Autorizzazione per trasferimento dei trasferimenti di file per singola transazione

Naviga le tue risposte
1

Nella mia organizzazione, gli utenti hanno il diritto di trasferire file da e verso server utilizzando il protocollo SSH File Transfer per una serie di motivi; per esempio. risoluzione dei problemi dell'applicazione, BAU, ecc.

Sebbene i nostri server siano configurati con la registrazione per tenere traccia di ciò che gli utenti hanno fatto, vorremmo comunque controllare l'operazione di trasferimento dei file fatta dagli utenti, nel senso che vorremmo renderla un'operazione privilegiata ed è consentita quando un utente ha sollevato una richiesta valida; non come e quando vogliono.

Il modo più efficace che potrei pensare è abilitare / disabilitare manualmente il servizio SFTP ogni volta che c'è una richiesta e l'utente esegue l'operazione di trasferimento file su una stazione di lavoro dedicata. Ma suona un po 'faticoso però.

Per le istituzioni FSI, come controllano tale operazione?

    
posta JasperM 08.05.2013 - 15:52
fonte

2 risposte

1

SFTP non è realmente inteso per ciò che stai cercando di realizzare. Qualsiasi altra cosa che implementeresti sarebbe non standard.

Potresti voler creare un'app Web per il caricamento in cui è anche possibile implementare un flusso di lavoro in cui sono presenti richieste di autorizzazione e ticket associati a ciascuna richiesta che un utente autorizzato deve utilizzare per avviare il trasferimento dei file. Potresti scrivere qualcosa sul lato server e utilizzare ancora SFTP.

Nei servizi manifatturieri e finanziari, possono utilizzare una serie di tecniche e protocolli come MQ, Web Services (SOAP / REST), che possono creare funzionalità aggiuntive, regole, ecc. Esistono anche sistemi EDI di vecchia scuola con eseguire fogli e controllare i file.

Probabilmente questo è anche un adattamento migliore per Super User poiché è un problema davvero operativo (anche se è ancora necessario implementare i controlli corretti durante tutto il processo).

    
risposta data 08.05.2013 - 16:35
fonte
1

Potresti scrivere un modulo personalizzato PAM che consentirebbe l'accesso se un utente non fosse elencato in un database (quindi non ha alcun effetto sugli account admin) o se la voce del database dell'utente ha un ticket di supporto attivo. Rilascia un riferimento al tuo nuovo modulo di autenticazione personalizzato in /etc/pam.d/sshd .

    
risposta data 08.05.2013 - 16:54
fonte

Leggi altre domande sui tag

Rileva manomissione del messaggio senza chiave condivisa e senza autorità di certificazione Processo di autenticazione asincrono vs. sincrono