Linux 配置SFTP,配置用户访问权限

之前我服务器是使用的Windows Server 2003,这段时间由于访问量变大我还是机智的换成Linux了,在搭建FTP的时候看到网上都是推荐vsftpd,不过我不推荐这个家伙,看官且看下文。

我推荐使用SSH自带的SFTPSFTPSecure File Transfer Protocol的缩写,安全文件传送协议。SFTP使用加密传输认证信息和传输的数据,所以使用SFTP是非常安全的。SFTP之于FTP可以理解为Https之于Http,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP

**本文最终的效果:**在Linux下建立sftp-users用户组,在该组下建多个用户,禁止该组所有用户ssh远程登录服务器,但是允许该组所有用户登录sftp,并只能访问自己的目录及子目录中的文件。

本文以admin用户为例,下面出现的admin均指该用户或者该用户目录。


安装ssh和openssh-sftp-server

其实Linux发行版基本都是安装了OpenSSH的,不过我们这里还是确认一下是否安装,
一般我们需要安装openssh-serveropenssh-sftp-server,所以我们检查是否安装了SSH

  • Ubuntu检查是否安装了OpenSSH
dpkg --get-selections | grep openssh

  • CentOS检查是否安装了OpenSSH
# 以yum方式安装的:
yum list installed openssh

# 以rpm包安装的:
rpm -qa | grep openssh

# 以deb包安装的:
dpkg -l | grep openssh


如果已经三个包都安装了,那么你的命令行该是如下:

openssh-server              installed
openssh-sftp-server         installed
...

哪个没有打印就是没有安装,安装即可。

  • Ubuntu 安装,依次执行以下命令,install后面只写没有安装的包名即可
sudo apt-get update
sudo apt-get install openssh-client openssh-server openssh-sftp-server

  • CentOS 安装,install后面只写没有安装的包名即可
sudo yum install openssh-client openssh-server openssh-sftp-server

如果都是安装的,我们需要保证OpenSSH的版本不得低于4.8,因为我们要用ChrootDirectory配置用户访问目录,所以检查下SSH的版本,执行命令ssh -V会打印出如下版本信息:

OpenSSH_6.6.1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f...

如果SSH的版本低于4.8,需要升级。

  • Ubuntu升级SSH
sudo apt-get update
sudo apt-get install openssh-server

  • CentOS升级SSH
sudo yum update -y openssh-server

建立用户组和用户

我们要建立一个专门管理sftp用户的用户组,方便我们管理权限。
1、建立一个名为sftp-userssftp用户组

sudo groupadd sftp-users

2、在该组建立几个需要登录sftp的用户

新建用户名为admin的用户:

sudo useradd -g sftp-users -m admin

修改admin的密码:

passwd admin

然后连续两次输入你要给该用户设置的密码即可。

3、如果该用户已存在,但是不在sftp-users组中,可以移动用户到改组

usermod –g sftp_users admin

配置ssh和权限

1、打开/etc/ssh/sshd_config文件

2、修改X11Forwarding的值为no,原来可能是:X11Forwarding yes,现在修改为X11Forwarding no,如果X11Forwarding不存在,就在文件最后添加上面的代码。
修改AllowTcpForwarding的值为no,原来可能是AllowTcpForwarding yes,现在修改为AllowTcpForwarding no,如果AllowTcpForwarding不存在,就在文件最后添加上面的代码。

3、修改Subsystem sftpinternal-sftp

Subsystem sftp /usr/libexec/openssh/sftp-server
# 或者
Subsystem sftp /usr/lib/openssh/sftp-server

现在修改为:

Subsystem sftp internal-sftp

4、在文件末尾增加内容

Match Group sftp-users
    ChrootDirectory %h
    ForceCommand internal-sftp

  • Match Group sftp-users这一行是指定以下的子行配置是匹配sftp-users用户组的,多个用户组用英文逗号分隔。
  • ChrootDirectory %h该行指定Match Group行指定的用户组验证后用于chroot环境的路径,也就是默认的用户目录,比如/home/admin;也可以写明确路径,例如/data/www
  • ForceCommand internal-sftp该行强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令。

这里要特别注意,因为ChrootDirectory %h模式,所以我们等下要设置sftp-users中的所有用户的用户目录权限为root拥有,否则sftp-users组中的用户无法用sftp登录。

修改sftp-users用户组用户目录权限

上面说了,因为使用了ChrootDirectory %h,现在来修改权限。

1、修改权限为root用户拥有

chown root /home/admin

2、修改权限为root可读写执行,其它用户可读

chmod 755 /home/admin

3、重启ssh,登录sftp

sudo service ssh restart

现在就可以使用sftp登录了,但是我们发现,我们不能上传文件,那是因为登录后默认是用户目录,比如/home/admin,但是该目录是root用户拥有,因此我们还要修改权限。

注意:centos7重启ssh的命令是sudo systemctl restart sshd.service,另外可以设置ssh为开机启动,命令是sudo systemctl enable sshd.service

4、在用户目录下建立子目录,让sftp-users中的用户可读写文件
我们现在在/home/admin目录下新建一个upload文件夹:

cd /home/admin/
mkdir upload

5、授权upload文件夹读写
让子文件夹upload属于admin

chown admin /home/admin/upload

让子文件夹upload被admin读写

chmod 755 /home/admin/upload

重启ssh,登录sftp

现在全部都配置完了,如果在上面第三步没有重启ssh的话,现在重启后既可以登录使用了。

sudo service ssh restart

centos7.x的系统如果执行上面这个命令提示不存在,执行:

sudo systemctl restart sshd

Windows登录sftp推荐使用WinScpLinux用命令即可,Mac推荐使用Yummy FTP


本文转自 https://blog.csdn.net/yanzhenjie1003/article/details/70184221?spm=1001.2014.3001.5501,如有侵权,请联系删除。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,126评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,254评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,445评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,185评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,178评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,970评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,276评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,927评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,400评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,883评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,997评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,646评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,213评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,204评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,423评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,423评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,722评论 2 345

推荐阅读更多精彩内容