Linux 下sftp配置之密鑰方式登錄詳解
Linux下sftp配置之密鑰方式登錄
由于vsftp采用明文傳輸,用戶名密碼可通過抓包得到,為了安全性,需使用sftp,鎖定目錄且不允許sftp用戶登到服務器。由于sftp使用的是ssh協(xié)議,需保證用戶只能使用sftp,不能ssh到機器進行操作,且使用密鑰登陸、不是22端口。
1. 創(chuàng)建sftp服務用戶組,創(chuàng)建sftp服務根目錄
groupadd sftp
#此目錄及上級目錄的所有者必須為root,權(quán)限不高于755,此目錄的組最好設定為sftp
mkdir /data/sftp chown -R root:sftp /data/sftp chmod -R 0755 /data/sftp
2. 修改sshd配置文件
cp /etc/ssh/sshd_config,_bk} #備份配置文件 sed -i 's@#Port 22@Port 22@' /etc/ssh/sshd_config #保證原來22端口可以
vi /etc/ssh/sshd_config
注釋掉/etc/ssh/sshd_config文件中的此行代碼:
Subsystem sftp /usr/libexec/openssh/sftp-server
添加如下代碼:
Port 2222 Subsystem sftp internal-sftp -l INFO -f AUTH Match Group sftp ChrootDirectory /data/sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp -l INFO -f AUTH
凡是在用戶組sftp里的用戶,都可以使用sftp服務;使用sftp服務連接上之后,可訪問目錄為/data/sftp/username
舉個例子:
test是一個sftp組的用戶,它通過sftp連接服務器上之后,只能看到/data/sftp/test目錄下的內(nèi)容
test2也是一個sftp組的用戶,它通過sftp連接服務器之后,只能看到/data/sftp/test2目錄下的內(nèi)容
3. 創(chuàng)建sftp用戶
#此例將創(chuàng)建一個名稱為test的sftp帳號
#創(chuàng)建test sftp家目錄:test目錄的所有者必須是root,組最好設定為sftp,權(quán)限不高于755
mkdir /data/sftp/test chmod 0755 /data/sftp/test chown root:sftp /data/sftp/test useradd -g sftp -s /sbin/nologin test #添加用戶,參數(shù)-s /sbin/nologin禁止用戶通過命令行登錄
創(chuàng)建test用戶密鑰對:
# mkdir /home/test/.ssh # ssh-keygen -t rsa # cp /root/.ssh/id_rsa.pub /home/test/.ssh/authorized_keys # chown -R test.sftp /home/test
在test目錄下創(chuàng)建一個可以寫的upload目錄
mkdir /data/sftp/test/upload chown -R test:sftp /data/sftp/test/upload
注:sftp服務的根目錄的所有者必須是root,權(quán)限不能超過755(上級目錄也必須遵循此規(guī)則),sftp的用戶目錄所有者也必須是root,且最高權(quán)限不能超過755。
4. 測試sftp
service sshd restart
test用戶密鑰登陸如下圖:
感謝閱讀,希望能幫助到大家,謝謝大家對本站的支持!
相關文章
詳解如何在Linux(CentOS 7)命令行模式安裝VMware Tools
本篇文章主要介紹了如何在Linux(CentOS 7)命令行模式安裝VMware Tools,具有一定的參考價值,感興趣的小伙伴們可以參考一下。2017-03-03