Isilon: OneFS 8.X och senare: Hur man låser-chroot jail-FTP-användare i en specifik katalog

Följande kommer att omfattas:

• Granska aktuella FTP-inställningar
• Förklaring av vanligt justerade inställningar
• Standardbeteenden
• Dirigera användare till en specifik katalog
• Begränsa användare till ett katalogträd

Granska aktuella FTP-inställningar

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Vanligt justerade inställningar

Det finns några inställningar relaterade till hur användare dirigeras vid inloggning som ofta ändras:

• Alltid Chdir (ändra arbetskatalog) Homedir (hemkatalog)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Definierar om Isilon tillåter en användare att FTP-direkt till en annan katalog än den ursprungliga
• Undantagslista för chroot
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Definierar vem som får gå förbi Chroot Local Mode
• Chroot lokalt läge
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definierar om chroot tillämpas och hur vi tillämpar den
    • Alla | Användaråtkomsten är begränsad till Local Root Path och barn
    • Alla-med-undantag | Alla användare utom de i Chroot Exception List är begränsade till Local Root Path och barn
    • ingen | Användaråtkomst är inte begränsad till Local Root Path
    • Inga-med-undantag | Inga andra användare än de i Chroot Exception List är begränsade till Local Root Path och barn
• Lokal rotsökväg
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Detta definierar var FTP-användare dirigeras vid inloggning. Om den lämnas tom används användarens homedir som standard

Standardbeteenden för FTP

Så här kommer FTP-tjänsten att bete sig som standard.

• Tillåt Anon-åtkomst: Nej
• Alltid Chdir Homedir: Ja
• Chroot lokalt läge: inget
• Lokal rotsökväg: -

Det innebär att endast användare som finns på en autentiseringsprovider får åtkomst till klustret via FTP. Systemet kommer alltid att starta en anslutning genom att skicka dem till deras rotkataloger, och kommer sedan att tillåta dem att surfa fritt (baserat på behörighetsutvärdering). Sedan Local Root Path är odefinierad dirigeras användarna till den sökväg som anges i deras användarprofil. Du kan kontrollera det med isi auth users $username | grep Home där detta $username ersätts med det användarnamn du kontrollerar. Här är ett exempel med en lokal användare:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

I standardkonfigurationen ansluter användaren ovan till Isilon, dirigeras till /ifs/home/xavier (oavsett vilken sökväg som är inställd på anslutning), och kunde sedan ändra kataloger till /ifs/home/ sedan Chroot Local Mode är inställt på Ingen.

Dirigera användare till en specifik katalog

Som standard dirigeras användare som ansluter till OneFS FTP-tjänsten till sin hemkatalog. Kunderna föredrar dock ofta att FTP fungerar mer som en dropbox. I så fall behöver du bara redigera inställningen Local Root Path. Detta gör att användarna dirigerar till den sökvägen i stället för till sin hemkatalog. Om värdet är <tomt> återställs det till hemkataloger.

Här är exempel på dessa kommandon:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Begränsa användare till ett katalogträd

Som standard kan användare som ansluter till OneFS FTP-tjänsten se hela filsystemet och navigera i det enligt deras behörigheter (vi kontrollerar fortfarande användarnamn osv.), men många kunder föredrar att deras användare endast är begränsade till den del av filsystemet som är relevant för dem. Detta åstadkoms med inställningen Chroot Local Mode. När den inställningen tillämpas på en användare kan de bara navigera till eller se filer under sina Root Path. Som standard är detta inställt på ingen, men det finns 4 olika tillämpningar av inställningen.

Justera den här inställningen med isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• Alla | Användaråtkomsten är begränsad till Local Root Path och barn
• Alla-med-undantag | Alla användare utom de i Chroot Exception List är begränsade till Local Root Path och barn
• ingen | Användaråtkomst är inte begränsad till Local Root Path
• Inga-med-undantag | Inga andra användare än de i Chroot Exception List är begränsade till Local Root Path och barn

Lägg till undantag med isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Här är ett exempel på hur du begränsar alla utom en användare till /ifs/ftp. Den användaren startar fortfarande anslutningen, men kan se resten av /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Anteckningar

Kommandoreferens:

• Administrationsmanual för PowerScale OneFS CLI
  • I den här administratörshandboken definieras inte beteendet för alla kommandon