linux下ssh/sftp配置和許可權設置

-Advertisement-

基於 ssh 的 sftp 服務相比 ftp 有更好的安全性（非明文帳號密碼傳輸）和方便的許可權管理（限制用戶的活動目錄）。 1、開通 sftp 帳號，使用戶只能 sftp 操作文件，而不能 ssh 到伺服器 2、限定用戶的活動目錄，使用戶只能在指定的目錄下活動，使用 sftp 的 ChrootDi ...

基於 ssh 的 sftp 服務相比 ftp 有更好的安全性（非明文帳號密碼傳輸）和方便的許可權管理（限制用戶的活動目錄）。

1、開通 sftp 帳號，使用戶只能 sftp 操作文件，而不能 ssh 到伺服器

2、限定用戶的活動目錄，使用戶只能在指定的目錄下活動，使用 sftp 的 ChrootDirectory 配置

確定版本

#確保 ssh 的版本高於 4.8p1 否則升級一下 一般都高於這個版本
ssh -V

新建用戶和用戶組

#添加用戶組 sftp 
groupadd sftp
#添加用戶 指定家目錄 指定用戶組 不允許shell登錄
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#設置用戶密碼
passwd sftp

活動目錄

#設定你想要限定的活動目錄
mkdir -p /var/www/sftp
#配置許可權 註意此目錄如果用於後續的 chroot 的活動目錄 目錄所有者必須是 root 必須是！！！
chown root.sftp /var/www/sftp

基本的 ssh 配置

# ssh 服務的配置文件
vi /etc/ssh/sshd_config

#基本的ssh遠程登錄配置
#開啟驗證
PasswordAuthentication yes
#禁止空密碼登錄
PermitEmptyPasswords no
#開啟遠程登錄
PermitRootLogin yes

至此你就可以使用 ssh 遠程登錄伺服器了

配置 sftp

#這裡我們使用系統自帶的 internal-sftp 服務即可滿足需求
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

Subsystem

Subsystem 是說 ssh 的子模塊這裡啟用的即為 sftp 模塊，我們使用系統自帶的 internal-sftp 來提供此服務，其實配置到這你即可以使用帳號 ssh 登錄，也可以使用 ftp 客戶端 sftp 登錄。

如果你希望用戶只能 sftp 而不能 ssh 登錄到伺服器，而且要限定用戶的活動目錄，繼續看下麵的配置

#對登錄用戶的限定
Match Group sftp
    ChrootDirectory /var/www/sftp # 還可以用 %h代表用戶家目錄 %u代表用戶名
    ForceCommand    internal-sftp # 強制使用系統自帶的 internal-sftp 服務 這樣用戶只能使用ftp模式登錄
    AllowTcpForwarding no
    X11Forwarding no

Match [User|Group] userName|groupName

Match [User|Group] sftp 這裡是對登錄用戶的許可權限定配置 Match 會對匹配到的用戶或用戶組起作用且高於 ssh 的通項配置

ChrootDirectory 用戶的可活動目錄可以用 %h 標識用戶家目錄 %u 代表用戶名當 Match 匹配的用戶登錄後會話的根目錄會切換至此目錄這裡要尤其註意兩個問題

1、 chroot 路徑上的所有目錄，所有者必須是 root，許可權最大為 0755，這一點必須要註意而且符合所以如果以非 root 用戶登錄時，我們需要在 chroot 下新建一個登錄用戶有許可權操作的目錄

2、chroot 一旦設定則相應的用戶登錄時會話的根目錄 "/" 切換為此目錄，如果你此時使用 ssh 而非 sftp 協議登錄，則很有可能會被提示：

/bin/bash: No such file or directory

這則提示非常的正確，對於此時登錄的用戶，會話中的根目錄 "/" 已經切換為你所設置的 chroot 目錄，除非你的 chroot 就是系統的 "/" 目錄，否則此時的 chroot/bin 下是不會有 bash 命令的，這就類似添加用戶時設定的 -s /bin/false 參數，shell 的初始命令式 /bin/false 自然就無法遠程 ssh 登錄了

ForceCommand 強制用戶登錄會話時使用的初始命令如果如上配置了此項則 Match 到的用戶只能使用 sftp 協議登錄，而無法使用 ssh 登錄會被提示

This service allows sftp connections only.

