经过密钥 SFTP (三)：SFTP 帐户指定（不是限定）根目录

20190127 以前限制 ChrootDirectory 以后，须要对原有环境改造较多

1. 以前配置的网站都是直接存在在了 /var/www
二、尚未部署网站的新服务器，彻底可行！
三、尝试了使用 ln 软链接 ，若是已经部署的网站较少，仍是可行的，须要转移的网站代码比较少
4. ChrootDirectory 对于目录要求很严，必须全部人是 root ，供上传的子目录最好 chmod 777
5. /var/www 以前的来源很杂，有的全部人是root，有的是其余用户

一、目标和思路分析

1. 使用密钥方式 SFTP 相对安全
2. 不容许 SFTP 帐号 ssh 登陆
3. 直接 SFTP 登陆直接指向 /var/www
4. 已经有 vsftp 存在，不能一刀切就停用 vsftp

结论：咱们须要一个帐户
1. 限制它只能使用 SFTP
2. 不能使用 ssh 
3. 他的 home 目录直接指向 /var/www

二、实施

1. 创建新用户，指定 home 为 /var/www
	useradd -d /var/www dhbm162
2. 设置密码
	passwd dhbm162 
	
	** 要求密钥方式，因此，密码无需告知上传网站的程序员
3. 修改 sshd_config
	sudo vim /etc/ssh/sshd_config
	添加如下 Match User 规则

	###################
	# add by wzh 2019017 only SFTP users
	Match User dhbm162
	ForceCommand internal-sftp
	# ChrootDirectory /home/dhbm162/www/

	** 注释掉以前的 ChrootDirectory
	sudo systemctl restart sshd
	

4. 复制公钥文件，并修改 .ssh 权限
	sudo cp -R /home/dhbm/.ssh /var/www
	sudo chmod -R 755 /var/www/.ssh

	同时修改 /var/www
	sudo chmod -R 777 /var/www

三、 测试

1. 测试 ssh
	ssh dhbm162@192.168.1.162
		This service allows sftp connections only.
		Connection to 192.168.1.162 closed.

2. 测试 SFTP
 sftp  dhbm162@192.168.1.162
	Connected to dhbm162@192.168.1.162.
	sftp> 
	
3. 测试 FileZilla
新建站点

结果

四、 结论

以上方案虽然没有限制 sftp 用户 ChrootDirectory，可是，使用密钥方式，保证了必定的安全
直接指定了 /var/www 目录，维持了过去 vsftp 的操做习惯

五、后续问题

以上 sudo chmod -R 777 /var/www 应该是不安全的作法！网站文件任何人均可以修改？

仍是须要指定拥有人才能够读写，其余人不可写！
若是有须要写权限的 uplaod 目录，必须手动单独修改！

sudo chmod -R 755 /var/www

sudo chown -R XXXX162:XXXX162 /var/www

** 如今有点儿理解 ChrootDirectory 的根目录为何最大只能 755 了！