Isilon: OneFS 8.X i nowsze: Jak zablokować użytkowników FTP w więzieniu chroot w określonym katalogu

Zostaną uwzględnione następujące kwestie:

• Przegląd bieżących ustawień FTP
• Objaśnienie najczęściej zmienianych ustawień
• Domyślne zachowania
• Przekierowywanie użytkowników do określonego katalogu
• Ograniczanie użytkowników do drzewa katalogów

Przegląd bieżących ustawień FTP

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Najczęściej zmieniane ustawienia

Istnieje kilka często zmienianych ustawień związanych ze sposobem kierowania użytkowników podczas logowania:

• Always Chdir (zmiana katalogu roboczego) Homedir (katalog główny)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Określa, czy Isilon zezwoli użytkownikowi na połączenie FTP bezpośrednio w katalogu innym niż katalog początkowy
• Lista wyjątków Chroot
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Określa, kto może być pomijany Chroot Local Mode
• Tryb lokalny Chroot
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Określa, czy chroot jest stosowany i w jaki sposób go stosujemy
    • wszystkie | Dostęp użytkownika jest ograniczony do: Local Root Path i dzieci
    • Wszystkie z wyjątkami | Wszyscy użytkownicy z wyjątkiem tych, którzy w: Chroot Exception List ograniczają się do Local Root Path i dzieci
    • brak | Dostęp użytkownika nie jest ograniczony do Local Root Path
    • Brak z wyjątkami | Brak użytkowników poza tymi, którzy znajdują się w Chroot Exception List ograniczają się do Local Root Path i dzieci
• Lokalna ścieżka główna
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Określa, gdzie użytkownicy FTP są kierowani przy logowaniu. Jeśli pole pozostanie puste, domyślnie jest to katalog główny użytkownika

Domyślne zachowania FTP

Poniżej przedstawiono domyślne zachowanie usługi FTP.

• Allow Anon Access: Nie
• Always Chdir Homedir: Tak
• Chroot Local Mode: brak
• Lokalna ścieżka pliku: -

Oznacza to, że tylko użytkownicy znajdujący się w dostawcy uwierzytelniania będą mogli uzyskać dostęp do klastra za pomocą FTP. System zawsze uruchamia połączenie, wysyłając je do katalogów głównych, a następnie zezwoli na swobodne przeglądanie (na podstawie oceny uprawnień). Od Local Root Path jest niezdefiniowany, użytkownicy będą kierowani do ścieżki określonej w profilu użytkownika. Możesz to sprawdzić za pomocą isi auth users $username | grep Home gdzie $username zostanie zastąpiony nazwą użytkownika, którą sprawdzasz. Oto przykład z użytkownikiem lokalnym:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

W konfiguracji domyślnej powyższy użytkownik połączy się z Isilon, zostanie przekierowany do /ifs/home/xavier (niezależnie od ścieżki ustawionej przy połączeniu), a następnie może zmienić katalogi na /ifs/home/ od Chroot Local Mode jest ustawiona na wartość Brak.

Przekierowywanie użytkowników do określonego katalogu

Domyślnie użytkownicy łączący się z usługą FTP OneFS będą kierowani do katalogu głównego. Jednak klienci często wolą, aby FTP działał bardziej jak dropbox. W takim przypadku wszystko, czego potrzebujesz, to edytować ustawienie Local Root Path. Spowoduje to, że użytkownicy będą kierowani do tej ścieżki zamiast do katalogu głównego. Ustawienie wartości <"blank> " spowoduje zresetowanie jej do katalogów domowych.

Poniżej przedstawiono przykłady tych poleceń:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Ograniczanie użytkowników do drzewa katalogów

Domyślnie użytkownicy łączący się z usługą FTP OneFS mogą zobaczyć cały system plików i poruszać się po nim zgodnie z uprawnieniami (nadal sprawdzamy nazwę użytkownika itp.), jednak wielu klientów woli, aby ich użytkownicy pozostawali ograniczeni tylko do odpowiedniej dla nich części systemu plików. Odbywa się to za pomocą ustawienia Chroot Local Mode. Gdy to ustawienie zostanie zastosowane do użytkownika, będzie on mógł nawigować do plików lub wyświetlać je tylko pod swoim Root Path. Domyślnie ustawienie to „none”, ale istnieją 4 różne zastosowania tego ustawienia.

Dostosuj to ustawienie za pomocą isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• wszystkie | Dostęp użytkownika jest ograniczony do: Local Root Path i dzieci
• Wszystkie z wyjątkami | Wszyscy użytkownicy z wyjątkiem tych, którzy w: Chroot Exception List ograniczają się do Local Root Path i dzieci
• brak | Dostęp użytkownika nie jest ograniczony do Local Root Path
• Brak z wyjątkami | Brak użytkowników poza tymi, którzy znajdują się w Chroot Exception List ograniczają się do Local Root Path i dzieci

Dodaj wyjątki za pomocą isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Oto przykład ograniczenia wszystkich użytkowników z wyjątkiem jednego do /ifs/ftp. Ten jeden użytkownik nadal będzie nawiązywał połączenie, ale będzie mógł zobaczyć pozostałe /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Uwagi

Opis polecenia:

• Podręcznik administracyjny interfejsu CLI PowerScale OneFS
  • Niniejszy podręcznik administracyjny nie definiuje zachowania wszystkich poleceń