【Linux 操作系统配置 SFTP】

本文介绍: 1、设置 sftp 帐号，使用户只能 sftp 操作文件，而不能 ssh 到服务器；2、限定用户的活动目录，使用户只能在指定的目录下活动，使用 sftp 的 Ch rootDi rect o ry 配置；

Linux 操作系统 配置 SFTP

sftp 采用的是ssh 加密隧道，安装性方面较ftp强，而且依赖的是系统自带的ssh 服务，不像ftp还需要额外的进行安装基于 s sh 的 sftp 服务相比 ftp 有更好的安全性（非明文帐号密码传输）和方便的权限管理（限制用户的活动目录）。

实现目的：

1、设置 sftp 帐号，使用户只能 sftp 操作文件，而不能 s sh 到服务器；
2、限定用户的活动目录，使用户只能在指定的目录下活动，使用 sftp 的 Ch rootDi rectory 配置；

查看 s sh 版本

ssh -V

1、添加 用户组 sftp

groupadd sftp

2、创建 s ft p 用户

useradd -g sftp -s /bin/false baksftp

–s /bin/false：不允许shell 登录。
–g sft p：加入sft p组

3、设置 密码

passwd baksftp

4、限定活动目录

mkdir -p /data/sftp/baksftp

5、配置Ch root 目录权限

# 注意：此目录如果用于后续的 chroot 的活动目录，目录所有者必须是 root
chown root:sftp /data/sftp/baksftp
chmod 755 /data/sftp/baksftp

ch root 可能带来的问题：
因为 ch root 会将会话的根目录切换至此，所以 ssh 登录很可能会提示 /bin/bash: No su ch file or directory 的错误，因为此会话的路径会为 [ch root]/bin/bash

6、指定为sftp组用户的home目录

usermod -d /data/sftp/baksftp baksftp

7、修改ssh 配置文件

vi /etc/ssh/sshd_config

7.1 基本的ssh 远程登录配置

# 开启验证
PasswordAuthentication yes
# 禁止空密码登录
PermitEmptyPasswords no
# 开启远程登录
PermitRootLogin yes

至此可以使用 ss h 远程登录服务器了。

7.2 配置 sftp

# 修改Subsystem配置，使用系统自带的 internal-sftp 服务即可满足需求
# Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

Subsystem 是说 ss h 的子模块；这里启用的即为 sftp 模块，使用系统自带的 internal-sftp 来提供此服务

配置到这即可以使用帐号ss h登录，也可以使用ftp客户端sftp登录。

如果希望用户只能使用sftp而不能ssh登录到服务器，而且要限定用户的活动目录，继续看下面的配置：

# 对登录用户的限制
Match Group sftp	# 匹配sftp组
ChrootDirectory /data/sftp/%u # 限制用户在自己家目录
ForceCommand    internal-sftp # 限制只能使用sftp协议登录（如果要放通ssh登录，注释即可）
AllowTcpForwarding no
X11Forwarding no

Match [User|Gro up] userName|gro upName：
Match [User|Gro up] sftp 这里是对登录用户的权限限定配置 Match 会对匹配到的用户或用户组起作用且高于 ssh 的通项配置。
ChrootDirectory：
用户的可活动目录可以用 %h 标识用户家目录 %u 代表用户名，当 Match 匹配的用户登录后，会话的根目录会切换至此目录。这里要尤其注意两个问题：
1、 ch root 路径上的所有目录，所有者必须是 root，权限最大为 0755，这一点必须要注意。所以如果以非 root 用户登录时，我们需要在 chroot 下新建一个登录用户有权限操作的目录。
2、chroot 一旦设定，则相应的用户登录时会话的根目录 “/” 切换为此目录，如果你此时使用 ssh 而非 sftp 协议登录，则很有可能会被提示：/bin/bash: No su ch file or directory
对于此时登录的用户，会话中的根目录 “/” 已经切换为设置的 c hroot 目录，除非 c hroot 就是系统的 “/” 目录，否则此时的 c hroot/bin 下是不会有 bash 命令的，这就类似添加用户时设定的 -s /bin/fa lse 参数，shell 的初始命令式 /bin/fa lse 自然就无法远程 ssh 登录了。
ForceCommand：
强制用户登录会话时使用的初始命令。如果如上配置了此项，则 Match 到的用户只能使用 sftp 协议登录，而无法使用 ssh 登录，会被提示：This service allows sftp connections only.

8、新建 上传目录

新建一个目录供stp用户baksftp上传文件。
这个目录所有者为baksftp，所有组为sftp，所有者有写入权限，所有组无写入权限。

mkdir /data/sftp/baksftp/upload
chown baksftp:sftp /data/sftp/baksftp/upload
chmod 755 /data/sftp/baksftp/upload

9、重启 sshd 服务

# 关闭selinux
setenforce 0
# 重启sshd服务
systemctl restart sshd.service

10、登录sftp

sftp -P22 baksftp@IP

原文地址:https://blog.csdn.net/qq _41210783/art icle/de tails/134600822

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。

如若转载，请注明出处：http://www.7code.cn/show_21710.html

如若内容造成侵权/违法违规/事实不符，请联系代码007邮箱：suwngjj01@126.com进行投诉反馈，一经查实，立即删除！

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

ft ftp i

Linux 操作系统配置 SFTP

1、添加用户组 sftp

2、创建sftp用户

3、设置密码

4、限定活动目录

5、配置Chroot目录权限

6、指定为sftp组用户的home目录

7、修改ssh配置文件

7.1 基本的ssh远程登录配置

7.2 配置 sftp

8、新建上传目录

9、重启sshd服务

10、登录sftp

相关文章

发表回复 取消回复

2、创建 s ft p 用户

5、配置Ch root 目录权限

7、修改ssh 配置文件

7.1 基本的ssh 远程登录配置

9、重启 sshd 服务

发表回复取消回复