CentOS 7 ssh和sftp服务分离

于 2024-05-11 13:19:19 发布
阅读量122 收藏 1
点赞数
文章标签: 服务器 centos ssh
原文链接:https://www.cnblogs.com/caoyibin/p/15205287.html
版权

    由于安全需要,客户这边想把sftp使用的端口与ssh使用的端口分开。

  我们知道sftp没有自己的服务器守护进程,它需要依赖sshd守护进程来完成客户端的连接操作。sftp服务作为ssh的一个子服务,是通过/etc/ssh/sshd_config配置文件中的Subsystem实现的,如果没有配置Subsystem参数,则系统是不能进行sftp访问的。所以,要分离ssh和sftp服务的话,基本的思路是创建两个sshd进程,分别监听在不同的端口,一个作为ssh服务的deamon,另一个作为sftp服务的deamon。

  分离步骤如下:

  1.增加sftp的deamon

  为了方便,我们将sftp服务的后台程序命名为/usr/sbin/sftpd。/usr/sbin/sftpd做一个连接指向/usr/sbin/sshd。

  ln -sf /usr/sbin/sshd /usr/sbin/sftpd

  或者 ln -sf /usr/local/openssh/sbin/sshd /usr/sbin/sftpd

        2.增加sftp的service

  实现sftp服务时,将/usr/lib/systemd/system/sshd.service 复制到 /etc/systemd/system/sftpd.service,然后修改sftpd.service文件内容。

  cp -a /usr/lib/systemd/system/sshd.service /etc/systemd/system/sftpd.service

复制代码

[root@tongweb RMANTEST]# vi /etc/systemd/system/sftpd.service
[Unit]
Description=Sftpd server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.service
Wants=sshd-keygen.service

[Service]
Type=notify
EnvironmentFile=/etc/sysconfig/sftpd
ExecStart=/usr/sbin/sftpd -f /etc/ssh/sftpd_config
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

复制代码

  红字部分为需要修改的部分。

 systemctl enable sftpd.service

 如果,openssh采用二进制包升级过,比如从OS自带的7.4p1版本升级到8.6p1版本,sftpd.service文件中需要做下面的修改:

  

1

2

[Service]

Type=simple

   

  3.其他配套文件

  通过rpm -ql openssh查看ssh包含了哪些文件,我们给sftp服务也准备相应的文件。

  3.1 复制/etc/pam.d/目录下的sshd文件,放到同目录,命名为:sftpd

     cp -a /etc/pam.d/sshd  /etc/pam.d/sftpd

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

[root@tongweb data]# cat /etc/pam.d/sftpd

#%PAM-1.0

auth       required     pam_sepermit.so

auth       substack     password-auth

auth       include      postlogin

# Used with polkit to reauthorize users in remote sessions

-auth      optional     pam_reauthorize.so prepare

account    required     pam_nologin.so

account    include      password-auth

password   include      password-auth

# pam_selinux.so close should be the first session rule

session    required     pam_selinux.so close

session    required     pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session    required     pam_selinux.so open env_params

session    required     pam_namespace.so

session    optional     pam_keyinit.so force revoke

session    include      password-auth

session    include      postlogin

# Used with polkit to reauthorize users in remote sessions

-session   optional     pam_reauthorize.so prepare

  3.2 复制/etc/ssh/目录下的sshd_config文件,放到同目录,命名为:sftpd_config

     cp  -a /etc/ssh/sshd_config  /etc/ssh/sftpd_config

  3.3 复制/etc/sysconfig/目录下的sshd文件,放到同目录,命名为:sftpd

    cp -a /etc/sysconfig/sshd  /etc/sysconfig/sftpd  

复制代码

[root@tongweb data]# cat /etc/sysconfig/sftpd 
# Configuration file for the sshd service.

# The server keys are automatically generated if they are missing.
# To change the automatic creation uncomment and change the appropriate
# line. Accepted key types are: DSA RSA ECDSA ED25519.
# The default is "RSA ECDSA ED25519"

# AUTOCREATE_SERVER_KEYS=""
# AUTOCREATE_SERVER_KEYS="RSA ECDSA ED25519"

# Do not change this option unless you have hardware random
# generator and you REALLY know what you are doing

SSH_USE_STRONG_RNG=0
# SSH_USE_STRONG_RNG=1

复制代码

  3.4 创建sftp服务运行pid文件

  touch /var/run/sftpd.pid

  

  4.修改配置文件

  修改参数,适配sftp服务,同时在ssh服务中停掉sftp服务。

  4.1 修改sftpd配置文件

  vi /etc/ssh/sftpd_config

  修改Port 22为Port 9122,并去掉注释。

  修改#PidFile /var/run/sshd.pid,为PidFile /var/run/sftpd.pid

  注释掉Subsystem      sftp    /usr/local/openssh/libexec/sftp-server

  在文件末尾增加以下内容:

