麒麟操作系统如何限制用户使用SFTP时仅能访问指定目录

最新推荐文章于 2025-03-28 17:54:18 发布
最新推荐文章于 2025-03-28 17:54:18 发布
阅读量1.7k 收藏 19
点赞数 29
分类专栏: 麒麟 文章标签: linux centos 系统架构 kylin 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a123560mh/article/details/138533492
版权

文章目录

一、问题背景

在不同客户环境我们可能会遇到用户提出下面问题:如何限制用户使用 SFTP 时仅能访问指定目录?如何限制用户不离开SFTP 目录?本文的目的就是为这些应用场景提供配置参考建议。

例如:

openAI 的 GPT 大模型的发展历程。

二、配置方法

本示例效果如下:
 指定用户仅能通过 SFTP 访问服务器,无法正常登录到操作系统环境中。
 当指定用户是属于 sftpgrp 这个用户组的成员时,只能在特定目录下进行操作,无法随意访问服务器环境中的其他 目录内容。

(一)OpenSSH 服务配置

为了实现上述效果,我们需要对 OpenSSH 服务配置进行调整。在银河麒麟高级服务器操作系统 V10 中,OpenSSH 服务配置文件位于/etc/ssh/sshd_config,我们需要在配置文件中修改下面内容:
注释默认的 sftp 子系统配置:

#Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH

添加全新的 sftp 配置:

Subsystem sftp internal-sftp

在配置文件末尾添加针对sftpgrp 用户组的特定规则:

Match Group sftpgrp

ForceCommand internal-sftp X11Forwarding no AllowTcpForwarding no PermitTTY no
ChrootDirectory /sftp/%u

我们通过 Match 参数指定了匹配的规则为用户组(Group), Group 后设置的内容对应到我们示例中提到的sftpgrp 用户组。通过ChrootDirectory 参数让满足条件的用户访问 SFTP 时,切换 SFTP 环境的家目录到/sftp 目录下,这里的%u

