Isilon: OneFS 8.X ve sonraki sürümler: Lock-chroot jail- FTP kullanıcılarını belirli bir dizine nasıl kilitlersiniz?

Aşağıdakiler ele alınacaktır:

• Geçerli FTP ayarlarını gözden geçirme
• Yaygın olarak ayarlanan ayarların açıklaması
• Varsayılan Davranışlar
• Kullanıcıları belirli bir dizine yönlendirme
• Kullanıcıları dizin ağacıyla kısıtlama

Geçerli FTP ayarlarını gözden geçirme

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Genel olarak ayarlanan ayarlar

Kullanıcıların oturum açma sırasında nasıl yönlendirildiğiyle ilgili olarak sıklıkla değiştirilen birkaç ayar vardır:

• Always Chdir (çalışma dizinini değiştir) Homedir (ana dizin)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Isilon'un bir kullanıcının başlangıç dizininden başka bir dizine FTP ile girmesine izin verip vermeyeceğini belirler
• Chroot Özel Durum Listesi
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Kimin atlayacağını tanımlar Chroot Local Mode
• Chroot Yerel Modu
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Olup olmadığını tanımlar chroot uygulanır ve nasıl uygulanır
    • Tümü | Kullanıcı erişimi aşağıdakilerle sınırlıdır: Local Root Path ve çocuklar
    • İstisnalar Hariç Tümü | içindekiler dışındaki tüm kullanıcılar Chroot Exception List aşağıdakilerle sınırlıdır: Local Root Path ve çocuklar
    • Yok | Kullanıcı erişimi aşağıdakilerle sınırlı değildir: Local Root Path
    • İstisnasız yok | Buradakiler dışında kullanıcı yok Chroot Exception List aşağıdakilerle sınırlıdır: Local Root Path ve çocuklar
• Yerel kök yolu
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Bu, FTP kullanıcılarının oturum açma sırasında nereye yönlendirileceğini tanımlar. Boş bırakılırsa varsayılan olarak kullanıcı homedir

Varsayılan FTP davranışları

FTP hizmetinin varsayılan olarak nasıl davranacağı aşağıda açıklanmıştır.

• Anon Erişimine İzin Ver: Hayır
• Her Zaman Chdir Homedir: Evet
• Chroot Yerel Modu: yok
• Yerel kök Yol: -

Bu, yalnızca Kimlik Doğrulama sağlayıcısında bulunan kullanıcıların FTP aracılığıyla kümeye erişmesine izin verileceği anlamına gelir. Sistem her zaman onları kök dizinlerine göndererek bir bağlantı başlatır ve ardından serbestçe göz atmalarına izin verir (izin değerlendirmesine göre). Beri Local Root Path tanımlanmamışsa, kullanıcılar kullanıcı profillerinde belirtilen yola yönlendirilir. Bunu şununla kontrol edebilirsiniz: isi auth users $username | grep Home nerede $username kontrol ettiğiniz kullanıcı adıyla değiştirilir. Yerel bir kullanıcıyla ilgili bir örnek aşağıda verilmiştir:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

Varsayılan yapılandırmada, yukarıdaki kullanıcı Isilon'a bağlanır ve şuraya yönlendirilir: /ifs/home/xavier (bağlantıda ayarlanan yoldan bağımsız olarak) ve ardından dizinleri /ifs/home/ beri Chroot Local Mode Yok olarak ayarlıdır.

Kullanıcıları belirli bir dizine yönlendirme

Varsayılan olarak, OneFS FTP hizmetine bağlanan kullanıcılar ana dizinlerine yönlendirilir. Ancak, müşteriler genellikle FTP'nin daha çok bir dropbox gibi çalışmasını tercih eder. Bu durumda, tek yapmanız gereken ayarı düzenlemek Local Root Path. Bu, kullanıcıların ana dizinleri yerine bu yola yönlendirilmesine neden olur. Değer boş> olarak <ayarlandığında ana dizinlere sıfırlanır.

İşte bu komutlara örnekler:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Kullanıcıları dizin ağacıyla kısıtlama

Varsayılan olarak, OneFS FTP hizmetine bağlanan kullanıcılar tüm dosya sistemini görebilir ve izinlerinin izin verdiği şekilde gezinebilir (kullanıcı adını vb. yine de kontrol ediyoruz), ancak birçok müşteri kullanıcılarının dosya sisteminin yalnızca kendileriyle ilgili kısmıyla sınırlı kalmasını tercih eder. Bu, ayarla gerçekleştirilir Chroot Local Mode. Bu ayar bir kullanıcıya uygulandığında, kullanıcı yalnızca altındaki dosyalara gidebilir veya bunları görebilir. Root Path. Varsayılan olarak bu, yok olarak ayarlanmıştır, ancak ayarın 4 farklı uygulaması vardır.

Bu ayarı şununla yapın: isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• Tümü | Kullanıcı erişimi aşağıdakilerle sınırlıdır: Local Root Path ve çocuklar
• İstisnalar Hariç Tümü | içindekiler dışındaki tüm kullanıcılar Chroot Exception List aşağıdakilerle sınırlıdır: Local Root Path ve çocuklar
• Yok | Kullanıcı erişimi aşağıdakilerle sınırlı değildir: Local Root Path
• İstisnasız yok | Buradakiler dışında kullanıcı yok Chroot Exception List aşağıdakilerle sınırlıdır: Local Root Path ve çocuklar

İle özel durumlar ekleme isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Aşağıda, bir kullanıcı hariç tüm kullanıcıları /ifs/ftp. Bu kullanıcı yine de bağlantısını başlatır, ancak geri kalanını görebilir /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Notlar

Komut Referansı:

• PowerScale OneFS CLI Yönetim Rehberi
  • Bu Yönetici Kılavuzu, tüm komutların davranışını tanımlamaz