FTP Userexitprogramm

[kuempi von stein]

Hello again,

neuer Tag, nächstes Thema.
Bin gerade dabei, das Beispiel für FTP server request program aus den Hanbüchern der IBM abzutippen um es dann nach eigenen Gutdünken leicht zu modifizieren.
Hintergrund ist ein FTP-Zugriff auf das System, dem alles untersagt werden soll, was Schaden anrichten könnte.
Einzig eben der put und get und so soll noch möglich sein.
Wenn ich das Beispiel im Handbuch richtig verstehe, muss ich das fertige Programm ja wohl nur noch mit WRKREGINF irgendwie eintragen und dann sollte es nach neustart funzen.

Auch hier frage ich mal lieber vorsichtshalber in die Runde, ob es dabei was zu beachten gibt...?

kuempi

[ratinger]

ich würd´s aus dem acrobat- reader exportieren.

[kuempi von stein]

ich würd´s aus dem acrobat- reader exportieren.

*lach*

ja klar,
ich meinte mit "abtippen" schon nen copy and paste...


Nun habe ich aber immer noch Unklarheiten bezüglich der Installation und Registrierung des Programms.
In der Anleitung steht:

PHP-Code:

Create a library to contain your exit programs and their log files. 
Compile your exit programs in this library. 
Grant PUBLIC *EXCLUDE authority to the library, program, and file objects.
 
The FTP server application adopts authority when necessary to resolve 
and call the exit program.
Register the exit program 


Mir ist noch nicht ganz klar, warum ich da mit *EXCLUDE arbeiten soll.
Auf die Programme kann doch eh keiner zugreifen, es gibt keinen anonymen Zugang zu FTP, wenn dann eh nur "erlaubte VPN-Zugriffe"....
Und das Exitprogramm soll ja eben genau die berechtigten FTP-Kommandos regeln.
Also muss ich doch da nicht mit *EXCLUDE rumspielen?

kuempi

Zusatz: Es scheint zu klappen. Na Supi...

[holgerscherer]

Auf die Programme kann doch eh keiner zugreifen, es gibt keinen anonymen Zugang zu FTP, wenn dann eh nur "erlaubte VPN-Zugriffe"....

Also muss ich doch da nicht mit *EXCLUDE rumspielen?

Erste Regel bei Sicherheit: vertraue niemandem!
Zweite Regel: Rechte so restriktiv wie möglich einstellen, egal - ob es auf den ersten Blick nötig erscheint oder nicht
Dritte Regel: im Zweifelsfall jemanden fragen, der sich damit auskennt

*grins* ;-)

-h

[dcsline]

Warum verwendest Du nicht das Exitprogramm SECTCP von Giovanni B. Perotti (IBM Italy). Dieses hilft Dir die Schleusen FTP und Telnet "dicht" zu machen. Du kannst die zugriffsberechtigten User und deren Rechte definieren und Du kannst desweiteren die "allowed domains" definieren, also jene Bereiche auf denen mit FTp zugegriffen werden kann. Auch kann man festlegen welche IP-Adressen berechtigt sind. Dieses Exitprogramm kann in einem seperatem Punkt auch genutzt werden, um die Telnet-Zugriffe zu restriktieren! Eine Protokollierung der gesamten Aktivitäten gehört ebenfalls dazu!

[kuempi von stein]

Also erst nochmal thx für die Hilfe.

Aktuell habe ich ein kleines CLchen welches im Testbetrieb genau das macht was es soll.
Nämlich ne Meldung geben, wenn jemand mit FTP zugreift und einen bestimmten User in seinen FTP-Möglichkeiten beschränken.
Ob das so jemals in Produktion laufen wird ist noch vollkommen unklar, evtl. darf eh keiner auf die Kiste rauf.
Die Materie scheint mir aber auch klar abgegrenzt und verständlich zu sein und entspricht dem Spruch von Peter (huhu! wink!) früher "Immer klare Verhältnisse schaffen"...
Telnet war hier bisher absolut kein Thema.
Und so nebenbei komme ich an SECTCP nicht ran, meine Anmeldung bei IBM scheint da nicht zu greifen, weshalb ich da schon anfange ne leichte Abneigung gegen zu entwickeln.
Gibts da irgendwo Doku drüber, dass man sich da mal einlesen kann ehe ich da drüber nachdenke?

Aber wie gesagt, die "Server Request Validation exit program"-Geschichte ist bei mir eigentlich inszwischen abgehakt, weil es läuft so wie es sollte.

kuempi

[dcsline]

Hallo,

dies findest Du auf der Seite von Giovanni B. Perotti : www.easy400.net