文档章节

linux下ssh/sftp配置和权限设置

big_cat
 big_cat
发布于 2016/11/08 19:55
字数 1102
阅读 6658
收藏 4

基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录)。

1、开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh 到服务器

2、限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置

确定版本

#确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本
ssh -V

新建用户和用户组

#添加用户组 sftp 
groupadd sftp
#添加用户 指定家目录 指定用户组 不允许shell登录
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#设置用户密码
passwd sftp

活动目录

#设定你想要限定的活动目录
mkdir -p /var/www/sftp
#配置权限 注意此目录如果用于后续的 chroot 的活动目录 目录所有者必须是 root 必须是!!!
chown root.sftp /var/www/sftp

基本的 ssh 配置

# ssh 服务的配置文件
vi /etc/ssh/sshd_config

#基本的ssh远程登录配置
#开启验证
PasswordAuthentication yes
#禁止空密码登录
PermitEmptyPasswords no
#开启远程登录
PermitRootLogin yes

至此你就可以使用 ssh 远程登录服务器了

配置 sftp

#这里我们使用系统自带的 internal-sftp 服务即可满足需求
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

Subsystem

Subsystem 是说 ssh 的子模块 这里启用的即为 sftp 模块,我们使用系统自带的 internal-sftp 来提供此服务,其实配置到这你即可以使用帐号 ssh 登录,也可以使用 ftp 客户端 sftp 登录。

如果你希望用户只能 sftp 而不能 ssh 登录到服务器,而且要限定用户的活动目录,继续看下面的配置

#对登录用户的限定
Match Group sftp
    ChrootDirectory /var/www/sftp # 还可以用 %h代表用户家目录 %u代表用户名
    ForceCommand    internal-sftp # 强制使用系统自带的 internal-sftp 服务 这样用户只能使用ftp模式登录
    AllowTcpForwarding no
    X11Forwarding no

Match [User|Group] userName|groupName

Match [User|Group] sftp    这里是对登录用户的权限限定配置 Match 会对匹配到的用户或用户组起作用 且高于 ssh 的通项配置

ChrootDirectory    用户的可活动目录 可以用 %h 标识用户家目录 %u 代表用户名 当 Match 匹配的用户登录后 会话的根目录会切换至此目录 这里要尤其注意两个问题

1、 chroot 路径上的所有目录,所有者必须是 root,权限最大为 0755,这一点必须要注意而且符合 所以如果以非 root 用户登录时,我们需要在 chroot 下新建一个登录用户有权限操作的目录

2、chroot 一旦设定 则相应的用户登录时会话的根目录 "/" 切换为此目录,如果你此时使用 ssh 而非 sftp 协议登录,则很有可能会被提示:

/bin/bash: No such file or directory

这则提示非常的正确,对于此时登录的用户,会话中的根目录 "/" 已经切换为你所设置的 chroot 目录,除非你的 chroot 就是系统的 "/" 目录,否则此时的 chroot/bin 下是不会有 bash 命令的,这就类似添加用户时设定的 -s /bin/false 参数,shell 的初始命令式 /bin/false 自然就无法远程 ssh 登录了

ForceCommand    强制用户登录会话时使用的初始命令 如果如上配置了此项 则 Match 到的用户只能使用 sftp 协议登录,而无法使用 ssh 登录 会被提示

This service allows sftp connections only.

配置完成 重启 sshd 服务

service sshd restart

注意:

1、chroot 可能带来的问题,因为 chroot 会将会话的根目录切换至此,所以 ssh 登录很可能会提示 /bin/bash: No such file or directory 的错误,因为此会话的路径会为 chroot/bin/bash

2、ForceCommand 为会话开始时的初始命令 如果指定了比如 internal-sftp,则会提示 This service allows sftp connections only. 这就如同 usermod -s /bin/false 命令一样,用户登录会话时无法调用 /bin/bash 命令,自然无法 ssh 登录服务器

© 著作权归作者所有

big_cat
粉丝 49
博文 237
码字总数 162865
作品 0
长宁
后端工程师
私信 提问
配置linux用户实现禁止ssh登陆但可用sftp登录

构想和目标 最近有个这样的诉求:基于对线上服务器的保密和安全,不希望开发人员直接登录线上服务器,因为登录服务器的权限太多难以管控,如直接修改代码、系统配置,并且也直接连上mysql。因...

898009427
2018/07/25
0
0
利用ssh 架设sftp协议 ftp服务器

转载自:http://zengrong.net/post/1616.htm 由于采用明文传输用户名和密码,FTP协议是不安全的。在同一机房中只要有一台服务器被***者控制,它就可能获取到其它服务器上的FTP密码,从而控制其...

bsbforever
2018/06/26
0
0
Ubuntu Server如何配置SFTP(建立用户监狱)

SSH File Transfer Protocol是一个比普通FTP更为安全的文件传输协议。(参考资料:http://en.wikipedia.org/wiki/SSHFileTransfer_Protocol)它工作在Secure Shell(SSH)上,确保文件被加密...

BearCatYN
2015/08/25
347
0
Linux 创建sftp用户并限制目录权限

最近搞一个sftp项目,用于给第三方公司上传文件,期间查询了很多种方式,依然无法限制目录,很苦恼,本次经过无数次试验,终于成功了。 提供sftp服务的有vsftpd和internal-sftp,这里用的是系...

liubao425
2018/12/28
0
0
openssh sftp chroot

for RHEL 7 https://wiki.moonshot.ja.net/pages/viewpage.action?pageId=6422607 https://en.wikibooks.org/wiki/OpenSSH/LoggingandTroubleshooting 1. for init os config. wget --direct......

zzimac
2018/11/08
19
0

没有更多内容

加载失败,请刷新页面

加载更多

前端面试题汇总

一. HTML常见的兼容性 1.HTML5 标签在低版本浏览器不兼容 解决办法:使用html5shiv库,引入下列语句 <!--[if lte IE 8]> <script src="https://cdn.bootcss.com/html5shiv/r29/html5.js"></sc......

蓝小驴
25分钟前
5
0
OSChina 周四乱弹 —— 我气的脸都黑了!

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 小小编辑推荐《Red Battle》- 高橋李依 / 豊崎愛生 《Red Battle》- 高橋李依 / 豊崎愛生 手机党少年们想听歌,请使劲儿戳(这里) @丶Lion ...

小小编辑
38分钟前
435
19
找OSG教程, B站就有

https://www.bilibili.com/video/av64849038?from=search&seid=11632913960900279653

洛克人杰洛
59分钟前
5
0
学习记录(day07-Vue组件、自定义属性、自定义事件)

[TOC] 1.1.1什么是组件 一个vue文件就是一个组件 组件将html标签/css样式/对应JS打包成一个整体,也可以理解钻进一个具有样式和特效的自定义标签。 一、编写组件(提供方)<template> <di...

庭前云落
今天
5
0
使用Prometheus监控SpringBoot应用

通过之前的文章我们使用Prometheus监控了应用服务器node_exporter,数据库mysqld_exporter,今天我们来监控一下你的应用。(本文以SpringBoot 2.1.9.RELEASE 作为监控目标) 编码 添加依赖 使...

JAVA日知录
今天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部