vorgänger, die in der heutigen Zeit immer mehr Kunden zu schätzen wissen, ist die integrierte Betriebssystemsicherheit. So zum Beispiel bietet die OS/400- bzw. i5/OS-Architektur einen hervorragenden Schutz gegen Viren. Genauer gesagt: Dieser Schutz bezieht sich auf i5/OS-Objekte – jedoch nicht auf Objekte, die im Integrated File System (IFS) gespeichert sind. Viren, die über FTP, NFS oder den NetServer auf den iSeries Server gelangen, richten wohl auf dem System selbst keinen Schaden an, können sich aber über die iSeries an angeschlossene PCs übertragen. Um Viren im IFS aufzuspüren, wurde bislang überwiegend ein Anti-Virus Programm auf einem PC installiert, um über den NetServer im IFS nach Viren zu suchen. Die Nachteile dieser Variante waren eine relativ schlechte Performance und die Möglichkeit nur komplette Scans durchzuführen.

Dies hat sich grundlegend in i5/OS geändert. Entgegen typischen PC-basierenden Betriebssystemen, bei denen Anti-Virus Scanning als Anwendung auf dem Betriebsystem läuft, ist die Basis für Anti-Virus Scanning ab V5R3 in das Betriebssystem integriert.

Neue Attribute für IFS-Verzeichnisse und Dateien sowie Systemwerte stehen zur Verfügung, um die Scanning-Eigenschaften zu kontrollieren. Das eigentliche Anti-Virus Scanning wird von Anti-Virus Programmen durchgeführt, die über Systemschnittstellen (Exit Points) im i5/OS-Betriebsystem registriert sind. Unabhängige Software-Hersteller haben damit die Möglichkeit, für i5/OS Anti-Virus Programme zu schreiben, die mit dem Betriebsystem zusammenarbeiten.

Zurzeit bietet Bytware Inc. das StandGuard Anti-Virus-Produkt für iSeries an. Dieses Produkt ist das erste im Markt, welches die neuen Systemschnittstellen unterstützt. Bytware Inc. und IBM haben ein Abkommen getroffen, bei dem das StandGuard Anti-Virus-Produkt als Try-and-Buy-Version mit allen neuen iSeries und i5-Servern ausgeliefert wird.

Funktionsweise

Nachdem ein Anti-Virus-Produkt auf dem System installiert ist und sich das Produkt in den Exit Points QIBM_QP0L_SCAN_OPEN (IFS Scan on Open) und QIBM_QP0L_SCAN_CLOSE (IFS Scan on Close) registriert hat, können die Scan-Eigenschaften eingestellt werden. Auf systemweiter Ebene wird das Scanning über den neuen Systemwert QSCANFS aktiviert. Wenn es eingeschaltet ist, wird das System alle IFS-Typ-2-Objekte in den File-Systemen /root, QOpenSys und User Defined File System überprüfen. Ein weiterer Systemwert – QSCANFSCTL – erlaubt eine feinere Einstellung der Scan-Eigenschaften. Die Systemwerte können auch über den iSeries Navigator (Security->Policies->Security Policy) eingestellt werden.

Weiterhin kann über neue Objektattribute kontrolliert werden, ob ein Objekt durch das registrierte Exit Program überprüft wird. Das *SCAN-Objektattribut gibt an, ob ein Objekt immer, nie oder nur nach einer Änderung überprüft wird. Über das *CRTOBJSCAN-Attribut bei Verzeichnissen wird der *SCAN-Attributwert für neue Objekte in dem jeweiligen Verzeichnis festgelegt. Hierbei ist darauf zu achten, dass die Eigenschaften des *SCAN-Attributes durch den Systemwert *QSCANFSCTL beeinflusst werden.

Vorteile der i5/OS-Implementierung

Im Vergleich zu herkömmlichen Anti-Virus Produkten erfolgt ein Objekt-Scan im täglichen Betrieb nur im Falle eines Zugriffs auf das Objekt. Das Objekt muss dazu im Lesemodus geöffnet werden. Stellt das Anti-Virus-Programm nun eine infizierte Datei fest, so kann es die Datei reparieren oder als infiziert kennzeichnen. Die Kennzeichnung, ob eine Datei infiziert ist, wird auch in den Objektattributen festgehalten. Im Falle einer Infizierung sperrt i5/OS jeglichen Anwenderzugriff auf das entsprechende Objekt und verhindert somit eine Verbreitung des Virus’. Das Betriebssystem kann sogar so eingestellt werden, dass ein Scan nur durchgeführt wird, wenn sich ein Objekt seit dem letzten Scan geändert hat. Ein Objekt-Scan kann allerdings auch durch folgende Situationen ausgelöst werden:

• die Anti-Virus Signaturdateien sind aktualisiert worden,
• die Scan-Signatur der Datei hat sich geändert,
• die Datei wird mit einer unterschiedlichen CCSID geöffnet,
• bei entsprechender Option während einer Sicherungsoperation (SAV Befehl),
• durch den Check Object Integrity- (CHKOBJITG-) Befehl. Dieser Befehl kann dazu benutzt werden, um z.B. am Wochenende einen Komplett-Scan durchzuführen.

Einige der zuvor aufgeführten Bedingungen können durch das *SCAN-Objektattribut und den QSCANFSCTL-Systemwert beeinflusst werden.
Weitere Informationen zu den neuen Exit Points und Scanning-Möglichkeiten finden Sie im iSeries InfoCenter unter Dateien und Dateisysteme „->Integrated file system->What’s new for V5R3“ auf der Webseite: publib.boulder.ibm.com/infocenter/iseries/v5r3/ic2929/index.htm

Fachautor: Thomas Barlen, IBM Technical Sales iSeries