基于 ssh 的 sftp 服務(wù)相比 ftp 有更好的安全性（非明文帳號密碼傳輸）和方便的權(quán)限管理（限制用戶的活動目錄）。

1、開通 sftp 帳號，使用戶只能 sftp 操作文件， 而不能 ssh 到服務(wù)器

2、限定用戶的活動目錄，使用戶只能在指定的目錄下活動，使用 sftp 的 ChrootDirectory 配置

確定版本

#確保 ssh 的版本高于 4.8p1 否則升級一下 一般都高于這個版本
ssh -V

新建用戶和用戶組

#添加用戶組 sftp
groupadd sftp
#添加用戶 指定家目錄 指定用戶組 不允許shell登錄
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#設(shè)置用戶密碼
passwd sftp

活動目錄

#設(shè)定你想要限定的活動目錄
mkdir -p /var/www/sftp
#配置權(quán)限 注意此目錄如果用于后續(xù)的 chroot 的活動目錄 目錄所有者必須是 root 必須是?。?！
chown root.sftp /var/www/sftp

基本的 ssh 配置

# ssh 服務(wù)的配置文件
vi /etc/ssh/sshd_config

#基本的ssh遠(yuǎn)程登錄配置
#開啟驗證
PasswordAuthentication yes
#禁止空密碼登錄
PermitEmptyPasswords no
#開啟遠(yuǎn)程登錄
PermitRootLogin yes

至此你就可以使用 ssh 遠(yuǎn)程登錄服務(wù)器了

配置 sftp

#這里我們使用系統(tǒng)自帶的 internal-sftp 服務(wù)即可滿足需求
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

Subsystem

Subsystem 是說 ssh 的子模塊 這里啟用的即為 sftp 模塊，我們使用系統(tǒng)自帶的 internal-sftp 來提供此服務(wù)，其實配置到這你即可以使用帳號 ssh 登錄，也可以使用 ftp 客戶端 sftp 登錄。

如果你希望用戶只能 sftp 而不能 ssh 登錄到服務(wù)器，而且要限定用戶的活動目錄，繼續(xù)看下面的配置

#對登錄用戶的限定
Match Group sftp
    ChrootDirectory /var/www/sftp # 還可以用 %h代表用戶家目錄 %u代表用戶名
    ForceCommand    internal-sftp # 強制使用系統(tǒng)自帶的 internal-sftp 服務(wù) 這樣用戶只能使用ftp模式登錄
    AllowTcpForwarding no
    X11Forwarding no

Match [User|Group] userName|groupName

Match [User|Group] sftp    這里是對登錄用戶的權(quán)限限定配置 Match 會對匹配到的用戶或用戶組起作用 且高于 ssh 的通項配置

ChrootDirectory    用戶的可活動目錄 可以用 %h 標(biāo)識用戶家目錄 %u 代表用戶名 當(dāng) Match 匹配的用戶登錄后 會話的根目錄會切換至此目錄 這里要尤其注意兩個問題

1、 chroot 路徑上的所有目錄，所有者必須是 root，權(quán)限最大為 0755，這一點必須要注意而且符合 所以如果以非 root 用戶登錄時，我們需要在 chroot 下新建一個登錄用戶有權(quán)限操作的目錄

2、chroot 一旦設(shè)定 則相應(yīng)的用戶登錄時會話的根目錄 "/" 切換為此目錄，如果你此時使用 ssh 而非 sftp 協(xié)議登錄，則很有可能會被提示：

/bin/bash: No such file or directory

這則提示非常的正確，對于此時登錄的用戶，會話中的根目錄 "/" 已經(jīng)切換為你所設(shè)置的 chroot 目錄，除非你的 chroot 就是系統(tǒng)的 "/" 目錄，否則此時的 chroot/bin 下是不會有 bash 命令的，這就類似添加用戶時設(shè)定的 -s /bin/false 參數(shù)，shell 的初始命令式 /bin/false 自然就無法遠(yuǎn)程 ssh 登錄了

ForceCommand    強制用戶登錄會話時使用的初始命令 如果如上配置了此項 則 Match 到的用戶只能使用 sftp 協(xié)議登錄，而無法使用 ssh 登錄 會被提示
This service allows sftp connections only.

配置完成 重啟 sshd 服務(wù)

service sshd restart

注意：

1、chroot 可能帶來的問題，因為 chroot 會將會話的根目錄切換至此，所以 ssh 登錄很可能會提示 /bin/bash: No such file or directory 的錯誤，因為此會話的路徑會為 chroot/bin/bash

2、ForceCommand 為會話開始時的初始命令 如果指定了比如 internal-sftp，則會提示 This service allows sftp connections only. 這就如同 usermod -s /bin/false 命令一樣，用戶登錄會話時無法調(diào)用 /bin/bash 命令，自然無法 ssh 登錄服務(wù)器

總結(jié)

以上所述是小編給大家介紹的linux操作系統(tǒng)下配置ssh/sftp和權(quán)限設(shè)置方法，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

最新評論