Isilon: OneFS 8.X ja uudemmat: FTP-käyttäjien lukitseminen tiettyyn hakemistoon

Sisältö:

• Nykyisten FTP-asetusten tarkistaminen
• Tavallisesti säädettävien asetusten selitykset
• Oletustoiminnot
• Käyttäjien reitittäminen tiettyyn hakemistoon
• Käyttäjien rajoittaminen hakemistopuuhun

Nykyisten FTP-asetusten tarkistaminen

sa8004-1# isi ftp view Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: off Chroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: No Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Tavallisesti säädettävät asetukset

On muutamia asetuksia, jotka liittyvät siihen, miten käyttäjiä reititetään sisäänkirjautumisen yhteydessä, ja nämä muuttuvat usein:

• Always Chdir (vaihtaa työhakemistoa) Homedir (kotihakemisto)
  • isi ftp modify --always-chdir-homedir=[true|false]
  • Määrittää, salliiko Isilon käyttäjän siirtää tiedostoja suoraan yhteyskäytännön avulla muuhun kuin aloitushakemistoon
• Chroot-poikkeusluettelo
  • isi ftp modify --chroot-exception-list=["comma separated list of usernames"]
  • Määrittää, kuka saa ohittaa Chroot Local Mode
• Chroot-paikallistila
  • isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']
  • Määrittää, voidaanko chroot sovelletaan ja miten sitä sovelletaan
    • Kaikki | Käyttäjän käyttöoikeus on rajoitettu seuraaviin: Local Root Path ja lapset
    • Kaikki poikkeukset | Kaikki käyttäjät, paitsi käyttäjät, jotka ovat Chroot Exception List rajoittuvat seuraaviin: Local Root Path ja lapset
    • ei mitään | Käyttäjän käyttöoikeus ei rajoitu Local Root Path
    • Ei mitään poikkeuksia | Ei käyttäjiä lukuun ottamatta Chroot Exception List rajoittuvat seuraaviin: Local Root Path ja lapset
• Paikallinen juuripolku
  • isi ftp modify --local-root-path=['/ifs/ftp/path']
  • Määrittää, mihin FTP-käyttäjät reititetään sisäänkirjautumisen yhteydessä. Tyhjäksi jätettynä oletuksena on käyttäjän kotihakemisto

FTP:n oletustoiminnot

Näin FTP-palvelu toimii oletusarvoisesti.

• Allow Anon Access: Ei
• Always Chdir Homedir: Kyllä
• Chroot Local Mode: none
• Local root Path: -

Tämä tarkoittaa, että vain valtuutuksen palveluntarjoajan luettelossa olevat käyttäjät voivat käyttää klusteria FTP:n kautta. Järjestelmä muodostaa aina yhteyden lähettämällä käyttäjät juurihakemistoihinsa ja sallii heidän sitten selata vapaasti (lupien arvioinnin perusteella). Koska Local Root Path on määrittämätön, käyttäjät reititetään heidän käyttäjäprofiilissaan määritettyyn polkuun. Voit tarkistaa sen isi auth users $username | grep Home Siinä $username korvataan käyttäjänimellä, jota olet tarkistamassa. Esimerkki paikallisesta käyttäjästä:

sa8004-1# isi auth users view xavier | grep Home Home Directory: /ifs/home/xavier

Oletuskokoonpanossa yllä oleva käyttäjä muodostaisi yhteyden Isiloniin, reititettäisiin kohteeseen /ifs/home/xavier (riippumatta polusta, joka on määritetty yhteydelle), ja voi sitten vaihtaa hakemistot muotoon /ifs/home/ koska Chroot Local Mode -asetuksena on Ei mitään.

Käyttäjien reitittäminen tiettyyn hakemistoon

Oletuksena käyttäjät, jotka muodostavat yhteyden OneFS FTP -palveluun, reititetään kotihakemistoonsa. FTP:stä poiketen asiakkaat kuitenkin toimivat enemmän dropboxin tapaan. Siinä tapauksessa sinun tarvitsee vain muokata asetusta Local Root Path. Tämä reitittää käyttäjät kyseiseen polkuun kotihakemistonsa sijaan. Arvon asettaminen tyhjäksi <> palauttaa sen kotihakemistoiksi.

Esimerkkejä kyseisitä komennoista:

# Routing to /ifs/ftp sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Restoring to default sa8004-1# isi ftp modify --local-root-path=''

Käyttäjien rajoittaminen hakemistopuuhun

Oletusarvoisesti käyttäjät, jotka muodostavat yhteyden OneFS FTP -palveluun, voivat nähdä koko tiedostojärjestelmän ja liikkua siinä lupien sallimalla tavalla (mm. käyttäjänimet tarkistetaan edelleen), mutta monet asiakkaat haluavat, että heidän käyttäjänsä rajataan vain siihen tiedostojärjestelmän osaan, johon heillä on asiaa. Tämä tehdään asetuksella Chroot Local Mode. Kun tätä asetusta käytetään käyttäjään, hän voi siirtyä tai nähdä vain Root Path. Oletuksena asetuksen arvo on none, mutta asetuksella on neljä eri käyttötarkoitusta.

Säädä tätä asetusta isi ftp modify --chroot-local-mode=['all','all-with-exceptions','none','none-with-exceptions']

• Kaikki | Käyttäjän käyttöoikeus on rajoitettu seuraaviin: Local Root Path ja lapset
• Kaikki poikkeukset | Kaikki käyttäjät, paitsi käyttäjät, jotka ovat Chroot Exception List rajoittuvat seuraaviin: Local Root Path ja lapset
• ei mitään | Käyttäjän käyttöoikeus ei rajoitu Local Root Path
• Ei mitään poikkeuksia | Ei käyttäjiä lukuun ottamatta Chroot Exception List rajoittuvat seuraaviin: Local Root Path ja lapset

Lisää poikkeuksia isi ftp modify --chroot-exception-list=["comma separated list of usernames"]

Tässä on esimerkki kaikkien käyttäjien rajoittamisesta yhtä lukuun ottamatta /ifs/ftp. Kyseinen käyttäjä aloittaa edelleen yhteyden, mutta näkee loput /ifs/

# Adding user to exception list sa8004-1# isi ftp modify --chroot-exception-list=xavier # Routing all logins to `/ifs/ftp` sa8004-1# isi ftp modify --local-root-path=/ifs/ftp # Limiting everyone by `xavier` to the Local Root Path sa8004-1# isi ftp modify --chroot-local-mode=all-with-exceptions

Huomautukset

Komento-ohjeet:

• PowerScale OneFS CLI -hallintaopas
  • Tässä järjestelmänvalvojan oppaassa ei määritetä kaikkien komentojen toimintaa