Ісілон: OneFS 8.X і новіші версії: Як заблокувати-chroot jail- користувачів FTP у певному каталозі

Буде розглянуто наступне:

• Перегляд поточних налаштувань FTP
• Пояснення часто налаштованих параметрів
• Поведінка за замовчуванням
• Маршрутизація користувачів до певного каталогу
• Обмеження користувачів деревом каталогів

Перегляд поточних налаштувань FTP

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Часто регульовані параметри

Існує декілька налаштувань, пов'язаних із тим, як користувачі спрямовуються під час входу в систему, які часто змінюються:

• Always Chdir (зміна робочого каталогу) Homedir (домашній каталог)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Визначає, чи дозволить Isilon користувачеві використовувати FTP прямо в іншому каталозі, ніж початковий.
• Список винятків Chroot
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Визначає, кого можна обійти Chroot Local Mode
• Локальний режим Chroot
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Визначає, чи є chroot застосовується і як ми його застосовуємо
    • всі | Доступ користувачів обмежується Local Root Path та дітей
    • Усі з винятками | Усі користувачі, крім тих, хто перебуває в каталозі Chroot Exception List обмежуються Local Root Path та дітей
    • немає | Доступ користувачів не обмежується Local Root Path
    • Без винятків | Немає користувачів, крім тих, хто знаходиться в Chroot Exception List обмежуються Local Root Path та дітей
• Локальний кореневий шлях
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Цей параметр визначає, куди користувачі FTP будуть спрямовані під час входу в систему. Якщо залишити поле порожнім, за замовчуванням використовується домашній каталог користувача

Поведінка FTP за замовчуванням

Ось як буде вести себе служба FTP за замовчуванням.

• Надайте доступ Anon: Ні
• Завжди Чдір Хомедир: Так
• Локальний режим Chroot: немає
• Локальний кореневий шлях: -

Це означає, що лише користувачі, які існують у провайдера автентифікації, матимуть доступ до кластера за допомогою FTP. Система завжди запускатиме з'єднання, надсилаючи їх до їхніх кореневих каталогів, а потім дозволить їм вільно переглядати веб-сторінки (на основі оцінки дозволів). З Local Root Path є undefined, користувачі будуть спрямовані на шлях, вказаний у їхньому профілі користувача. Ви можете перевірити це за допомогою isi auth users $username | grep Home де $username буде замінено на ім'я користувача, яке ви перевіряєте. Ось приклад з локальним користувачем:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

У конфігурації за замовчуванням користувач вище підключиться до Isilon, буде спрямований на /ifs/home/xavier (незалежно від шляху, встановленого при з'єднанні), і потім може змінити каталоги на /ifs/home/ з Chroot Local Mode встановлено значення Немає.

Маршрутизація користувачів до певного каталогу

За замовчуванням користувачі, які підключаються до служби OneFS FTP, будуть спрямовані до свого домашнього каталогу. Однак клієнти частіше вважають, що FTP працює скоріше як dropbox. У цьому випадку вам потрібно лише відредагувати налаштування Local Root Path. Це призведе до того, що користувачі будуть спрямовувати до цього шляху, а не до свого домашнього каталогу. Встановлення порожнього> значення <призведе до скидання його до домашніх каталогів.

Ось приклади цих команд:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Обмеження користувачів деревом каталогів

За замовчуванням користувачі, які підключаються до служби OneFS FTP, можуть бачити всю файлову систему та переміщатися по ній так, як це дозволено їхніми дозволами (ми все ще перевіряємо ім'я користувача тощо), однак багато клієнтів вважають за краще, щоб їхні користувачі залишалися обмеженими лише тією частиною файлової системи, яка їм відповідна. Це досягається за допомогою налаштування Chroot Local Mode. Коли цей параметр застосовано до користувача, він зможе лише переходити до них або бачити файли під ними Root Path. За замовчуванням для цього параметра встановлено значення немає, але є 4 різні програми цього параметра.

Відрегулюйте цей параметр за допомогою isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• всі | Доступ користувачів обмежується Local Root Path та дітей
• Усі з винятками | Усі користувачі, крім тих, хто перебуває в каталозі Chroot Exception List обмежуються Local Root Path та дітей
• немає | Доступ користувачів не обмежується Local Root Path
• Без винятків | Немає користувачів, крім тих, хто знаходиться в Chroot Exception List обмежуються Local Root Path та дітей

Додавайте винятки за допомогою isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Ось приклад обмеження всіх користувачів, крім одного, до /ifs/ftp. Цей користувач все одно почне своє з'єднання, але зможе бачити решту /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Нотатки

Довідник команди:

• Посібник з адміністрування PowerScale OneFS CLI
  • Цей Посібник адміністратора не визначає поведінку всіх команд