Autorización por transferencia de transferencias de archivos por transacción

Question

Autorización por transferencia de transferencias de archivos por transacción

#1 de Eric G (1 votos)
#2 de Jeff Ferland (1 votos)

1

En mi organización, los usuarios tienen los derechos para transferir archivos hacia y desde servidores que utilizan el protocolo de transferencia de archivos SSH por una variedad de razones; p.ej. solución de problemas de aplicaciones, BAU, etc.

Aunque nuestros servidores están configurados con el registro para realizar un seguimiento de lo que han hecho los usuarios, todavía nos gustaría controlar la operación de transferencia de archivos realizada por los usuarios en un sentido que nos gustaría hacerlo como una operación privilegiada y está permitido cuando un usuario ha planteado una solicitud válida; No como y cuando les plazca.

La forma más efectiva que se me ocurre es habilitar / deshabilitar manualmente el servicio SFTP siempre que haya una solicitud y que el usuario realice la operación de transferencia de archivos en una estación de trabajo dedicada. Pero suena un poco agotador aunque.

Para las instituciones del FSI, ¿cómo controlan dicha operación?

file-access server file-upload

pregunta JasperM 08.05.2013 - 15:52

fuente

2 respuestas

Lea otras preguntas en las etiquetas file-access server file-upload

Autenticación de certificado con la función ajax () de jQuery's configuración troncal de asterisco 'inseguro = muy'

score 1 · Answer 1

SFTP no está realmente destinado a lo que está tratando de lograr. Cualquier otra cosa que estarías implementando sería no estándar.

Es posible que desee crear una aplicación web para cargar, donde también puede implementar un flujo de trabajo donde haya solicitudes de autorización y tickets asociados con cada solicitud que un usuario autorizado debe usar para iniciar la transferencia de archivos. Podría escribir algo del lado del servidor y seguir utilizando SFTP.

En los servicios de manufactura y financieros, pueden usar cualquiera de una serie de técnicas y protocolos como MQ, Servicios Web (SOAP / REST), que pueden incorporar funcionalidad adicional, reglas, etc. También hay sistemas EDI de la vieja escuela con ejecutar hojas y archivos de control.

Es probable que esto también sea un ajuste mejor para el Superusuario, ya que realmente es un problema operacional (aunque todavía es necesario implementar los controles correctos durante todo el proceso).

score 1 · Answer 2

Podría escribir un módulo personalizado PAM que permitiría el acceso si un usuario no estuviera incluido en una base de datos (por lo tanto, no afecta a sus cuentas de administrador) o si la entrada de la base de datos del usuario tenía un ticket de soporte activo. Coloque una referencia a su nuevo módulo de autenticación personalizado en /etc/pam.d/sshd .