关闭

Linux 配置SFTP,配置用户访问权限

标签: sftplinux-sftpsftp搭建
11790人阅读 评论(1) 收藏 举报
分类:

版权声明:转载必须注明本文转自严振杰的博客:http://blog.yanzhenjie.com

之前我服务器是使用的Windows Server 2003,这段时间由于访问量变大我还是机智的换成Linux了,在搭建FTP的时候看到网上都是推荐vsftpd,不过我不推荐这个家伙,看官且看下文。

我推荐使用SSH自带的SFTPSFTPSecure File Transfer Protocol的缩写,安全文件传送协议。SFTP使用加密传输认证信息和传输的数据,所以使用SFTP是非常安全的。SFTP之于FTP可以理解为Https之于Http,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP

本文最终的效果:Linux下建立sftp-users用户组,在该组下建多个用户,禁止该组所有用户ssh远程登录服务器,但是允许该组所有用户登录sftp,并只能访问自己的目录及子目录中的文件。

本文以admin用户为例,下面出现的admin均指该用户或者该用户目录。


安装ssh和openssh-sftp-server

其实Linux发行版基本都是安装了OpenSSH的,不过我们这里还是确认一下是否安装,
一般我们需要安装openssh-serveropenssh-sftp-server,所以我们检查是否安装了SSH

  • Ubuntu检查是否安装了OpenSSH
dpkg --get-selections | grep openssh
  • CentOS检查是否安装了OpenSSH
# 以yum方式安装的:
yum list installed openssh

# 以rpm包安装的:
rpm -qa | grep openssh

# 以deb包安装的:
dpkg -l | grep openssh

如果已经三个包都安装了,那么你的命令行该是如下:

openssh-server              installed
openssh-sftp-server         installed
...

哪个没有打印就是没有安装,安装即可。

  • Ubuntu 安装,依次执行以下命令,install后面只写没有安装的包名即可
sudo apt-get update
sudo apt-get install openssh-client openssh-server openssh-sftp-server
  • CentOS 安装,install后面只写没有安装的包名即可
sudo yum install openssh-client openssh-server openssh-sftp-server

如果都是安装的,我们需要保证OpenSSH的版本不得低于4.8,因为我们要用ChrootDirectory配置用户访问目录,所以检查下SSH的版本,执行命令ssh -V会打印出如下版本信息:

OpenSSH_6.6.1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f...

如果SSH的版本低于4.8,需要升级。

  • Ubuntu升级SSH
sudo apt-get update
sudo apt-get install openssh-server
  • CentOS升级SSH
sudo yum update -y openssh-server

建立用户组和用户

我们要建立一个专门管理sftp用户的用户组,方便我们管理权限。
1、建立一个名为sftp-userssftp用户组

sudo groupadd sftp-users

2、在该组建立几个需要登录sftp的用户

新建用户名为admin的用户:

sudo useradd -g sftp-users -m admin

修改admin的密码:

passwd admin

然后连续两次输入你要给该用户设置的密码即可。

3、如果该用户已存在,但是不在sftp-users组中,可以移动用户到改组

usermod –g sftp_users admin

配置ssh和权限

1、打开/etc/ssh/sshd_config文件

2、修改X11Forwarding值为no
原来可能是:

X11Forwarding yes

现在修改为:

X11Forwarding no

如果X11Forwarding不存在,就在文件最后添加上面的代码。

3、修改Subsystem sftpinternal-sftp

Subsystem sftp /usr/libexec/openssh/sftp-server
# 或者
Subsystem sftp /usr/lib/openssh/sftp-server

现在修改为:

Subsystem sftp internal-sftp

4、在文件末尾增加内容

Match Group sftp-users
    AllowTcpForwarding no
    ChrootDirectory %h
    ForceCommand internal-sftp
  • Match Group sftp-users这一行是指定以下的子行配置是匹配sftp-users用户组的。
  • ChrootDirectory %h该行指定Match Group行指定的用户组验证后用于chroot环境的路径,也就是默认的用户目录,比如/home/admin
  • ForceCommand internal-sftp该行强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令。

这里要特别注意,因为ChrootDirectory %h模式,所以我们等下要设置sftp-users中的所有用户的用户目录权限为root拥有,否则sftp-users组中的用户无法用sftp登录。

修改sftp-users用户组用户目录权限

上面说了,因为使用了ChrootDirectory %h,现在来修改权限。

1、修改权限为root用户拥有

chown root /home/admin

2、修改权限为root可读写执行,其它用户可读

chmod 755 /home/admin

3、重启ssh,登录sftp

sudo service ssh restart

现在就可以使用sftp登录了,但是我们发现,我们不能上传文件,那是因为登录后默认是用户目录,比如/home/admin,但是该目录是root用户拥有,因此我们还要修改权限。

