Isilon. OneFS 8.X и более поздние версии: Как заблокировать пользователей jail- FTP в определенном каталоге

Будут рассмотрены следующие вопросы:

• Просмотр текущих настроек FTP
• Объяснение часто настраиваемых настроек
• Поведение по умолчанию
• Маршрутизация пользователей в определенный каталог
• Ограничение доступа пользователей к дереву каталогов

Просмотр текущих настроек FTP

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Часто настраиваемые настройки

Существует несколько параметров, связанных с маршрутизацией пользователей при входе в систему, которые часто изменяются:

• Всегда Chdir (изменение рабочего каталога) Homedir (домашний каталог)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Определяет, будет ли Isilon позволять пользователю выполнять FTP непосредственно в каталог, отличный от стартового
• Список исключений chroot
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Определяет, кто имеет право на обход Chroot Local Mode
• Локальный режим chroot
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Определяет, будет ли chroot применяется и как мы его применяем
    • Все | Доступ пользователей ограничен Local Root Path и дети
    • Все с исключениями | Все пользователи, за исключением пользователей Chroot Exception List ограничены Local Root Path и дети
    • нет | Доступ пользователей не ограничивается Local Root Path
    • Нет исключений | Нет пользователей, кроме пользователей в Chroot Exception List ограничены Local Root Path и дети
• Путь к локальному корню
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Он определяет, куда направляются пользователи FTP при входе в систему. Если оставить поле пустым, по умолчанию используется homedir пользователя

Поведение FTP по умолчанию

Вот как будет вести себя служба FTP по умолчанию.

• Разрешить анонимный доступ: Нет
• Всегда chdir homedir: Да
• Локальный режим chroot: нет
• Путь к локальному корню: -

Это означает, что доступ к кластеру по FTP будет разрешен только пользователям, существующим на провайдере аутентификации. Система всегда будет устанавливать соединение, отправляя их в корневые каталоги, а затем разрешает им свободно просматривать страницы (на основе оценки разрешений). С Local Root Path не определено, пользователи будут перенаправляться по пути, указанному в их профиле пользователя. Это можно проверить с помощью isi auth users $username | grep Home В это имя $username заменяется на имя пользователя, которое вы проверяете. Вот пример с локальным пользователем:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

В конфигурации по умолчанию указанный выше пользователь подключается к Isilon и направляется к /ifs/home/xavier (независимо от пути, установленного при подключении), а затем может изменить каталоги на /ifs/home/ с Chroot Local Mode установлено в значение Нет.

Маршрутизация пользователей в определенный каталог

По умолчанию пользователи, подключающиеся к службе FTP OneFS, будут перенаправляться в свой домашний каталог. Тем не менее, клиенты часто предпочитают, чтобы FTP работал как Dropbox. В этом случае все, что вам нужно сделать, это отредактировать настройку Local Root Path. В результате пользователи будут перенаправляться по этому пути, а не по своему домашнему каталогу. Если оставить значение пустым<>, оно будет сброшено в исходные каталоги.

Ниже приведены примеры таких команд:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Ограничение доступа пользователей к дереву каталогов

По умолчанию пользователи, подключающиеся к службе OneFS FTP, могут видеть всю файловую систему и перемещаться по ней в соответствии с их разрешениями (мы по-прежнему проверяем имя пользователя и т. д.), однако многие клиенты предпочитают, чтобы пользователи оставались ограниченными только той частью файловой системы, которая относится к ним. Это достигается с помощью настройки Chroot Local Mode. Когда эта настройка применена к пользователю, он сможет только переходить к файлам или просматривать файлы под своим Root Path. По умолчанию для этого параметра установлено значение «None», но существует 4 различных применения этого параметра.

Отрегулируйте этот параметр с помощью isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• Все | Доступ пользователей ограничен Local Root Path и дети
• Все с исключениями | Все пользователи, за исключением пользователей Chroot Exception List ограничены Local Root Path и дети
• нет | Доступ пользователей не ограничивается Local Root Path
• Нет исключений | Нет пользователей, кроме пользователей в Chroot Exception List ограничены Local Root Path и дети

Добавьте исключения с помощью isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Ниже приведен пример ограничения всех пользователей, кроме одного, /ifs/ftp. Этот пользователь по-прежнему начнет подключение, но сможет видеть остальные /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Примечания

Справочное руководство по командам:

• Руководство по администрированию PowerScale OneFS CLI
  • Данное руководство администратора не определяет поведение всех команд