很久没有写博客了,发现把一些做过的写下来可以有助于梳理自己的思路,练习一下自己的表达能力,工作中一般用的更多的是
C#,在.Net 平台下,希望以后有机会能写一写这方面的文章。
好久没有写博客了,如果有写的不清楚的地方,还请大家多多包涵,并指正。
FTP : (File Transfer Portocol) 是用于在网络上进行文件传输的一套标准协议,使用客户/服务器模式。现在应用的范围特别的广泛,搭建一个FTP 服务器,可以用于存储客户的文件储存空间,项目提交的空间,包括储存一些保密级别不高的数据。
SFTP :(SSH File Transfer Protocol) 也称为Secret File Transfer Protocol 或 Secure FTP,安全文件传输协议,是以数据流连接,提供文件访问,传输和管理功能的网络传输协议。为传输文件提供一种安全的加密方法。
因为觉得使用ftp 不够安全,所以公司决定使用sftp 代替ftp。
因为是用sftp 代替ftp ,所以现在的系统环境是已经有一个安装好的ftp server,服务器系统用的是centos 6.5 (64bits)
Openssh
Openssh-clients
Openssh-server
libssh2
正好趁此机会记录了一些重要的步骤
1. 如何添加一个新的sftp 用户 (如果没有sftp 用户组,自行添加)
adduser -d/home/userName -g sftp -s /sbin/nologin username
2. 设置新用户的密码
passwd username
3. Set folder right
chown root :sftp/home/userName
chmod 755/home/userName
选项1 : 把ftp 用户转化成sftp 用户,并且不允许转换后的用户使用ftp 服务
1.1 如果之前还有老的ftp 用户从ftp 用户组转换成sftp 用户组
usermod -gsftp userName (userName 为需要转化的ftp 用户)
1.2 转化完会后,禁止此用户使用ftp服务
把此用户(userName) 加入到问价 ftpusers 里 (ex : /etc/vsftpd/ftpusers)
选项 2 : FTP 和 sftp 一起运行 (添加用户userName 到sftp 用户组)
usermod -a -G sftp userName
选项3:所有的ftp 用户都转换成sftp 用户
把所有的ftp 用户都用选项一中的代码更换到sftp 组
禁用服务器的port 21 (ftp 服务器使用的端口),这样所有用户就只能通过sftp 连接。(未测试)
Iptables -A INPUT -p tcp -dport 21 -j REJECT
附上sshd_config 文件用为参考
Match Group sftp
X11Forwardingno
AllowTcpForwardingno
ChrootDirectory%h
ForceCommandinternal-sftp
其中%h = /home/%u
为了使用户不能访问他自己权限以外的文件夹所有设置了ChrootDirectory (例如:userName1 不能访问 userName2 的文件夹)
这里必须注意 /home 的权限必须是root :root
/home/userName 必须是root :sftp
权限必须是750
或者 root :root
权限必须是755
Troubleshooting
From: https://wiki.archlinux.org/index.php/SFTP-chroot
sshd[3505]: fatal: bad ownership ormodes for chroot directory "/home/linuxexplore.com"
It’s ChrootDirectory ownership problem, sshd will reject sftp connections to accounts that are set to chroot into any directory that has ownership/permissions that sshd doesn’t consider secure. sshd’s apparently strict ownership/permissions requirements dictate that every directory in the chroot path must be owned by root and only writable for the owner. So, for example, if the chroot environment is in a user’s home directory both /home and/home/username must be owned by root and have permissions like 755 or 750 (group ownership should allow user to access ).