最低0.47元/天 解锁文章
centos配置SFTP限制用户访问目录
Bertram的博客
08-25 1356
centos配置SFTP限制用户访问目录
sftp进入指定目录_Linux限制用户通过SFTP访问指定目录
weixin_32287387的博客
12-30 2051
1、需求说明:在一些生产环境中,有部分运营人员需要批量下载并上传专题,配置FTP服务进行权限控制相对比较复杂,也存在安全隐患,为了不让用户浏览除指定目录外得内容,我们可以通过SFTP限制允许访问目录2、创建系统用户# useradd admin && echo 'admin123' | passwd --stdin admin3、配置sftp的账户权限修改文件/etc/ssh/s...
Linux sftp限制用户访问指定目录
weixin_33912246的博客
03-30 720
一、创建新用户: [root@controller ~]# useradd test[root@controller ~]# passwd testNew password: BAD PASSWORD: The password is a palindromeRetype new password: passwd: all authentication tokens updated success...
银河麒麟V10搭建vsftpd
weixin_38642722的博客
03-28 853
firewall-cmd --zone=public --add-port=起始端口-结束端口/tcp --permanent。-s /sbin/nologin 表示这个用户不能用来登录secureCRT这样的客户端,这种不能登陆的用户又叫做虚拟用户。firewall-cmd --zone=public --add-port=xxx端口/tcp --permanent。2、创建用户ftptest,并且指定目录用户目录中创建的/home/ftproot/ftptest。
Linux 限制SFTP用户只能访问某个目录
热门推荐
qin_weilong的博客
04-06 1万+
1. 新建用户并设置密码 > useradd suser > passwd suser   // 输入密码 2. 设置sshd配置文件 > cd /etc/ssh/ > cp sshd_config sshd_config.back      // 备份 > vi sshd_config   // 注释该行 不注释的话会报错 #Subsyste
搭建sftp使用户只能访问特定的目录
随缘的博客
06-19 1238
搭建sftp使用户只能访问特定的目录
sftp限定用户权限指定目录
lxyoucan的博客
11-25 3297
sftp
开启sftp日志并限制用户访问目录
xu123_chao的博客
01-06 2727
开启sftp日志并限制sftp访问目录 文章目录开启sftp日志并限制sftp访问目录1. 开启sftp日志1.1 修改sshd_config1.2 修改syslogs1.3 重启服务查看日志2 限制sftp用户操作目录2.1 前提说明2.2 home目录做根目录2.3 单独创建目录做根目录3 实操3.1方法1实操3.2 方法2实操 1. 开启sftp日志 1.1 修改sshd_config vim /etc/ssh/sshd_config 注释掉Subsystem行,然后写入新Subsystem,信
Linuxsftp服务器限制用户访问路径
m0_61929507的博客
03-02 1123
注: (要先找到nologin,在/sbin或者/usr/sbin路径下)以下是一个简单举例:(在sftp服务器上创建用户并且限制访问路径)修改权限:sudo chmod 755 /home/user_A。创建用户目录:sudo mkdir /home/user_A/
linux系统创建SFTP用户及权限限制实战步骤
04-29
通过使用系统自带的internal-sftp功能,可以有效地限制用户只能在其home目录下进行操作,并且能通过SFTP方式登录而禁止SSH登录。 #### 二、操作步骤 ##### 2.1 创建SFTP用户组 首先,我们需要创建一个专门用于...
麒麟操作系统配置sftp用户及nginx
湖南长城科技的博客
02-26 4641
需求: 1、用户能够通过 sftp 协议上传 html 文件至 nginx 目录用户不能 ssh 到服务器 2、用户能够通过 nginx 访问 html 文件 sftp 配置 1、创建用户组 groupadd sftp//创建名为 sftp用户组 2、创建用户用户组 useradd -d /home/sftp -m -g sftp -s /bin/false sftp -d /home/sftp -m 设置用户目录,由于不能登录,这个目录其实没什么用,因此也可以去掉家...
国产麒麟系统 SFTP设置
最新发布
04-19
好的,我需要帮助用户在国产麒麟操作系统配置SFTP服务。首先,用户的需求是设置和配置SFTP,所以我应该根据麒麟系统的特点来提供步骤。麒麟系统通常使用OpenSSH,而SFTP是SSH的一部分,所以配置应该围绕修改SSH的...
SFTP新建用户限制访问目录
weixin_45632200的博客
07-05 315
创建 SFTP 用户限制访问路径
ftp 创建用户限制访问目录
不爱吃奶昔(zsl0)的博客
11-02 1772
vsftpd用户列表,如果userlist_deny=NO,只允许这个文件中的用户,如果userlist_deny=YES(默认),则不允许用户在此文件中使用甚至不提示输入密码。,用于排除只能访问用户目录权限。文件,否则ftp登陆可能出错。,不允许通过ftp登录的用户
Linux中创建sftp用户限制目录权限
weixin_45161862的博客
06-10 2199
注意:一是禁止该用户通过ssh登录,二是不需要创建家目录。家目录简单来说,就是在/home下的用户命令,默认每个用户在/home中都是有与用户名一样的文件夹。
sftp
weixin_34253539的博客
04-21 135
限制 sftp 用户登陆后,只能在家目录下活动,不能到其他或上级目录,可以按照下面方法进行操作:一、升级ssh软件,版本必须在 4.8 以上;二、备份配置文件:(以下所有命令,都需要使用root用户来执行)1 cd /etc/ssh/2 cp sshd_config sshd_config.bak三、修改 /etc/ssh/sshd_config1 #Subsystem sftp /usr/lib...
centos7配置 SFTP(限制指定用户访问指定目录)
liu_xue_xue的专栏
09-18 1543