配置完成重啟 sshd 服務

service sshd restart

註意：

1、chroot 可能帶來的問題，因為 chroot 會將會話的根目錄切換至此，所以 ssh 登錄很可能會提示 /bin/bash: No such file or directory 的錯誤，因為此會話的路徑會為 chroot/bin/bash

2、ForceCommand 為會話開始時的初始命令如果指定了比如 internal-sftp，則會提示 This service allows sftp connections only. 這就如同 usermod -s /bin/false 命令一樣，用戶登錄會話時無法調用 /bin/bash 命令，自然無法 ssh 登錄伺服器

原文鏈接：https://my.oschina.net/sallency/blog/784022

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

Linux學習歷程——Centos 7 賬戶管理命令（用戶篇）useradd usermod userdel

一、命令介紹 useradd 用於創建新的用戶 usermod 用於修改用戶屬性 userdel 用於刪除用戶二、實例 useradd 參數作用 -d 指定用戶的家目錄 -e 賬戶到期時間格式：YYYY-MM-DD -u 指定用戶預設UID -g 指定用戶初始用戶組（必須已經存在） -G 指定 ...
fedora 28 安裝 wine 運行 uTorrent 解決linux 端，pt 資源下載問題

fedora 28 倉庫中，資源比較多。使用 wine 運行windows 程式，可以一定程度上解決軟體跨平臺問題。搜索: 安裝： wine 運行程式：為了更好得使用wine, 可以使用社區開發的wine gui 來進行管理wine 環境。開發團隊，使用 Qt 來進行開發的wine GUI ...
使用U盤作為啟動盤安裝ubuntu系統

一、使用U盤刻錄鏡像 1.安裝之後我們打開軟體，點擊文件打開，找到我們剛纔進行下載的Ubuntu的ISO文件，然後點擊打開，完成ISO文件的載入。接著我們插入U盤，點擊UltraISO啟動選項，然後找到寫入硬碟映像選項，點擊它進入到將要進行操作的界面： 2.此時如果你插入了U盤就可以看到，如果你插入 ...
macOS 下NFS 文件系統掛載

主要有兩種方式：使用：resvport選項， mount 掛載命令時. 使用：insecure選項， exportfs 文件配置時. 這些, 網上又很多比較好的例子： https://blog.csdn.net/nicai888/article/details/69367294 https://b ...
zabbix+docker

由於公司線上伺服器數量太少，又要用於生產，領導讓上zabbix，但熟知zabbix搭建需要LAMP或者LNMP，如果和生產伺服器混搭的話，不方便管理，也怕出問題，所以就先使用docker方式搭建管理。 zabbix組件：web、zabbix-server、zabbix-agent、如果伺服器過多還需 ...
linux伺服器重啟指令

一、Linux 的五個重啟命令 1、shutdown 2、poweroff 3、init 4、reboot 5、halt 二、五個重啟命令的具體說明 shutdown reboot 在linux下一些常用的關機/重啟命令有shutdown、halt、reboot、及init，它們都可以達到重啟系統的 ...
Linux 系統出現電流音解決方案

迫於Windows 系統最近的各種故障，今天脫坑換了openSUSE Linux ，在上網途中播放視頻時偶爾會出現電流音，雖然影響不大，但是還是進行了一些排查。通過觀察電流音出現時的系統負載的波段，發現電流音可能由於CPU變頻導致的，於是進行下一步排查，最後懷疑是 Intel 節能技術（Enhan ...
linux內核調試技巧之一 dump_stack【轉】

在內核中代碼調用過程難以跟蹤，上下文關係複雜，確實讓人頭痛調用dump_stack()就會列印當前cpu的堆棧的調用函數了。如此，一目瞭然的就能看到當前上下文環境，調用關係了假設：遇到uvc_probe_video這麼一個函數，不知道它最終是被誰調用到的，根據linux設備模型，初步推測，p ...