一 用途及应用场景
提供sftp服务,scp服务,可以精确控制权限。
不提供给用户shell,chroot 用户在主目录
用于和外部之间的文件交换,防止安全事件。同时也可以结合sshterm,来实现对文件的操作记录。
目前广泛应用在运营上传下载文件,和银行物流公司等外部实体进行对账文件交换等.
二 chroot的方法:
Sftp有个缺点,默认用户可以四处转悠,同时可以下载权限为022的文件,比较不安全。
实现chroot的方法很多。
方法1: Openssh 在4.8之前,是不提供 chroot的功能的,有通过给代码打补丁的做法,使sftp-server 支持chroot,不过不是很方便。
方法2:4.8之后,代码加入了chroot支持,可以通过在配置文件里定义规则:
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding