Linux建立SFTP专用帐号,并设置Chroot环境教程

最新推荐文章于 2024-06-16 19:13:44 发布
最新推荐文章于 2024-06-16 19:13:44 发布
阅读量904 收藏
点赞数
分类专栏: 技术文章 文章标签: linux 服务器 运维
原文链接:https://www.xiaoyuanjiu.com/108454.html
版权

本文大部分来自文章Linux建立SFTP专用帐号,并设置Chroot环境教程 _ 小媛啾

但是安装本文操作还是会报错误: fatal: bad ownership or modes for chroot directory "/home/ftpuser" [postauth].  ( 通过命令:vim /var/log/secure 或 journalctl -ex 查看错误日志)关键还是有一步没说清楚!!!特修改记录下。

介绍如何在 Linux 系统上建立 SFTP 传输文件专用的帐号,禁止该帐号以 SSH 登入,并以 chroot 将用户限制在自己的家目录中,加强系统安全性。

SFTP 是一种加密的文件传输协定,功能跟 FTP 类似,都可以传输大量的文件,不过比传统的 FTP 更为安全。以下我们将介绍如何在 Linux 中建立 SFTP 文件传输专用帐号,让帐号只能用来传输文件,不可以登入系统执行指令,增加系统的安全性。

设置仅允许以 SFTP 登入

若要让用户只能以 SFTP 传输文件,可以透过用户帐号的方式设置单一用户,或是以群组来设置多个用户帐号,选择其中一种方式即可(或是混用亦可)。

以帐号设置

首先建立 SFTP 专用的用户帐号(YOUR_ACCOUNT 请换为自己的帐号名称):

# 建立用户
sudo adduser YOUR_ACCOUNT

接着编辑 /etc/ssh/sshd_config 这个 sshd 服务器设置文件,在文件的最后加上这一段针对单一帐号的特殊设置:

# 设置 YOUR_ACCOUNT 为 SFTP 专用帐号
Match User YOUR_ACCOUNT
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /home/%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

其中的 YOUR_ACCOUNT 要替换为自己的 SFTP 专用帐号名称。这些设置的作用就是让此帐号不能使用 SSH 的各种功能,只能以 SFTP 传输文件,并且以 chroot 的方式限制在自己的家目录,无法看到系统上的其他文件。

以群组设置

如果一次要建立多个 SFTP 专用帐号,可以用群组的方式来设置,首先建立一个 SFTP 专用群组:

# 新增系统群组
addgroup --system YOUR_GROUP

然后将所有的 SFTP 专用帐号都加入这个群组中,我们可以在新建帐号时就直接指定主要群组,或是将既有的帐号加入此群组:

# 建立新帐号并指定主要群组
adduser YOUR_ACCOUNT YOUR_GROUP

# 设置既有帐号的主要群组
usermod -g YOUR_GROUP YOUR_ACCOUNT

# 将既有帐号加入指定群组
usermod -a -G YOUR_GROUP YOUR_ACCOUNT

接着编辑 /etc/ssh/sshd_config 这个 sshd 服务器设置文件,在文件的最后加上这一段针对该 SFTP 群组的特殊设置:

# 设置 YOUR_GROUP 为 SFTP 专用群组
Match Group YOUR_GROUP
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /home/%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

这一段设置跟上面单一用户的设置几乎相同,只不过这里是将设置套用在 YOUR_GROUP 群组中的所有用户。

重新启动 sshd 服务器

调整好 sshd 服务器的设置文件之后,建议先测试一下设置文件是否有错误,以免采用错误的设置造成 sshd 服务器无法启动,把自己挡在服务器之外:

# 测试 sshd 服务器设置文件是否有错误
sudo sshd -t

若没有任何错误消息,就表示没问题。

重新启动 sshd 服务器:

# 重新启动 sshd 服务器
sudo systemctl restart sshd

设置目录权限

使用 chroot 的时候,根目录的拥有者必须为 root,并且权限要是 755,所以这里要设置好拥有者与权限:

# 设置 Chroot 根目录拥有者与权限
sudo chown root:root /home/YOUR_ACCOUNT
sudo chmod 755 /home/YOUR_ACCOUNT

如果没有设置正确的根目录权限,client 端连接时就会出现类似这样的错误。

client_loop: send disconnect: Broken pipe

而服务器的纪录文件则会显示这样的错误消息:

sshd[869]: fatal: bad ownership or modes for chroot directory "/home/YOUR_ACCOUNT"

如果需要让用户上传文件,就要另外建立一个上传专用的目录,并设置好拥有者与权限:

# 建立上传专用目录
sudo mkdir /home/YOUR_ACCOUNT/upload
sudo chown YOUR_ACCOUNT:YOUR_GROUP /home/YOUR_ACCOUNT/upload

更改登入 Shell

在本机的设置部份,我们也可以更改这些 SFTP 专用帐号的登入 shell,避免这些帐号从本机登入。

如果不想让用户登入,可以将其登入 shell 改为 /usr/sbin/nologin,但是这个 shell 没有在系统的 shell 清单之内,所以要先将其加入:

