Isilon: OneFS 8.X und höher: So sperren Sie FTP-Benutzer in einem bestimmten Verzeichnis mit einem Chroot-Jail

Folgende Themen werden behandelt:

• Überprüfung der aktuellen FTP-Einstellungen
• Erläuterung häufig angepasster Einstellungen
• Standardverhalten
• Weiterleitung von NutzerInnen in ein bestimmtes Verzeichnis
• Einschränkung von NutzerInnen auf eine Verzeichnisstruktur

Überprüfung der aktuellen FTP-Einstellungen

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Häufig angepasste Einstellungen

Es gibt einige Einstellungen im Zusammenhang mit der Weiterleitung von Nutzern bei der Anmeldung, die häufig geändert werden:

• Always Chdir (Arbeitsverzeichnis ändern) Homedir (Stammverzeichnis)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Legt fest, ob das Isilon einem Nutzer erlaubt, per FTP direkt in ein anderes Verzeichnis als das Startverzeichnis zu wechseln
• Chroot Exception List
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Definiert, wer umgehen darf Chroot Local Mode
• Chroot Local Mode
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definiert, ob chroot angewendet wird und wie wir es anwenden
    • Alle | Der Nutzerzugriff ist begrenzt auf Local Root Path und Kinder
    • Alle-mit-Ausnahmen | Alle Nutzer außer denen in der Chroot Exception List beschränken sich auf Local Root Path und Kinder
    • keine | Der Benutzerzugriff ist nicht auf die Local Root Path
    • Keine mit Ausnahmen | Keine Nutzer außer denen im Chroot Exception List beschränken sich auf Local Root Path und Kinder
• Local Root Path
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Dies legt fest, wohin FTP-Nutzer bei der Anmeldung weitergeleitet werden. Wenn diese Option leer gelassen wird, wird standardmäßig in das Stammverzeichnis des Nutzers weitergeleitet.

Standardmäßiges FTP-Verhalten

Hier erfahren Sie, wie sich der FTP-Dienst standardmäßig verhält.

• Allow Anon Access: Nein
• Always Chdir Homedir: Ja
• Chroot Local Mode: none
• Local Root Path: -

Das bedeutet, dass nur Nutzer auf einem Auth-Anbieter über FTP auf das Cluster zugreifen dürfen. Das System startet die Verbindung immer, indem es NutzerInnen in das jeweilige Stammverzeichnis weiterleitet, und ermöglicht es den Nutzern anschließend, frei zu navigieren (basierend auf der Berechtigung). Seit Local Root Path nicht definiert ist, werden Benutzer zu dem in ihrem Benutzerprofil angegebenen Pfad weitergeleitet. Das können Sie mit isi auth users $username | grep Home wobei $username wird durch den Nutzernamen ersetzt, den Sie überprüfen. Nachfolgend ein Beispiel für einen lokalen Nutzer:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

In der Standardkonfiguration würde der obige Nutzer eine Verbindung zu Isilon herstellen und zu /ifs/home/xavier (unabhängig vom Pfad, der für die Verbindung festgelegt ist) und könnte dann die Verzeichnisse ändern in /ifs/home/ seit Chroot Local Mode ist auf Keine gesetzt.

Weiterleitung von NutzerInnen in ein bestimmtes Verzeichnis

Standardmäßig werden NutzerInnen, die eine Verbindung zum OneFS-FTP-Dienst herstellen, in ihr jeweiliges Stammverzeichnis weitergeleitet. KundInnen möchten FTP jedoch häufig eher wie eine Dropbox verwenden. In diesem Fall müssen Sie nur die Einstellung bearbeiten Local Root Path. Dies führt dazu, dass NutzerInnen zu diesem Pfad anstelle ihres Stammverzeichnisses weitergeleitet werden. Wenn Sie den Wert <auf "leer> " setzen, wird er auf die Stammverzeichnisse zurückgesetzt.

Nachfolgend einige Beispiele für diese Befehle:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Einschränkung von NutzerInnen auf eine Verzeichnisstruktur

Standardmäßig können NutzerInnen, die sich mit dem OneFS-FTP-Dienst verbinden, das gesamte Dateisystem einsehen und darin gemäß ihren Berechtigungen navigieren (es wird immer der Nutzername usw. überprüft). Viele KundInnen möchten jedoch, dass ihre NutzerInnen nur auf den für sie relevanten Teil des Dateisystems zugreifen können. Dies geschieht mit der Einstellung Chroot Local Mode. Wenn diese Einstellung auf einen Benutzer angewendet wird, kann er nur zu Dateien navigieren oder diese unter seiner Root Path. Standardmäßig ist dies auf „None“ eingestellt, es gibt jedoch vier verschiedene Anwendungen dieser Einstellung.

Passen Sie diese Einstellung mit isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• Alle | Der Nutzerzugriff ist begrenzt auf Local Root Path und Kinder
• Alle-mit-Ausnahmen | Alle Nutzer außer denen in der Chroot Exception List beschränken sich auf Local Root Path und Kinder
• keine | Der Benutzerzugriff ist nicht auf die Local Root Path
• Keine mit Ausnahmen | Keine Nutzer außer denen im Chroot Exception List beschränken sich auf Local Root Path und Kinder

Fügen Sie Ausnahmen hinzu mit isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Hier ist ein Beispiel für die Beschränkung aller Nutzer bis auf einen auf /ifs/ftp. Dass ein Nutzer weiterhin seine Verbindung startet, aber den Rest der /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Hinweise

Befehlsreferenz:

• PowerScale OneFS – CLI-Administrationshandbuch
  • In diesem Administratorhandbuch wird nicht das Verhalten aller Befehle definiert.