Isilon: OneFS 8.X a novější: Jak uzamknout uživatele FTP jail-chroot do konkrétního adresáře

Bude se zabývat následujícími tématy:

• Kontrola aktuálního nastavení FTP
• Vysvětlení běžně upravovaných nastavení
• Výchozí chování
• Směrování uživatelů do konkrétního adresáře
• Omezení uživatelů na adresářový strom

Kontrola aktuálního nastavení FTP

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Běžně upravovaná nastavení

Existuje několik nastavení souvisejících s tím, jak jsou uživatelé směrováni při přihlášení, která se často mění:

• Vždy Chdir (změnit pracovní adresář) Homedir (domovský adresář)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Definuje, zda řešení Isilon umožní uživateli přístup FTP přímo do jiného než původního adresáře
• Seznam výjimek Chroot
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Definuje, kdo se dostane k obejití Chroot Local Mode
• Místní režim Chroot
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definuje, zda chroot se uplatňuje a jak ji aplikujeme
    • všechny | Přístup uživatelů je omezen na Local Root Path a děti
    • Vše s výjimkami | Všichni uživatelé kromě těch, kteří jsou v Chroot Exception List jsou omezeny na Local Root Path a děti
    • žádný | Přístup uživatelů není omezen na Local Root Path
    • Žádné až na výjimky | Žádní uživatelé kromě těch, kteří jsou v Chroot Exception List jsou omezeny na Local Root Path a děti
• Místní kořenová cesta
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • To definuje, kam budou uživatelé FTP směrováni při přihlášení. Pokud jej ponecháte prázdné, použije se výchozí hodnota homedir uživatele

Výchozí chování FTP

Zde je návod, jak se bude služba FTP chovat ve výchozím nastavení.

• Povolit přístup Anon: Ne
• Vždy Chdir Homedir: Ano
• Místní režim Chroot: žádný
• Místní kořenová cesta: -

To znamená, že přístup ke clusteru prostřednictvím protokolu FTP budou mít pouze uživatelé, kteří existují u poskytovatele ověřování. Systém vždy naváže spojení tím, že je pošle do jejich kořenových adresářů, a pak jim umožní volně prohlížet (na základě vyhodnocení oprávnění). Jelikož Local Root Path není definováno, uživatelé budou přesměrováni na cestu zadanou v jejich uživatelském profilu. To si můžete ověřit pomocí isi auth users $username | grep Home kde $username je nahrazen uživatelským jménem, které kontrolujete. Tady je příklad s místním uživatelem:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

Ve výchozí konfiguraci se výše uvedený uživatel připojí k řešení Isilon a bude přesměrován na /ifs/home/xavier (bez ohledu na cestu nastavenou při připojení) a pak může změnit adresáře na /ifs/home/ jelikož Chroot Local Mode je nastavena na Žádná.

Směrování uživatelů do konkrétního adresáře

Ve výchozím nastavení budou uživatelé, kteří se připojují ke službě FTP OneFS, směrováni do svého domovského adresáře. Zákazníci však často dávají přednost tomu, aby FTP fungovalo spíše jako dropbox. V takovém případě stačí upravit nastavení Local Root Path. To způsobí, že uživatelé budou směrovat na tuto cestu místo na svůj domovský adresář. Nastavením hodnoty na <prázdnou> hodnotu se obnoví do domovských adresářů.

Zde jsou příklady těchto příkazů:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Omezení uživatelů na adresářový strom

Ve výchozím nastavení mají uživatelé, kteří se připojují ke službě OneFS FTP, možnost zobrazit celý systém souborů a procházet jej podle svých oprávnění (stále kontrolujeme uživatelské jméno atd.). Mnoho zákazníků však dává přednost tomu, aby jejich uživatelé zůstali omezeni pouze na tu část systému souborů, která je pro ně relevantní. Toho je dosaženo pomocí nastavení Chroot Local Mode. Když se toto nastavení použije na uživatele, bude moci přecházet nebo prohlížet pouze soubory pod svým Root Path. Ve výchozím nastavení je tato hodnota nastavena na none, ale nastavení lze použít pro 4 různé účely.

Toto nastavení upravte pomocí isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• všechny | Přístup uživatelů je omezen na Local Root Path a děti
• Vše s výjimkami | Všichni uživatelé kromě těch, kteří jsou v Chroot Exception List jsou omezeny na Local Root Path a děti
• žádný | Přístup uživatelů není omezen na Local Root Path
• Žádné až na výjimky | Žádní uživatelé kromě těch, kteří jsou v Chroot Exception List jsou omezeny na Local Root Path a děti

Přidat výjimky pomocí isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Zde je příklad omezení všech uživatelů kromě jednoho na /ifs/ftp. Tento uživatel stále zahájí připojení, ale uvidí zbytek /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Poznámky

Reference k příkazům:

• Průvodce správou PowerScale OneFS CLI
  • Tato příručka správce nedefinuje chování všech příkazů