# 于 /etc/shells 新增 /usr/sbin/nologin
echo "/usr/sbin/nologin" | sudo tee -a /etc/shells

接着更改 SFTP 专用帐号的登入 shell:

# 更改指定帐号的登入 Shell
sudo chsh --shell /usr/sbin/nologin YOUR_ACCOUNT

这样一来,该帐号不管从何处都无法登入主机执行任何指令。

若要查找帐号的登入 shell,可以使用 getent 指令:

# 查找指定帐号的登入 Shell
getent passwd YOUR_ACCOUNT | cut -d: -f7

登入测试

我们可以测试一下以 SFTP 专用帐号透过 SSH 登入,纵使帐号密码都正确,还是无法登入系统,只会显示这样的错误消息:

This service allows sftp connections only.

如果从本机登入的话,由于我们已经改了登入 shell,所以也是无法登入的,只会显示这样的错误消息:

This account is currently not available.

参考数据:Tecmint、StackExchange、DigitalOcean、The Geek Stuff

chopin407
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux创建sftp账号及访问权限,并配置免密登录
codercom
12-03 4488
创建用户组sftp # groupadd sftp   创建sftp登录账户user,将user用户设置为/bin/false,这样就不会有登陆shell的权限,只能使用sftp连接 # useradd -s /bin/false -G sftp user   为sftp配置密码 # passwd user   编辑/etc/ssh/sshd_config...
Linux笔记 No.28---( rsync服务、SSH服务)
weixin_45880055的博客
02-04 1153
rsync服务 rsync(remote sync)是类unix系统下的数据镜像备份工具。 rsync是Linux系统下的文件同步和数据传输工具,它采用“rsync”算法,可以将一个客户机和远程文件服务器之间的文件同步,也可以 在本地系统中将数据从一个分区备份到另一个分区上。如果rsync在备份过程中出现了数据传输中断,恢复后可以继续传输不一致的部分。rsync可以执行 完整备份或增量备份。它的主要特点有: 可以镜像保存整个目录树和文件系统; 可以很容易做到保持原来文件的(属性信息)权限、时间、软硬
Linux sftp服务搭建,新增账户
最新发布
u014644574的博客
06-16 629
home 目录拥有者必须是root,并且其他用户不能拥有写入的权限(ChrootDirectory 这个选项要求的),即权限不能超过755(否则连不上)2、创建文件夹作为 sftp 账户的 home 目录。4、检查配置是否正确,并重启sshd。比如再新增一个用户:hhhsftp。检查配置是否正确,并重启sshd。1、创建用户,并且不允许登录。3、修改 sftp 配置文件。6、再添加一个账户的正确做法。5、登录测试,默认端口22。
Linux专题】SFTP 用户配置 ChrootDirectory
XMWS-IT
11-15 342
【赠送】IT技术视频教程,白拿不谢!思科、华为、红帽、数据库、云计算等等。
说说sftpchroot
weixin_34366546的博客
02-07 95
最近遇到这样一个需求:客户端向服务器传送文件,传送完了以后执行一个服务器端的脚本处理这些文件. 向服务器传文件,考虑到认证安全的问题,直接就忽略了ftp.因为服务器linux系统.ssh服务是必开,所以很自然的将研究的方向锁定在了sftp.于是自然而然的就选择了笔者最熟悉的工具:winscp.你还真别说,winscp果然不负重望.用winscp四年了还...
SFTP账号建立与用法
weixin_44654338的博客
03-10 7679
1、SFTP简述 SFTP(Secure File Transfer Protocol)即文件加密传输协议 这种传输方式更为安全,传输双方既要进行密码安全验证还要进行基于密钥的安全验证,有效的防止了“中间人”的威胁和攻击。 2、SFTP与FTP的区别 FTP是一种文件传输协议,它的目的就是为了传输文件,有独立的守护进程,使用20、21两个端口,20是数据链路的端口,21是控制链路的端。 SFTP也是用来传输文件的,但它的传输是加密的是ssh服务的一部分没有单独的守护进程,可以看做是ssh服务文件传输方案。
linux上ftp服务器 proftp配置
热门推荐
脑袋不好使
11-23 1万+
技巧一、防止proftpd进行DNS反查以及对用户端进行ident确认 在proftpd.conf里面加入两行: UseReverseDNS off     IdentLookups off     防止proftpd进行DNS反查以及对用户端进行ident确认。 === 技巧二、proftpd如何允许以root身份登录 在配置文件中使用下面的配置: RootLog
Linux 网络文件共享服务详细介绍
Blog of Stevenux
12-31 1380
Linux 网络文件共享介绍一.常见的存储类型1.1 DAS 类型的存储1.2 NAS 类型的存储1.3 SAN 类型的存储1.4 三种存储类型的比较二.文件传输协议 FTP2.1 FTP 工作原理2.2 常见的 FTP 软件2.2.1 vsftpd 软件2.2.2 vsftpd 服务常见配置2.2.2.1 命令端口配置2.2.2.2 主动模式端口2.2.2.3 被动模式端口范围2.2.2.4 使...
