Isilon: OneFS 8.X e versioni successive: Come bloccare gli utenti FTP in una directory specifica

Sono trattati i seguenti argomenti:

• Revisione delle impostazioni FTP correnti
• Spiegazione delle impostazioni comunemente regolate
• Comportamenti predefiniti
• Instradamento degli utenti a una directory specifica
• Limitazione degli utenti a una struttura di directory

Revisione delle impostazioni FTP correnti

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Impostazioni comunemente regolate

Spesso vengono modificate alcune impostazioni relative al modo in cui gli utenti vengono instradati all'accesso:

• Always Chdir (Change Working Directory) Homedir (Home Directory)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Definisce se Isilon consente o meno a un utente di accedere tramite FTP direttamente a una directory diversa da quella iniziale
• Chroot Exception List
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Definisce chi può bypassare Chroot Local Mode
• Chroot Local Mode
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definisce se chroot viene applicato e come lo applichiamo
    • tutti | L'accesso degli utenti è limitato a Local Root Path e bambini
    • tutti con-eccezioni | Tutti gli utenti, ad eccezione di quelli nell'. Chroot Exception List sono limitati a Local Root Path e bambini
    • Nessuno | L'accesso dell'utente non è limitato a Local Root Path
    • nessuno-con-eccezioni | Nessun utente, ad eccezione di quelli nell'attributo Chroot Exception List sono limitati a Local Root Path e bambini
• Local root path
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Definisce la posizione in cui gli utenti FTP vengono instradati all'accesso. Se lasciata vuoto, l'impostazione predefinita è user homedir

Comportamenti FTP predefiniti

Ecco come si comporta il servizio FTP per impostazione predefinita.

• Allow Anon Access: No
• Always Chdir Homedir: Sì
• Chroot Local Mode: none
• Local root Path: -

Ciò significa che solo gli utenti esistenti in un provider di autenticazione possono accedere al cluster tramite FTP. Il sistema avvia sempre una connessione inviandoli alle directory root e consente loro di navigare liberamente (in base alla valutazione delle autorizzazioni). Poiché Local Root Path non è definito, gli utenti verranno instradati al percorso specificato nel proprio profilo utente. Puoi verificarlo con isi auth users $username | grep Home dove $username viene sostituito con il nome utente che si sta controllando. Ecco un esempio con un utente locale:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

Nella configurazione predefinita, l'utente di cui sopra si connetterebbe a Isilon e verrebbe instradato a /ifs/home/xavier (indipendentemente dal percorso impostato al momento della connessione) e potrebbe quindi cambiare directory in /ifs/home/ poiché Chroot Local Mode è impostato su Nessuno.

Instradamento degli utenti a una directory specifica

Per impostazione predefinita, gli utenti che si connettono al servizio FTP OneFS vengono instradati alla directory principale. Tuttavia, i clienti spesso preferiscono che l'FTP funzioni più come un servizio di storage. In tal caso, tutto ciò che devi fare è modificare l'impostazione Local Root Path. In questo modo, gli utenti vengono indirizzati a tale percorso anziché alla directory principale. Impostando il valore su <vuoto> , verrà ripristinata la directory principale.

Di seguito sono riportati alcuni esempi di questi comandi:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Limitazione degli utenti a una struttura di directory

Per impostazione predefinita, gli utenti che si connettono al servizio FTP OneFS sono in grado di visualizzare l'intero file system e navigare al suo interno come consentito in base alle loro autorizzazioni (verifica del nome utente e così via). Tuttavia, molti clienti preferiscono che i loro utenti rimangano limitati solo alla parte del file system di loro pertinenza. Questa operazione viene eseguita con l'impostazione Chroot Local Mode. Quando tale impostazione viene applicata a un utente, sarà solo in grado di navigare o visualizzare i file sotto il proprio Root Path. Per impostazione predefinita, questa opzione è configurata su none, ma esistono quattro applicazioni diverse dell'impostazione.

Regolare questa impostazione con isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• tutti | L'accesso degli utenti è limitato a Local Root Path e bambini
• tutti con-eccezioni | Tutti gli utenti, ad eccezione di quelli nell'. Chroot Exception List sono limitati a Local Root Path e bambini
• Nessuno | L'accesso dell'utente non è limitato a Local Root Path
• nessuno-con-eccezioni | Nessun utente, ad eccezione di quelli nell'attributo Chroot Exception List sono limitati a Local Root Path e bambini

Aggiunta di eccezioni con isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Di seguito è riportato un esempio di limitazione di tutti gli utenti tranne uno a /ifs/ftp. Questo utente avvierà comunque la connessione, ma sarà in grado di vedere il resto /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Note

Guida ai comandi:

• Guida all'amministrazione della CLI di PowerScale OneFS
  • Queste guide dell'amministratore non definiscono il comportamento di tutti i comandi