3、在用户目录下建立子目录,让sftp-users中的用户可读写文件
我们现在在/home/admin目录下新建一个upload文件夹:

cd /home/admin/
mkdir upload

4、给upload文件夹权限

chown admin /home/admin/upload

但是执行后我们发现,/home/admin/upload文件夹是可以上传下载完文件了,但是upload的子文件夹还是不能读写,那么我们应该加个-R参数执行:

chown -R admin /home/admin/upload

重启ssh,登录sftp

现在全部都配置完了,如果在上面第三步没有重启ssh的话,现在重启后既可以登录使用了。

sudo service ssh restart

Windows登录sftp推荐使用WinScpLinux用命令即可,Mac推荐使用Yummy FTP


版权声明:转载必须注明本文转自严振杰的博客:http://blog.yanzhenjie.com

2
0
查看评论
发表评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场

linux系统配置sftp服务器详解

------------------------------------------------------------begin-------------------------------------------------------------
  • u011279706
  • u011279706
  • 2014-11-22 00:54
  • 2359

linux配置sftp

<br />使用sftp功能需要在ssh的配置文件/etc/ssh/sshd_config中添加如下配置文本,以SLES 10.3为例:<br />Subsystem       sftp  &#...
  • xyz846
  • xyz846
  • 2011-05-04 23:28
  • 22084

linux配置sftp服务器

添加用户组 groupadd sftp 添加用户并设置为sftp组 sudo useradd -g sftp -s /sbin/nologin -M sftp 修改sftp用户的密码 sudo passwd sftp ****** 创建sftp用户的根目录并设置拥有者和组,修改...
  • it_taojingzhan
  • it_taojingzhan
  • 2016-03-11 09:13
  • 252

linux配置sftp服务器

看了很多别人写的博客。自己实践总结出一点经验 操作系统linux centos 7 添加用户组:groupadd sftp 添加用户并设置为sftp组sudo useradd -g sftp -s /sbin/nologin -M sftpsftp :用户修改sftp用户的密码sudo pass...
  • qq_30097433
  • qq_30097433
  • 2017-06-09 12:00
  • 671

linux搭建sftp服务器

最近工作需要用到sftp服务器,被网上各种方法尤其是权限设置问题搞得晕头转向,现在将自己搭建过程总结了一下,整理出来一种最简单的方法可供大家参考。 第1步,创建组:groupadd sftpgroup 第2歩,添加sftp用户:useradd -g sftpgroup -s /sbin/nologi...
  • superswordsman
  • superswordsman
  • 2015-10-22 11:47
  • 8596

linux创建sftp账号及访问权限

首先 你的openssh-server版本至少得是4.8p1,因为配置权限需要版本添加的新配置项ChrootDirectory来完成。 如何查看自己服务器上的ssh版本?大家可以尝试以下命令: # ssh -V 步骤: 1. 我们需要创建一个用户组,专门用于sftp用户 # groupadd ...
  • dawang523
  • dawang523
  • 2015-11-27 10:40
  • 5787

Linux Centos 6.6搭建SFTP服务器

Linux Centos 6.6搭建SFTP服务器,使用FileZilla FTP Client连接SFTP服务器。
  • xinxin19881112
  • xinxin19881112
  • 2015-07-10 15:49
  • 38227

sftp服务器配置(绝对好用)

1、更改/etc/ssh/sshd_config文件
  • jiezhj
  • jiezhj
  • 2014-06-12 16:29
  • 5445

linux:sftp用户目录权限配置

感觉使用root登录sftp不是很安全,对root禁止ssh登录后.创建一个 sftp 组与 sftp用户.然后设置www目录所有者是sftp用户,且组是sftp,这样这些用户就有读写权限了,也就不能删除非www文件夹之外的目录.且在useradd命令时把 -d -b参数都用上,把sftp用户hom...
  • qidizi
  • qidizi
  • 2013-04-09 21:11
  • 1543

Sftp权限设置

根据相关需求开通Sftp权限,一般用户无法切换到其他目录,并且无法ssh登陆到该Linux主机上。 设置如下: SSH版本要求为4.8p1以上。 查看ssh 版本命令如下:ssh -V1,建立一个专用的sftp用户组,groupadd sftpusers2,添加一个账户useradd -s /...
  • qingchn
  • qingchn
  • 2016-01-07 09:37
  • 2682
    个人资料
    • 访问:1614195次
    • 积分:6533
    • 等级:
    • 排名:第4287名
    • 原创:52篇
    • 转载:0篇
    • 译文:1篇
    • 评论:1277条
    我的微信公众号
    欢迎关注我的公众号,不定期为您推送优选博文,生活趣事!
    关注我的微信公众号

    关注我的微博
    友情链接


    我的Github

    QQ交流群 547839514

    博客专栏