ssh/sftp配置和权限设置
| 导读 | 基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文账号密码传输)和方便的权限管理(限制用户的活动目录)。 |
一、开通 sftp 账号,使用户只能 sftp 操做文件, 而不能 ssh 到服务器html
二、限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置linux
肯定版本shell
#确保 ssh 的版本高于 4.8p1 不然升级一下 通常都高于这个版本
ssh -V安全
新建用户和用户组bash
#添加用户组 sftp
groupadd sftp
#添加用户 指定家目录 指定用户组 不容许shell登陆
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#设置用户密码
passwd sftp服务器
活动目录ssh
#设定你想要限定的活动目录
mkdir -p /var/www/sftp
#配置权限 注意此目录若是用于后续的 chroot 的活动目录 目录全部者必须是 root 必须是!!!
chown root.sftp /var/www/sftprest
基本的 ssh 配置server
# ssh 服务的配置文件
vi /etc/ssh/sshd_confightm
#基本的ssh远程登陆配置
#开启验证
PasswordAuthentication yes
#禁止空密码登陆
PermitEmptyPasswords no
#开启远程登陆
PermitRootLogin yes
至此你就可使用 ssh 远程登陆服务器了
配置 sftp
#这里咱们使用系统自带的 internal-sftp 服务便可知足需求
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Subsystem
Subsystem 是说 ssh 的子模块 这里启用的即为 sftp 模块,咱们使用系统自带的 internal-sftp 来提供此服务,其实配置到这你便可以使用账号 ssh 登陆,也可使用 ftp 客户端 sftp 登陆。
若是你但愿用户只能 sftp 而不能 ssh 登陆到服务器,并且要限定用户的活动目录,继续看下面的配置
#对登陆用户的限定
Match Group sftp
ChrootDirectory /var/www/sftp # 还能够用 %h表明用户家目录 %u表明用户名
ForceCommand internal-sftp # 强制使用系统自带的 internal-sftp 服务 这样用户只能使用ftp模式登陆
AllowTcpForwarding no
X11Forwarding no
Match [User|Group] userName|groupName
Match [User|Group] sftp 这里是对登陆用户的权限限定配置 Match 会对匹配到的用户或用户组起做用 且高于 ssh 的通项配置
ChrootDirectory 用户的可活动目录 能够用 %h 标识用户家目录 %u 表明用户名 当 Match 匹配的用户登陆后 会话的根目录会切换至此目录 这里要尤为注意两个问题
一、 chroot 路径上的全部目录,全部者必须是 root,权限最大为 0755,这一点必需要注意并且符合 因此若是以非 root 用户登陆时,咱们须要在 chroot 下新建一个登陆用户有权限操做的目录
二、chroot 一旦设定 则相应的用户登陆时会话的根目录 "/" 切换为此目录,若是你此时使用 ssh 而非 sftp 协议登陆,则颇有可能会被提示:
/bin/bash: No such file or directory
这则提示很是的正确,对于此时登陆的用户,会话中的根目录 "/" 已经切换为你所设置的 chroot 目录,除非你的 chroot 就是系统的 "/" 目录,不然此时的 chroot/bin 下是不会有 bash 命令的,这就相似添加用户时设定的 -s /bin/false 参数,shell 的初始命令式 /bin/false 天然就没法远程 ssh 登陆了
ForceCommand 强制用户登陆会话时使用的初始命令 若是如上配置了此项 则 Match 到的用户只能使用 sftp 协议登陆,而没法使用 ssh 登陆 会被提示
This service allows sftp connections only.
配置完成 重启 sshd 服务
service sshd restart
注意:
一、chroot 可能带来的问题,由于 chroot 会将会话的根目录切换至此,因此 ssh 登陆极可能会提示 /bin/bash: No such file or directory 的错误,由于此会话的路径会为 chroot/bin/bash
二、ForceCommand 为会话开始时的初始命令 若是指定了好比 internal-sftp,则会提示 This service allows sftp connections only. 这就如同 usermod -s /bin/false 命令同样,用户登陆会话时没法调用 /bin/bash 命令,天然没法 ssh 登陆服务器
原文来自: https://www.linuxprobe.com/ssh-sftp-configuration.html
- 1. 设置权限
- 2. 权限设置
- 3. redhat下rsh配置与权限设置
- 4. sudo权限配置-visudo设置
- 5. linux配置sftp及权限设置
- 6. docker安全(权限设置)、cgroup方式设置限制权限
- 7. MongoDB权限设置
- 8. AndroidManifest.xml权限设置
- 9. Ubantu权限设置
- 10. magento权限设置
- 更多相关文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Maven 环境配置 - Maven教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IntelliJ IDEA代码格式化设置
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 设置权限
- 2. 权限设置
- 3. redhat下rsh配置与权限设置
- 4. sudo权限配置-visudo设置
- 5. linux配置sftp及权限设置
- 6. docker安全(权限设置)、cgroup方式设置限制权限
- 7. MongoDB权限设置
- 8. AndroidManifest.xml权限设置
- 9. Ubantu权限设置
- 10. magento权限设置