Sftp之ChrootDirectory主目录权限的配置

背景交代:

CentOS6.5搭建SFTP,按照教程配置 + 重启SSHD服务,之后用sftp命令试验登陆,用户名为paymentftp   报错信息如下:

[root@BILLING86 local]# sftp paymentftp@127.0.0.1

SSH warring: Authorized users only. All activity may be monitored and reported

paymentftp@127.0.0.1's password:

packet_write_wait: Connection to 127.0.0.1 port 22: Broken pipe

Connection closed.  

Connection closed

原因:是用户ChrootDirectory配置的主目录权限问题导致,并非网络的原因,需特别注意这两点:

1. ChrootDirectory所指向的文件夹,属主必须是root,属组是sftp用户所属的用户组。

2. ChrootDirectory所指向的文件夹到系统根路径上的所有途径文件夹,属主都必须是root,且权限不允许有群组用户写入权限,即权限只能为750或755,如果任意一个是777,则会出现上述问题。

故以本人配置为例:

用户:paymentftp   用户组:sftp

ChrootDirectory配置:/usr/local/mysftp

则:mysftp文件夹的所有者/组应为:root/sftp   权限是755

       usr  local 三个文件的所有者/组应为:root/root   权限是755


配置可写入的文件夹

使用ftp客户端,以paymentftp用户登陆,可以看到该用户的home文件夹是mysftp,且不能查看向上级目录。

但目前paymentftp用户只能读取mysftp下的文件,没有上传写入的权限(当前配置组用户无写入权限)。

需要在mysftp下新建一个属主为paymentftp的文件夹即可,理论上,按照权限要求,home文件夹下是不允许写入的,只能是新建下级目录才能设置写入权限。

折腾了2小时,收工!

 

  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
这是一种方法,但是该方法不是最佳实践,因为它将修改SFTP的全局默认目录权限。更好的方法是使用umask值来控制SFTP用户创建的目录和文件的默认权限,而不是直接设置全局默认权限。 要使用umask值控制SFTP用户创建的目录和文件的默认权限,可以按照以下步骤进行操作: 1. 登录SFTP服务器,并使用管理员账户创建一个新用户,例如“sftpuser”。 2. 使用如下命令创建一个新的组,例如“sftpusers”: ``` sudo groupadd sftpusers ``` 3. 将“sftpuser”用户添加到“sftpusers”组中: ``` sudo usermod -aG sftpusers sftpuser ``` 4. 使用如下命令创建一个目录,用于存储SFTP用户上传的文件: ``` sudo mkdir /sftp_data ``` 5. 将目录的权限设置为777: ``` sudo chmod 777 /sftp_data ``` 6. 使用如下命令修改目录的所有者和所属组: ``` sudo chown root:sftpusers /sftp_data ``` 7. 使用如下命令编辑SSH配置文件: ``` sudo nano /etc/ssh/sshd_config ``` 8. 在文件末尾添加以下内容: ``` Match group sftpusers ChrootDirectory /sftp_data ForceCommand internal-sftp X11Forwarding no AllowTcpForwarding no ``` 9. 保存并关闭文件。然后使用如下命令重启SSH服务: ``` sudo service ssh restart ``` 10. 使用如下命令进入“/etc/ssh”目录: ``` cd /etc/ssh ``` 11. 使用如下命令创建一个新的文件“sshd_config_sub”: ``` sudo touch sshd_config_sub ``` 12. 使用如下命令编辑新文件“sshd_config_sub”: ``` sudo nano sshd_config_sub ``` 13. 在文件中添加以下内容: ``` Subsystem sftp internal-sftp ``` 14. 保存并关闭文件。 15. 使用如下命令编辑“/etc/pam.d/sshd”文件: ``` sudo nano /etc/pam.d/sshd ``` 16. 在文件中找到以下行: ``` session optional pam_motd.so motd=/run/motd.dynamic ``` 17. 在该行之后添加以下内容: ``` session optional pam_umask.so umask=0022 ``` 这将设置umask值为0022,表示在SFTP用户创建目录和文件时,权限设置为“drwxr-xr-x”或“-rw-r--r--”。 18. 保存并关闭文件。 19. 使用如下命令重启SSH服务: ``` sudo service ssh restart ``` 现在,SFTP用户可以使用SFTP客户端连接到服务器,并上传文件到“/sftp_data”目录。由于该用户被限制在“/sftp_data”目录下,因此无法访问系统的其他部分。同时,由于使用了umask值,SFTP用户创建的目录和文件的默认权限为“drwxr-xr-x”或“-rw-r--r--”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值