Isilon: OneFS 8.x og nyere: Hvordan låse-chroot fengsel-FTP-brukere i en bestemt katalog

Følgende vil bli dekket:

• Gjennomgang av gjeldende FTP-innstillinger
• Forklaring av ofte justerte innstillinger
• Standard virkemåte
• Ruting brukere til en bestemt katalog
• Begrense brukere til et katalogtre

Gjennomgang av gjeldende FTP-innstillinger

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Vanlige justerte innstillinger

Det er noen innstillinger relatert til hvordan brukere rutes ved pålogging som ofte blir endret:

• Alltid Chdir (endre arbeidskatalog) Homedir (hjemmeområde)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Definerer hvorvidt Isilon skal tillate en bruker å gå rett inn i en annen katalog enn den som starter.
• Chroot unntaksliste
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Definerer hvem som får omgå Chroot Local Mode
• Chroot lokal modus
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Definerer om eller ikke chroot brukes og hvordan vi bruker den
    • alle | Brukertilgang er begrenset til Local Root Path og barn
    • Alt-med-unntak | Alle brukere unntatt de i Chroot Exception List er begrenset til Local Root Path og barn
    • ingen | Brukertilgang er ikke begrenset til Local Root Path
    • Ingen-med-unntak | Ingen brukere bortsett fra de i Chroot Exception List er begrenset til Local Root Path og barn
• Lokal rotbane
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Dette definerer hvor FTP-brukere rutes ved pålogging. Hvis det er tomt, brukes brukeren homedir som standard

Standard FTP-virkemåte

Slik oppfører FTP-tjenesten seg som standard.

• Tillat anon tilgang: Nei
• Alltid Chdir Homedir: Ja
• Chroot lokal modus: ingen
• Lokal rotbane: -

Dette betyr at bare brukere som finnes på en Auth-leverandør, får tilgang til klyngen via FTP. Systemet vil alltid starte en tilkobling ved å sende dem til rotkatalogene sine, og vil deretter tillate dem å surfe fritt (basert på tillatelsesevaluering). Siden Local Root Path er udefinert, rutes brukerne til banen som er angitt i brukerprofilen. Du kan sjekke det med isi auth users $username | grep Home hvor $username erstattes med brukernavnet du sjekker. Her er et eksempel med en lokal bruker:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

I standardkonfigurasjonen vil brukeren ovenfor koble seg til Isilon, bli rutet til /ifs/home/xavier (uavhengig av banen satt på tilkobling), og kunne deretter endre kataloger til /ifs/home/ siden Chroot Local Mode er satt til Ingen.

Ruting brukere til en bestemt katalog

Brukere som kobler til OneFS FTP-tjenesten, rutes til hjemmeområdet som standard. Men kundene bruker ofte heller at FTP fungerer mer som en dropbox. I så fall er alt du trenger å redigere innstillingen Local Root Path. Dette vil føre til at brukere ruter til denne banen i stedet for hjemmekatalogen. Hvis du setter verdien til <tom> , tilbakestilles den til hjemmeområder.

Her er eksempler på disse kommandoene:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Begrense brukere til et katalogtre

Som standard kan brukere som kobler til OneFS FTP-tjenesten, se hele filsystemet og navigere i det som tillatt av deres tillatelser (vi sjekker fortsatt brukernavn osv.), Men mange kunder foretrekker at brukerne forblir begrenset bare til den delen av filsystemet som er relevant for dem. Dette oppnås med innstillingen Chroot Local Mode. Når denne innstillingen brukes på en bruker, vil de bare kunne navigere til eller se filer under Root Path. Som standard er dette satt til ingen, men det er 4 forskjellige applikasjoner av innstillingen.

Juster denne innstillingen med isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• alle | Brukertilgang er begrenset til Local Root Path og barn
• Alt-med-unntak | Alle brukere unntatt de i Chroot Exception List er begrenset til Local Root Path og barn
• ingen | Brukertilgang er ikke begrenset til Local Root Path
• Ingen-med-unntak | Ingen brukere bortsett fra de i Chroot Exception List er begrenset til Local Root Path og barn

Legg til unntak med isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Her er et eksempel på å begrense alle brukere unntatt én til /ifs/ftp. Den ene brukeren vil fortsatt starte tilkoblingen, men vil kunne se resten av /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Merknader

Kommandoreferanse:

• Administrasjonsveiledning for PowerScale OneFS CLI
  • Denne administratorveiledningen definerer ikke virkemåten til alle kommandoer