Comment Filtrer Finement FTP ?

Vous connaissez les programmes d’exit

C’est des programmes qui vont s’éxécuter avant une action sur votre machine

On les gére par la commande

==>WRKREGINF

On Peut ajouter un programme par l’option 8

Prenons l’exemple de FTP

On veut sécuriser les accès FTP

On peut utiliser des fonctions, qui permettent d’utiliser ou d’interdire une fonction

On peut utiliser un programme d’exit (QIBM_QTMF_SVR_LOGON TCPL0100) qui permet facilement de tracer FTP.

Contrairement à une fonction utilisateur on peut juste tracer pour voir ce qui ce passe, en envoyant un message par exemple ?

Pour FTP ça peut ne pas suffire en effet le langage FTP dispose d’un jeu de commande (GET, PUT , RENAME, DLT , ETC..)

On peut pour cela utiliser les programmes que l’ont va associer à la valeur de registre QIBM_QTMF_SERVER_REQ

avec le format VLRQ0100

exemple en CLP

Voici les paramètres que reçoit le programme que vous allez écrire

PGM PARM(&APPID &OPID &USRPRF &REMOTEIP &REMOTELEN &OPINFO &OPLEN &OK)
DCL &APPID CHAR 4 / APPLICATION ID, BINARY NUM */
DCL &OPID *CHAR 4 /* OPERATION ID, BINARY NUMBER */
DCL &OPNUM *DEC 4 /* OPERATION ID, USABLE IN CL */
DCL &USRPRF *CHAR 10 /* USER PROFILE USING FTP */
DCL &REMOTEIP *CHAR 251 /* IP ADDRESS */
DCL &REMOTELEN *CHAR 4 /* LENGTH OF PREVIOUS PARAMETER */
DCL &OPINFO *CHAR 251 /* OP SPECIFIC INFORMATION */
DCL &OPLEN *CHAR 4 /* LENGTH OF PREVIOUS PARAMETER */
DCL &OK *CHAR 4 /* CONFIRMATION SIGNAL / / LENGTH DECIMAL */
DCL &RLEN *DEC 10 /* ROUTE LENGTH VALUE AS DECIMAL */
DCL &OLEN *DEC 10 /* LENGTH VALUE IN A DECIMAL FORM/ / ALLOWABLE VALUES FOR OPID FOR FTP CLIENT OR FTP SERVER */
DCL &STR *CHAR 4 VALUE(X’00000000′) /* START FTP */
DCL &MKD *CHAR 4 VALUE(X’00000001′) /* MAKE DIRECTORY */
DCL &RMD *CHAR 4 VALUE(X’00000002′) /* DLT DIRECTORY */
DCL &CD *CHAR 4 VALUE(X’00000003′) /* SET DIRECTORY */
DCL &DIR *CHAR 4 VALUE(X’00000004′) /* LIST DIRECTORY */
DCL &DELE *CHAR 4 VALUE(X’00000005′) /* DELETE FILE */
DCL &GET *CHAR 4 VALUE(X’00000006′) /* SEND FILE */
DCL &PUT *CHAR 4 VALUE(X’00000007′) /* GET FILE */
DCL &REN *CHAR 4 VALUE(X’00000008′) /* RENAME FILE */
DCL &SYS *CHAR 4 VALUE(X’00000009′) /* EXECUTE COMMAND / / ALLOWABLE VALUES FOR OK
DCL &NO CHAR 4 VALUE(X’00000000′) / DISALLOW FTP */
DCL &YES *CHAR 4 VALUE(X’00000001′) /* ALLOW FTP / / CONVERT THE LENGTH PARAMETERS FROM BINARY TO DECIMAL */
CHGVAR &RLEN %BIN(&REMOTELEN)
CHGVAR &OLEN %BIN(&OPLEN)

Les paramètres recus

Vous avez l’utilisateur qui est passé dans la zone &USRPRF
Vous Avez l’ordre FTP qui est passé dans la zone &OPID

Avec ces 2 informations vous pouvez autoriser en renvoyant X’00000001′ dans la Variable &OK
ou interdire en renvoyant X’00000000′

par exemple, un profil de type FTP user ne peut pas supprimer !

if cond(&USRPRF = ‘FTPUSR’) THEN(DO)
if cond((&OPID = &DELE) *or (&OPID = &RMD)) THEN(DO)
CHGVAR &OK &NO
ENDDO
ELSE DO
CHGVAR &OK &YES
ENDDO
ENDDO

Vous pouvez encore aller plus loin

Vous avez le paramètre &OPINFO qui contient des informations conplémentaires

Exemple

interdir le déplacement dans la bibliothèque produit

if cond((&OPID = &CD) *and %SST(&OPINFO 1 &OLEN) *EQ ‘/QSYS.LIB/PRODUIT.LIB’) ) then(do)
CHGVAR &OK &NO
enddo

Conclusions :

Vous pouvez combiner ces 3 informations pour établir un contrôle précis
-L’utilisateur
-La commande FTP
-La ressource
Vous pouvez rendre paramétrable ces validations en créant par exemple un petit fichier qui liste des utilisateurs avec les commandes FTP aux quels ils ont droit .

Remarques

La mise en place de votre programme d’exit ne se substitue pas aux autorisations natives de l’IBM i, un utilisateur interdit à un fichier ne peut pas y accéder …
Vous avez intérêt à passer par une phase d’analyse (qui fait quoi? )
Une fois que vous avez validé qui doit faire quoi , il faut fermer et ouvrir par exception
Votre programme doit être optimisé
Votre programme ne doit pas planté