『Isilon：OneFS 8.X以降：lock-chroot jail-FTPユーザーを特定のディレクトリにロックする方法

以下について説明します。

• 現在のFTP設定の確認
• 頻繁に調整される設定の説明
• デフォルトの動作
• 特定ディレクトリーへのユーザーのルーティング
• ディレクトリー ツリーへのユーザーの制限

現在のFTP設定の確認

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

頻繁に調整される設定

頻繁に変更されるログイン時のユーザーのルーティング方法には、いくつかの設定があります。

• Always Chdir Homedir（ホーム ディレクトリーからの作業ディレクトリーの変更）
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Isilonが、ユーザーに最初のディレクトリー以外のディレクトリーにFTPを許可するかどうかを定義します。
• Chroot Exception List
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • バイパスするユーザーを定義 Chroot Local Mode
• Chroot Local Mode
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • 定義するかどうか chroot が適用され、どのように適用されるか
    • すべて |ユーザー アクセスは以下に限定されます。 Local Root Path と子供
    • 例外ありのすべて |[ Chroot Exception List 以下に限定されます。 Local Root Path と子供
    • なし |ユーザー アクセスは、 Local Root Path
    • none-with-exceptions |ユーザーなし( Chroot Exception List 以下に限定されます。 Local Root Path と子供
• Local root path
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • ログイン時にFTPユーザーをルーティングする場所を定義します。空白のままにすると、デフォルトでユーザーのホーム ディレクトリーに設定されます。

デフォルトのFTP動作

FTPサービスのデフォルトの動作は次のとおりです。

• ［Allow Anon Access］：No
• ［Always Chdir Homedir］：はい
• ［Chroot Local Mode］：none
• ［Local root Path］：-

つまり、FTPを使用してクラスターにアクセスできるのは、認証プロバイダー上に存在するユーザーのみです。システムは常に、ユーザーをルート ディレクトリーに送信して接続を開始し、（権限の評価に基づいて）自由に参照できるようにします。から Local Root Path が未定義の場合、ユーザーはユーザー プロファイルで指定されたパスにルーティングされます。これは、次の方法で確認できます。 isi auth users $username | grep Home この名前に、 $username は、確認しているユーザー名に置き換えられます。ローカル ユーザーの例を次に示します。

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

デフォルトの構成では、上記のユーザーはIsilonに接続し、 /ifs/home/xavier (接続時に設定されたパスに関係なく)ディレクトリを /ifs/home/ から Chroot Local Mode は [なし] に設定されています。

特定ディレクトリーへのユーザーのルーティング

デフォルトでは、OneFS FTPサービスに接続しているユーザーはホーム ディレクトリーにルーティングされます。ただし、多くの場合お客様は、FTPをDropboxのように使用することを望みます。その場合は、設定を編集するだけで済みます Local Root Path間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。これにより、ユーザーはホーム ディレクトリーではなく、そのパスにルーティングされます。値を <blank> に設定すると、ホーム ディレクトリーにリセットされます。

次にそれらのコマンドの例を示します。

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

ディレクトリー ツリーへのユーザーの制限

デフォルトでは、OneFS FTPサービスに接続しているユーザーは、ファイル システム全体を表示し、権限で許可されているとおりにナビゲートできます（ユーザー名などは確認します）。ただし、多くのお客様は、ユーザーに関連するファイル システムの一部のみにユーザーを制限しておくことを望みます。これは、設定 Chroot Local Mode間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。この設定がユーザーに適用されると、ユーザーはユーザーの下にあるファイルにのみ移動したり、表示したりできるようになります Root Path間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。デフォルトでは、これは「none」に設定されていますが、設定には4種類あります。

この設定を isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• すべて |ユーザー アクセスは以下に限定されます。 Local Root Path と子供
• 例外ありのすべて |[ Chroot Exception List 以下に限定されます。 Local Root Path と子供
• なし |ユーザー アクセスは、 Local Root Path
• none-with-exceptions |ユーザーなし( Chroot Exception List 以下に限定されます。 Local Root Path と子供

で例外を追加します isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

次に、1 人を除くすべてのユーザーを /ifs/ftp間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。その 1 人のユーザーは引き続き接続を開始しますが、残りの /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

注

コマンド リファレンス:

• PowerScale OneFS CLI管理ガイド
  • この管理ガイドでは、すべてのコマンドの動作を定義していません。