Una forma sencilla de ejecutar procesos SFTP es que sean sometidos al batch con el usuario que si tiene los permisos, es decir, utilizando el parámetro USER del SBMJOB:
SBMJOB CMD(CALL MILIB/MISFTP) JOBQ(QBATCH) USER(USRSFTP) Así solo se le da autorización a un usuario (en este ejemplo USRSFTP) y los otros perfiles tienen que tener permiso para someter trabajos en nombre de USRSFTP. También se podría tener un programa sometido por el usuario con permisos y que reciba peticiones por ejemplo por una DTAQ y responda por otra DTAQ. Saludos. De: forum.help400 <forum.help400-boun...@help400.com> En nombre de datil400 Enviado el: jueves, 21 de septiembre de 2023 10:47 Para: forum.help400 <forum.help400@help400.com> Asunto: Re: Cómo proteger claves privadas SSH para conexiones públicas Hola Carlos, la autorización adoptada no funciona con el IFS. Estoy intentado simular "algo" parecido cambiando el usuario o grupo efectivo (seteuid, setegid) del trabajo a ver si funciona. De momento, ¡me queda demasiado grande! He revisado algunos artículos sobre Linux relacionados con el grupo o usuario efectivo de un script del shell. Tengo claro lo que quiero pero no sé si voy por el buen camino. Gracias por tu interés. Javier Mora El mar, 19 sept 2023 a las 19:05, Carlos (<cuentadecorreodecar...@gmail.com <mailto:cuentadecorreodecar...@gmail.com> >) escribió: Hola Posiblemente la mejor opción sea que el programa que realiza el SFTP tenga autorización adoptada y de esa forma el único perfil de usuario con acceso a la carpeta sería el propietario del programa. Y si este usuario es un usuario con contraseña *NONE que solo se use para estos temas (o para ejecución de procesos o cosas así) y que no se use como perfil de grupo creo que tendrías la seguridad que necesitas [siempre y cuando los usuarios no tengan *ALLOBJ, que es una costumbre muy fea :-)] Saludos Carlos El 19/09/2023 a las 13:57, datil400 escribió: > Hola a tod@s, > > últimamente la mayoría de nuestros proveedores de servicios están > cambiando sus servidores FTP por SSH (sftp). Casi todas las conexiones > se realizan con el sistema de clave pública/privada para evitar tener > registradas las contraseñas. > > Normalmente los procesos de comunicaciones suelen ser trabajos por > lotes que utilizan el mismo perfil de usuario y, por lo tanto, es > posible proteger el archivo con la clave privada sólo para el uso de > este usuario. > > Sin embargo tenemos procesos que se ejecutan a petición del usuario > (un punto de menú), además pueden ser más de un usuario y no queremos > configurar uno a uno las conexiones ssh. Lo que hemos hecho en este > caso ha sido poner las claves privadas en una carpeta con permisos de > lectura a todos los usuarios y hemos incluido todas las conexiones > 'globales' en el archivo 'ssh_config'. > > Me preocupa que los ficheros con las claves privadas queden expuestas > en una carpeta dónde todo aquel que llegue a ella podría sustraerla > sin permiso. Sin embargo, si las protejo quitando el permiso de > 'lectura' ya no las pueden utilizar los usuarios. > > ¿Qué posibilidad hay de proteger las claves privadas de las conexiones > SSH para uso 'público' sin que queden expuestas? > > Disculparme si no he sido capaz de explicarme correctamente. > > Un saludo y gracias por vuestros comentarios. > > Javier Mora > > ____________________________________________________ > Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) > Forum.Help400 � Publicaciones Help400, S.L. ____________________________________________________ Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) Forum.Help400 � Publicaciones Help400, S.L.
____________________________________________________ Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) Forum.Help400 � Publicaciones Help400, S.L.
