wps怎么做网站,网站开发 asp.net php,安卓开发app用什么软件,wordpress第三方客户端Linux 操作系统配置 SFTP sftp采用的是ssh加密隧道#xff0c;安装性方面较ftp强#xff0c;而且依赖的是系统自带的ssh服务#xff0c;不像ftp还需要额外的进行安装基于 ssh 的 sftp 服务相比 ftp 有更好的安全性#xff08;非明文帐号密码传输#xff09;和方便的权限管…Linux 操作系统配置 SFTP sftp采用的是ssh加密隧道安装性方面较ftp强而且依赖的是系统自带的ssh服务不像ftp还需要额外的进行安装基于 ssh 的 sftp 服务相比 ftp 有更好的安全性非明文帐号密码传输和方便的权限管理限制用户的活动目录。
实现目的 1、设置 sftp 帐号使用户只能 sftp 操作文件 而不能 ssh 到服务器 2、限定用户的活动目录使用户只能在指定的目录下活动使用 sftp 的 ChrootDirectory 配置
查看ssh版本
ssh -V1、添加用户组 sftp
groupadd sftp2、创建sftp用户
useradd -g sftp -s /bin/false baksftp-s /bin/false不允许shell登录。 -g sftp加入sftp组 3、设置密码
passwd baksftp4、限定活动目录
mkdir -p /data/sftp/baksftp5、配置Chroot目录权限
# 注意此目录如果用于后续的 chroot 的活动目录目录所有者必须是 root
chown root:sftp /data/sftp/baksftp
chmod 755 /data/sftp/baksftpchroot 可能带来的问题 因为 chroot 会将会话的根目录切换至此所以 ssh 登录很可能会提示 /bin/bash: No such file or directory 的错误因为此会话的路径会为 [chroot]/bin/bash 6、指定为sftp组用户的home目录
usermod -d /data/sftp/baksftp baksftp7、修改ssh配置文件
vi /etc/ssh/sshd_config7.1 基本的ssh远程登录配置
# 开启验证
PasswordAuthentication yes
# 禁止空密码登录
PermitEmptyPasswords no
# 开启远程登录
PermitRootLogin yes至此可以使用 ssh 远程登录服务器了。
7.2 配置 sftp
# 修改Subsystem配置使用系统自带的 internal-sftp 服务即可满足需求
# Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftpSubsystem 是说 ssh 的子模块这里启用的即为 sftp 模块使用系统自带的 internal-sftp 来提供此服务 配置到这即可以使用帐号ssh登录也可以使用ftp客户端sftp登录。
如果希望用户只能使用sftp而不能ssh登录到服务器而且要限定用户的活动目录继续看下面的配置
# 对登录用户的限制
Match Group sftp # 匹配sftp组
ChrootDirectory /data/sftp/%u # 限制用户在自己家目录
ForceCommand internal-sftp # 限制只能使用sftp协议登录如果要放通ssh登录注释即可
AllowTcpForwarding no
X11Forwarding noMatch [User|Group] userName|groupName Match [User|Group] sftp 这里是对登录用户的权限限定配置 Match 会对匹配到的用户或用户组起作用且高于 ssh 的通项配置。 ChrootDirectory 用户的可活动目录可以用 %h 标识用户家目录 %u 代表用户名当 Match 匹配的用户登录后会话的根目录会切换至此目录。这里要尤其注意两个问题 1、 chroot 路径上的所有目录所有者必须是 root权限最大为 0755这一点必须要注意。所以如果以非 root 用户登录时我们需要在 chroot 下新建一个登录用户有权限操作的目录。 2、chroot 一旦设定则相应的用户登录时会话的根目录 “/” 切换为此目录如果你此时使用 ssh 而非 sftp 协议登录则很有可能会被提示/bin/bash: No such file or directory 对于此时登录的用户会话中的根目录 “/” 已经切换为设置的 chroot 目录除非 chroot 就是系统的 “/” 目录否则此时的 chroot/bin 下是不会有 bash 命令的这就类似添加用户时设定的 -s /bin/false 参数shell 的初始命令式 /bin/false 自然就无法远程 ssh 登录了。 ForceCommand 强制用户登录会话时使用的初始命令。如果如上配置了此项则 Match 到的用户只能使用 sftp 协议登录而无法使用 ssh 登录会被提示This service allows sftp connections only. 8、新建上传目录
新建一个目录供stp用户baksftp上传文件。 这个目录所有者为baksftp所有组为sftp所有者有写入权限所有组无写入权限。
mkdir /data/sftp/baksftp/upload
chown baksftp:sftp /data/sftp/baksftp/upload
chmod 755 /data/sftp/baksftp/upload9、重启sshd服务
# 关闭selinux
setenforce 0
# 重启sshd服务
systemctl restart sshd.service10、登录sftp
sftp -P22 baksftpIP