确保您已经安装了OpenSSH服务器和vsftpd软件包。如果没有安装,可以使用以下命令进行安装。这样就可以对/home/oss/files/device目录进行读写,文件上传等操作。如果想要在该目录下执行写操作,则再新建目录,并授予当前登录用户的权限。禁用sftpuser用户的SSH登录,以确保只能通过SFTP访问。可以使用以下命令来查看系统中的有效用户和组。创建一个新的系统用户,并设置其密码。编辑OpenSSH服务器配置文件。
sftp服务限制用户登录家目录
stephen830
08-15 423
                  sftp服务限制用户登录家目录         sftp和ftp是两种协议是不同的,sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器启动。 1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上 ? 1 2 3 4 [root@loc...
sftp 限制用户登陆指定目录
weixin_33749242的博客
10-16 364
2019独角兽企业重金招聘Python工程师标准>>> ...
麒麟操作系统配置vsftpd
03-20
<think>好的,用户想在麒麟操作系统上安装和配置vsftpd FTP服务器。我需要一步步指导他们怎么做。首先,安装vsftpd。根据引用[1],解压vsftpd-3.0.3.tar.gz用的是tar命令,但通常安装可能通过包管理器更简单。麒麟基于Ubuntu或CentOS,所以应该用apt或者yum安装。比如用sudo apt install vsftpd,或者sudo yum install vsftpd。 接下来是配置。主配置文件是/etc/vsftpd.conf。需要编辑这个文件,启用本地用户登录,设置权限。可能需要修改anonymous_enable=NO,local_enable=YES,write_enable=YES。还要注意chroot_local_user是否启用,限制用户在家目录。如果用户上传有问题,可能需要调整local_umask,比如022让文件权限正确。 然后启动服务,用systemctl restart vsftpd和enable。防火墙要开放21端口,比如用ufw或者firewalld。还要考虑被动模式端口范围,配置pasv_min_port和pasv_max_port,并放行这些端口。 用户可能有安全考虑,比如限制SSH登录,根据引用[2],可以通过修改sshd_config的AllowUsers或DenyUsers来限制用户,但确保不影响FTP。同,vsftpd配置要正确,避免冲突。比如,如果用户需要SFTP,可能需要调整SSH设置,但vsftpd和SFTP是不同的服务。 测试部分,用ftp命令本地连接,或者FileZilla客户端。检查日志文件/var/log/vsftpd.log如果有问题。常见问题比如目录不可写,权限设置错误,或者防火墙阻挡。需要提醒用户检查这些点,并定期更新系统和软件,应用安全补丁。 用户可能还想知道如何添加FTP用户,是否需要创建系统用户,或者使用虚拟用户。根据需求,虚拟用户更安全,但配置复杂一些。这里可能需要分步骤说明,但用户问题主要是安装和基础配置,所以先覆盖基本内容,再在相关问题里提到高级配置。 最后生成相关问题,覆盖安全设置、用户权限、被动模式、虚拟用户、日志检查以及和SFTP的区别。确保用户有进一步学习的路径。</think>### 在 Kylin 麒麟操作系统中安装和配置 vsftpd 的步骤 #### 1. **安装 vsftpd** 通过包管理器直接安装: ```bash sudo apt update sudo apt install vsftpd # 适用于基于 Debian/Ubuntu 的麒麟系统 # 或 sudo yum install vsftpd # 适用于基于 CentOS/RHEL 的麒麟系统 ``` #### 2. **配置 vsftpd** 编辑配置文件 `/etc/vsftpd.conf`,按需修改以下参数: ```bash sudo nano /etc/vsftpd.conf ``` ```ini # 禁用匿名登录(提高安全性) anonymous_enable=NO # 允许本地用户登录 local_enable=YES # 允许文件写入 write_enable=YES # 限制用户访问其家目录(防越权) chroot_local_user=YES # 设置被动模式端口范围(可选) pasv_min_port=40000 pasv_max_port=40100 # 日志记录(便于排查问题) xferlog_enable=YES xferlog_file=/var/log/vsftpd.log ``` #### 3. **启动 vsftpd 服务** ```bash sudo systemctl restart vsftpd # 重启服务 sudo systemctl enable vsftpd # 设置开机自启 ``` #### 4. **防火墙配置** 开放 FTP 服务端口(21 号端口及被动模式端口范围): ```bash # 若使用 ufw(Debian/Ubuntu 系) sudo ufw allow 21/tcp sudo ufw allow 40000:40100/tcp # 若使用 firewalld(CentOS/RHEL 系) sudo firewall-cmd --permanent --add-port=21/tcp sudo firewall-cmd --permanent --add-port=40000-40100/tcp sudo firewall-cmd --reload ``` #### 5. **用户权限管理** - **创建专用 FTP 用户**(可选): ```bash sudo useradd -m ftpuser # 创建用户并生成家目录 sudo passwd ftpuser # 设置密码 ``` - **调整目录权限**: ```bash sudo chown ftpuser:ftpuser /home/ftpuser sudo chmod 755 /home/ftpuser ``` #### 6. **测试 FTP 服务** - 使用客户端工具(如 FileZilla)连接,输入服务器 IP、用户名和密码。 - 本地测试: ```bash ftp localhost # 输入用户名和密码验证 ``` #### 7. **安全加固(可选)** - 限制用户登录:编辑 `/etc/vsftpd.user_list`,添加允许或禁止的用户[^2]。 - 启用 SSL/TLS 加密:需配置 `ssl_enable=YES` 并指定证书路径。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a123560mh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值