创建用户
创建用户组: sftp
# groupadd sftp
创建用户sftp远程用户:user01
# useradd -G sftp -s /sbin/nologin user01
设置用户密码:
# echo L33H********* |passwd --stdin user01
创建目录
创建sftp家目录:
# mkdir -p /u01/ftp/
sftp家目录权限注意:
ChrootDirectory
指定身份验证后chroot(2)到的目录的路径名。 路径名的所有组件都必须是root拥有的目录,任何其他用户或group均不可写。
chroot之后,sshd(8)将工作目录更改为用户的主目录。
创建sftp工作目录:
# mkdir /u01/ftp/work
# chown user01:sftp /u01/ftp/work
# chmod 755 /u01/ftp/work
配置sftp
编辑ssh配置文件:
# vim /etc/ssh/sshd_config
找到最下面
将 #Subsystem sftp /usr/libexec/openssh/sftp-server 注释
修改为
Subsystem sftp internal-sftp -l INFO -f local5
### -l INFO -f local5: 加这个的意思是添加日志
在最下面修改如下:
Match Group sftp ###匹配sftp组的用户,如果要匹配多个组,多个组之间用逗号分割
X11Forwarding no ###是否允许进行 X11 转发
AllowTcpForwarding no ###是否允许TCP转发
PermitTTY no ###如果是centos6 则不需要加这一条
ChrootDirectory /u01/ftp/ ### sftp用户家目录
ForceCommand internal-sftp
sftp访问日志
添加sftp访问日志:
vim /etc/rsyslog.conf 最下面加入一行:
auth,authpriv.*,local5.* /var/log/sftp.log
sshd 配置文件要写成如下:
Subsystem sftp internal-sftp -l INFO -f local5
或者
Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f local5
修改后重启日志服务:
service rsyslog restart 如果是centos7以上执行systemctl restart rsyslog
修改好后重启sshd服务
# /etc/init.d/sshd restart 如果是centos7以上执行systemctl restart sshd
测试
使用其他机器测试访问:
# sftp user01@123.*.*.*:/work
测试是否可以访问 上传下载文件
报错 一般是权限问题
附录:
sftp-server和internal-sftp的区别:
sftp-server和internal-sftp都是OpenSSH的一部分。
sftp-server是一个独立的二进制文件, internal-sftp只是一个配置关键字,告诉sshd使用内置sshd的SFTP服务器代码,而不是运行另一个进程(通常是sftp-server)。
从功能的角度来看,sftp-server和internal-sftp几乎完全相同。 它们是使用相同的源代码构建的。
internal-sftp的主要优点是,当与ChrootDirectory指令一起使用时,它不需要任何支持文件。
sftp命令使用:
1.sftp user@ip
你要用sftp, 当然得登录到sftp服务器啊, 在linux的shell中执行上面的命令后, linux shell会提示用户输入密码, 我们就输入password吧。 这样就成功建立了sftp连接。
2. help
建立连接后, linux shell中的$编程了sftp>, 这也对。 现在执行以下help, 可以看看sftp支持哪些命令。
3. pwd和lpwd
pwd是看远端服务器的目录, 即sftp服务器默认的当前目录。 lpwd是看linux本地目录。
4. ls和lls
ls是看sftp服务器下当前目录下的东东, lls是看linux当前目录下的东东。
5. put a.txt
这个是把linux当前目录下的a.txt文件上传到sftp服务器的当前目录下。
6. get b.txt
这个是把sftp服务器当前目录下的b.txt文件下载到linux当前目录下。
7. !command
这个是指在linux上执行command这个命令, 比如!ls是列举linux当前目录下的东东, !rm a.txt是删除linux当前目录下的a.txt文件。
这个命令非常非常有用, 因为在sftp> 后输入命令, 默认值针对sftp服务器的, 所以执行rm a.txt删除的是sftp服务器上的a.txt文件, 而非本地的linux上的a.txt文件。
8. exit和quit
退出。
9. rm 删除sftp服务器文件