1

2

3

4

5

6

7

Subsystem sftp internal-sftp

Match User sftpuser                       ##限制用户

ChrootDirectory /sftpdir                  ##限制sftp目录

X11Forwarding no                          ##与sftp无关,所以关闭

AllowTcpForwarding no                     ##与sftp无关,所以关闭

PermitTTY no                              ##不允许登入TTY

ForceCommand internal-sftp

  备注:

  Sftp目录权限设置要遵循2点:

  ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主必须是root;

  ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。

  

  另外注意:selinux的状态。

  setenforce 0

  4.2 修改sshd配置文件

  vi /etc/ssh/sshd_config

  取消注释,PidFile /var/run/sshd.pid

  增加注释,#Subsystem,即停掉sftp子服务

  分别重启两个服务:

  systemctl restart sshd

  systemctl restart sftpd

  可以看到9122端口已经起来,有两个不同进程号的sshd守护进程。

  5.OS增加sftp用户

  useradd sftpuser 

  passwd sftpuser

  usermod -s /bin/false sftpuser        ##使用/bin/false,限制该用户通过shell登入OS。

  6.建sftp目录并赋权

  mkdir /sftpuser/upload

  chown root.sftpuser /sftpuser

  chown sftpuser.sftpuser /sftpuser/upload

  chmod -R 755 /sftpuser  

  /sftpuser/upload  为最终文件上传下载目录。注意,因为使用ChrootDirectory,所以sftp的时候不能使用绝对路径/sftpuser/upload/xxx.