RHCE8.0-文件传输协议ftp
m0_46289868的博客
06-14 258
文件协议类型 名称 作用 FTP 文件传输协议,实现不同的os之间的文件的传输 NFS 网络传输协议,共享存储,主要用于linux与nginx之间共享 SMABA linux与windows之间的共享,共享文件及打印机,将linux客户端加入windows的域 FTP文件传输协议,基于TCP FTP使用两次连接: 命令通道 数据通道(ftp-data) FTP工作过程了类型: 被动模式(PASV) 主动模式(Active) FTP服务系统由三部分组成: 服务器软件 客户端软件
主机名:DNS服务器
daiyuntao841226的专栏
11-22 5083
DNS 服务器 DNS服务器的正解,反解zone的意义,解析主机名的授权概念与整体查询流程,以及master/slave DNS服务的配置等等 目前网络的IP为第四版的IPV4,这个IPV4由32位所组成,为了人脑记忆已经转成四组十进制的数字了,internet传输数据的时候,需要这个IP 单一档案处理上网的年代: /etc/hosts,早期是利用/etc/hosts文件将主机名与IP做一个
Linux 创建 SFTP 账号
腐烂的橘子
06-15 1704
因为家目录的所属用户必须为 root,否则无法登陆;但是这样会导致其他用户无法上传文件,所以需要在家目录下建立自己的目录。my_user 为用户名,my_group 为用户组名,my_directory 为自定义用户家目录。至此,账号创建完成,可以用命令或者 FileZilla 登陆,并上传文件测试。
linux添加sftp账户并设置只能在规定的目录且无法ssh
m0_51518257的博客
10-18 1591
特别是权限问题,卡了我很久,sshd_config中的ChrootDirectory没想到居然要root权限才能正常使用,否则ssh和sftp都会报错。对于linux的权限还是要多多注意。
linux6.5 sftp,CentOS下实现SFTP CHROOT的几种方法
weixin_39843782的博客
05-14 187
有些应用场景下需要限制用户只能使用SFTP,但不允许登陆系统SHELL。这里介绍几种方法来实现这样的需求。一、通过MySecureShell实现什么是MySecureShellMySecureShell is a sftp-server developing tool which help to make a ftp server like proftpd but very securised w...
SFTP账号管理
fairyboys的博客
03-04 619
----------------------------------------需要确保用户目录的权限为以下情况-----------------------------------注释:Subsystem sftp /usr/libexec/openssh/sftp-server 不允许所有系统用户都能进行sftp连接。10.可以建一个upload目录往里面传文件。4、chmod -R 750 /idss/用户名/5、可以建一个upload目录往里面传文件。# 测试是否只能允许访问自己的目录。
配置服务器SFTP账号
maorenqi101的专栏
04-07 829
配置指定目录下的SFTP账号: 目标:用户要被锁定在特定的目录下,没有读写其它目录的权限 #准备自动脚本代码 sftpuser=jinshi021 webroot=www.jinshi021.com httpduser=apache #增加sshd配置 #确认internal-sftp是否已有,如无 #Subsystem sftp /usr/lib/openssh/sftp
sftp配置为chroot方式
beeworkshop的博客
09-24 902
新建一个只能sftp登陆的用户且chroot到其家目录 useradd -m -d /home/usftp1 -s /sbin/nologin usftp1 vim /etc/ssh/sshd_config --------------------------------------------------------- #Subsystem sftp /usr/libexec/...
SFTP禁锢用户实践】sshd配置文件中关于ChrootDirectoy的详细说明
SunMy的博客
05-16 477
在sshd配置文件中的Match模块中,ChrootDirectory字段用于指定在用户进行SSH会话时,其根目录被限定在指定的目录中。具体来说,ChrootDirectory字段可以用来创建一个被限制的环境,将用户限制在指定的目录中,防止其访问系统中的其他文件和目录。禁锢用户用的,光改这个么的用,被禁锢的目录必须是指定的署主和属组,并且从指定的目录到根目录不能高于755及以上的权限。6.修改sftpiser家目录,署主改为root,属组改为sftponly。7.再次重启sshd服务就能连上了。
Windows TFTP共享到LinuxSFTP挂载教程
"Windows TFTP挂载到Linux的操作指南" ...总结来说,这个过程涉及到了Windows服务器SFTP配置和Linux系统的sshfs挂载,实现了跨平台的文件系统共享,这对于多操作系统环境中的协作和数据交换非常有用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值