Isilon: OneFS 8.X og nyere: Sådan låser du -chroot jail- FTP-brugere i en bestemt mappe

Følgende vil blive dækket:

• Gennemgang af aktuelle FTP-indstillinger
• Forklaring af almindeligt justerede indstillinger
• Standardadfærd
• Routing af brugere til en bestemt mappe
• Begrænse brugere til et mappetræ

Gennemgang af aktuelle FTP-indstillinger

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Almindeligt justerede indstillinger

Der er et par indstillinger relateret til, hvordan brugere dirigeres ved login, der ofte ændres:

• Altid Chdir (skift arbejdsmappe) Homedir (hjemmemappe)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Definerer, hvorvidt Isilon tillader en bruger at FTP-sende direkte til en anden mappe end startmappen
• Chroot-undtagelsesliste
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Definerer, hvem der kan omgå Chroot Local Mode
• Chroot lokal tilstand
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definerer, hvorvidt chroot anvendes, og hvordan vi anvender det
    • Alle | Brugeradgang er begrænset til Local Root Path og børn
    • alle-med-undtagelser | Alle brugere undtagen dem i Chroot Exception List er begrænset til Local Root Path og børn
    • ingen | Brugeradgang er ikke begrænset til Local Root Path
    • ingen-med-undtagelser | Ingen brugere undtagen dem i Chroot Exception List er begrænset til Local Root Path og børn
• Lokal rodsti
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Dette definerer, hvor FTP-brugere dirigeres ved login. Hvis feltet efterlades, er det som standard brugeren homedir

Standardfunktionsmåder for FTP

Sådan opfører FTP-tjenesten sig som standard.

• Tillad anon-adgang: Nej
• Altid Chdir Homedir: Ja
• Chroot lokal tilstand: ingen
• Lokal rodsti: –

Det betyder, at kun brugere, der findes på en godkendelsesudbyder, får adgang til klyngen via FTP. Systemet starter altid en forbindelse ved at sende dem til deres rodmapper og giver dem derefter mulighed for at gennemse frit (baseret på tilladelsesevaluering). Siden Local Root Path er udefineret, dirigeres brugerne til den sti, der er angivet i deres brugerprofil. Du kan kontrollere det med isi auth users $username | grep Home hvor $username erstattes med det brugernavn, du kontrollerer. Her er et eksempel med en lokal bruger:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

I standardkonfigurationen vil brugeren ovenfor oprette forbindelse til Isilon, blive dirigeret til /ifs/home/xavier (uanset den sti, der er indstillet på forbindelsen), og kunne derefter ændre mapper til /ifs/home/ siden Chroot Local Mode er indstillet til Ingen.

Routing af brugere til en bestemt mappe

Som standard dirigeres brugere, der opretter forbindelse til OneFS FTP-tjenesten, til deres hjemmemappe. Men kunder ofte snarere, at FTP fungerer mere som en dropbox. I så fald skal du blot redigere indstillingen Local Root Path. Dette får brugerne til at dirigere til denne sti i stedet for deres hjemmemappe. Hvis du indstiller værdien til <tom> , nulstilles den til hjemmemapper.

Her er nogle eksempler på disse kommandoer:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Begrænse brugere til et mappetræ

Som standard kan brugere, der opretter forbindelse til OneFS FTP-tjenesten, se hele filsystemet og navigere i det som tilladt i henhold til deres tilladelser (vi kontrollerer stadig brugernavn osv.), men mange kunder foretrækker, at deres brugere kun forbliver begrænset til den del af filsystemet, der er relevant for dem. Dette opnås med indstillingen Chroot Local Mode. Når denne indstilling anvendes på en bruger, kan vedkommende kun navigere til eller se filer under deres Root Path. Som standard er dette indstillet til ingen, men der er 4 forskellige anvendelser af indstillingen.

Juster denne indstilling med isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• Alle | Brugeradgang er begrænset til Local Root Path og børn
• alle-med-undtagelser | Alle brugere undtagen dem i Chroot Exception List er begrænset til Local Root Path og børn
• ingen | Brugeradgang er ikke begrænset til Local Root Path
• ingen-med-undtagelser | Ingen brugere undtagen dem i Chroot Exception List er begrænset til Local Root Path og børn

Tilføj undtagelser med isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Her er et eksempel på begrænsning af alle undtagen én bruger til /ifs/ftp. Den ene bruger vil stadig starte sin forbindelse, men vil kunne se resten af /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Bemærkninger

Kommandoreference:

• PowerScale OneFS CLI-administrationsvejledning
  • Denne administratorvejledning definerer ikke funktionsmåden for alle kommandoer