  7.测试连接

   sftp -P 9122 sftpuser@127.0.0.1

jnrjian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux sftp ssh端口分开,SFTPSSH分离
weixin_29775479的博客
05-09 2415
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?1.1 描述SFTP(SSH File Transfer Protocol)即安全文件传送协议),是一数据流连接,提供文件访问、传输和管理功能的网络传输协议。其功能旨在允许客户端主机可以像访问本地存储一样通过网络访问服务器端文件。sftp是基于ssh上实现的,所以严格来说我们是无法来关闭ssh,而只是使用sftpssh...
SSHSFTP服务分离详细文档
01-12
SSHSFTP服务分离
centos搭建sftp分离sftp端口ssh端口并挂载到远程服务
Darlight的博客
11-21 641
本篇介绍如何搭建sftp,并将sftp端口和ssh端口分离,同时将ftp目录挂载到远程服务
linux sftp ssh端口分开,Linux 7.5 SSH服务SFTP服务分离
weixin_35793018的博客
05-09 781
SFTPSSH的一部分,SFTP没有单独的守护进程,它必须使用SSHD守护进程(端口号默认是22)来完成相应的连接操作,所以从某种意义上来说,SFTP并不像是一个服务器程序,而更像是一个客户端程序。SFTP是使用加密传输认证信息传输数据,所以SFTP是非常安全的。本手册是在centos7.5系统上进行编写,理论上支持centos7.0以上版本一、确定服务SFTP可用使用Xshell工具连接SF...
sshsftp服务分离
xiaoma19961101的博客
07-26 9136
sshsftp服务分离 原理 创建两个‘sshd’进程,一个作为ssh服务的deamon,一个作为sftp服务的deamon. ssh服务sftp服务分离之前: 系统内开启ssh服务sftp服务都是通过/usr/sbin/sshd这个后台程序监听22端口,而sftp服务作为一个子服务,是通过/etc/ssh/sshd_config配置文件中的Subsystem实现的,如果没有配置Subsystem参数,则系统是不能sftp访问的。 1.两个deamon ln -sf /usr/sbin/sshd /u
SSHSFTP服务分离
xx244的博客
05-11 3394
SSHSFTP服务分离1.原理1.1 daemon和service1.2 sftp2.分离SSHSFTP服务2.1 复制SSH相关文件,作为sftp的配置文件2.1.1 /usr/lib/systemd/system/sshd.service2.1.2 /etc/pam.d/sshd2.1.3 /etc/ssh/sshd_config2.1.4 /usr/sbin/service2.1.5 /usr/sbin/sshd2.1.6 /etc/sysconfig/sshd2.1.7 /var/run/
centos6分离sshsftp并配置不同端口 -.txt
09-02
最近项目要求数据传必须使用sftp,但sftp又不能直接使用22端口,不安全,网上查询的sshsftp分离相关的资料都是基于centos7的,于是经过研究尝试,完成了基于centos6版本的服务分离
Centos7.x部署SFTP服务+和ssh不同端口访问
12-15
以下是如何在CentOS 7.x上部署SFTP服务并配置SSH在不同端口访问的详细步骤。 1. **安装OpenSSH服务器** 首先,确保你的系统已经安装了OpenSSH服务器,它是提供SFTP服务的基础。通过运行以下命令来安装: ``` ...
Centos7搭建sftp服务流程
09-15
### Centos7搭建SFTP服务流程详解 #### 一、前言 SFTP(Secure File Transfer Protocol)是一种安全的文件传输协议,它基于SSH(Secure Shell)协议来提供加密的数据传输服务,相比于传统的FTP(File Transfer ...
Centosssh以及sftp的配置以及权限设置
03-17
本文将详细介绍如何在 CentOS 系统上配置 SSH 服务,特别是如何利用 SFTP 进行文件传输,以及如何通过权限设置确保数据传输过程中的安全性。 #### 二、配置 SSH 服务 ##### 1. 安全性考虑 - **SFTP 相对于 FTP 的...
sshsftp分离.zip
11-10
sshsftp分离脚本,分离后可单独控制sftp服务,独立与ssh服务,单独指定sftp端口,并进行限定目录等各类操作,脚本执行前请先查看readmefirst,可选项也在readme中,有需要下载,有问题留言
linux sshsftp服务分离
九二战歌的博客
12-07 3801
默认linux的sshsftp端口都是22,有时候为了安全考虑,我们只想给某些用户sftp传输文件,不想他们拥有ssh的权限,这该怎么做呢?这篇博客我就讲讲如何将sshsftp的端口分离。默认情况下,linux的sshsftp服务都是用的sshd_config文件,所以我们需要配置文件分离,先拷贝配置,root用户执行命令: 修改配置 在#Port 22的下面增加2行(必选) 在#MaxStartups 10:30:100下方添加3行(可选) 在#PermitRootLogin yes的下面增加2行(
Linux下Centos7.* 正确配置 sftp 服务
gb2311的博客
11-23 8781
sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的加密方法。sftp与ftp 有着几乎一样的语法和功能。SFTPSSH的一部分,是一种传输档案至Blogger伺服器的安全方式。 其实在SSH软件包中,已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件传输子系统,SFTP本身...
centos7安装ssh/sftp服务
weixin_34310369的博客
06-03 255
2019独角兽企业重金招聘Python工程师标准>>> ...
wsl按照openssh失败
A_stranger的专栏
08-24 615
wsl 1. 本机无密码登录 [root@QingYuan-PC sbin]# ssh localhost ssh: connect to host localhost port 22: Connection refused 因为没有按照openssh-server 解决办法: yum install openssh-server 2. 启动openssh-server Failed to get D-Bus connection: Operation not permitted 解决办法: mv /
linux下sftp安全配置,如何构建安全的sftp
weixin_36269396的博客
05-18 577
搭建一个sftp服务器,可断点续传文件, 同时要求安全性高:1. 开启selinux, 使用chroot2. 同时运行两个sshd服务, 暂时称作sshd-a, sshd-b, 并提供user-a来使用sftp.那么:2.1. sshd-a的端口, 不会限制ip访问. user-a只能连接到sshd-a服务上, 除user-a之外的账户,不能连到sshd-a服务上.2.2. sshd-b的端口(默...
ssh命令详解
mkjc_hj的专栏
01-15 2061
这将私钥存储在~/.ssh/identity(协议1),/.ssh/id_dsa(DSA),/.ssh/id_ecdsa(ECDSA),/.ssh/id_ed25519(Ed25519)或/.ssh/id_rsa(RSA)中,并将公钥存储在用户的主目录中的~/.ssh/identity.pub(协议1),/.ssh/id_dsa.pub(DSA),/.ssh/id_ecdsa.pub(ECDSA),/.ssh/id_ed25519.pub(Ed25519)或/.ssh/id_rsa.pub(RSA)。
二、CentOS基础配置(1(2),GitHub标星50k的Linux运维全栈技术知识
最新发布
m0_60721907的博客
04-06 606
BOOTPROTO=static DEVICE=eth0 ONBOOT=yes STARTMODE=auto TYPE=Ethernet USERCTL=no IPADDR=172.31.79.129 NETMASK=255.255.255.0 GATEWAY=172.31.79.1 DNS1=202.102.227.68 DNS2=202.102.224.68 [root@centos /]# rpm -qa | grep ssh libssh2-1.8.0-3.el7.x86_64 openssh-cl
centos7搭建sftp服务
06-07
好的,以下是在 CentOS 7 上搭建 SFTP 服务器的步骤: 1. 安装 OpenSSH 和 OpenSSL: ``` sudo yum install openssh-server openssl ``` 2. 创建 SFTP 用户: ``` sudo useradd -m -s /sbin/nologin sftpuser sudo passwd sftpuser ``` 3. 配置 SSHD 服务: 编辑 `/etc/ssh/sshd_config` 文件,添加或修改以下行: ``` Subsystem sftp internal-sftp Match User sftpuser ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no ``` 4. 重启 SSHD 服务: ``` sudo systemctl restart sshd ``` 现在,SFTP 服务器已经搭建完成。您可以使用任何支持 SFTP 协议的客户端连接到服务器,并使用 sftpuser 用户名和密码进行身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值