Isilon: OneFS 8.X en hoger: Hoe FTP-gebruikers in een specifieke map te vergrendelen-chroot jail

Het volgende komt aan bod:

• Huidige FTP-instellingen controleren
• Uitleg van algemeen aangepaste instellingen
• Standaardgedrag
• Gebruikers naar een specifieke map leiden
• Gebruikers beperken tot een mappenstructuur

Huidige FTP-instellingen controleren

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Algemeen aangepaste instellingen

Er zijn een paar instellingen met betrekking tot de manier waarop gebruikers worden gerouteerd bij aanmelding die vaak worden gewijzigd:

• Always Chdir (wijzig werkmap) Homedir (home directory)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Definieert of de Isilon een gebruiker toestaat om rechtstreeks naar een andere map te FTP dan de begindirectory
• Chroot uitzonderingenlijst
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Bepaalt wie de bypass mag omzeilen Chroot Local Mode
• Chroot lokale modus
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definieert al dan niet chroot wordt toegepast en hoe we het toepassen
    • alle | De toegang voor gebruikers is beperkt tot Local Root Path en kinderen
    • Alles-met-uitzonderingen | Alle gebruikers behalve die in de Chroot Exception List zijn beperkt tot Local Root Path en kinderen
    • geen | Gebruikerstoegang is niet beperkt tot de Local Root Path
    • geen-met-uitzonderingen | Geen gebruikers behalve die in de Chroot Exception List zijn beperkt tot Local Root Path en kinderen
• Lokaal rootpad
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Dit bepaalt waar FTP-gebruikers worden gerouteerd bij het inloggen. Als deze leeg wordt gelaten, wordt standaard de homedir van de gebruiker ingesteld

FTP-standaardgedrag

Dit is hoe de FTP-service zich standaard gedraagt.

• Anon toegang toestaan: Nee
• Always Chdir Homedir: Ja
• Chroot lokale modus: geen
• Local root Path: -

Dit betekent dat alleen gebruikers die op een Auth-provider bestaan, via FTP toegang hebben tot het cluster. Het systeem zal altijd een verbinding starten door ze naar hun rootmappen te sturen en ze vervolgens vrij te laten browsen (op basis van toestemmingsevaluatie). Sinds Local Root Path niet is gedefinieerd, worden gebruikers omgeleid naar het pad dat is opgegeven in hun gebruikersprofiel. U kunt dat controleren met isi auth users $username | grep Home waar -. $username wordt vervangen door de gebruikersnaam die u aan het controleren bent. Hier is een voorbeeld met een lokale gebruiker:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

In de standaardconfiguratie zou de bovenstaande gebruiker verbinding maken met de Isilon, worden gerouteerd naar /ifs/home/xavier (ongeacht het pad dat op de verbinding is ingesteld), en kan dan de mappen wijzigen in /ifs/home/ sinds Chroot Local Mode is ingesteld op Geen.

Gebruikers naar een specifieke map leiden

Gebruikers die verbinding maken met de OneFS FTP-service worden standaard naar hun home directory geleid. Klanten hebben echter vaak liever dat FTP meer als een Dropbox werkt. In dat geval hoef je alleen nog maar de instelling aan te passen Local Root Pathte installeren. Dit zorgt ervoor dat gebruikers naar dat pad routeren in plaats van naar hun home directory. Als u de waarde instelt op <leeg> , wordt deze teruggezet naar de home directory's.

Hier zijn voorbeelden van deze opdrachten:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Gebruikers beperken tot een mappenstructuur

Standaard kunnen gebruikers die verbinding maken met de OneFS FTP-service het volledige bestandssysteem zien en er doorheen navigeren zoals toegestaan door hun machtigingen (we controleren nog steeds de gebruikersnaam enz.), maar veel klanten geven er de voorkeur aan dat hun gebruikers beperkt blijven tot het gedeelte van het bestandssysteem dat voor hen relevant is. Dit wordt bereikt met de instelling Chroot Local Modete installeren. Als die instelling wordt toegepast op een gebruiker, kan deze alleen navigeren naar of bestanden zien onder hun Root Pathte installeren. Standaard is dit ingesteld op geen, maar er zijn 4 verschillende toepassingen van de instelling.

Pas deze instelling aan met isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• alle | De toegang voor gebruikers is beperkt tot Local Root Path en kinderen
• Alles-met-uitzonderingen | Alle gebruikers behalve die in de Chroot Exception List zijn beperkt tot Local Root Path en kinderen
• geen | Gebruikerstoegang is niet beperkt tot de Local Root Path
• geen-met-uitzonderingen | Geen gebruikers behalve die in de Chroot Exception List zijn beperkt tot Local Root Path en kinderen

Voeg uitzonderingen toe met isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Hier volgt een voorbeeld van het beperken van alle gebruikers op één na tot /ifs/ftpte installeren. Die ene gebruiker zal nog steeds zijn verbinding starten, maar kan de rest van /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Opmerkingen

Referentie opdracht:

• PowerScale OneFS CLI beheerhandleiding
  • Deze beheerdershandleiding definieert niet het gedrag van alle opdrachten