限制用户只能sftp不能ssh,一个用户可以上传,另一个用户只能下载

已于 2022-12-08 16:26:36 修改
阅读量1.6k 收藏 6
点赞数
分类专栏: 安装部署 linux 安全 文章标签: ssh 服务器 linux sftp
于 2022-11-04 23:34:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shy_snow/article/details/127698269
版权
linux 同时被 3 个专栏收录
55 篇文章 1 订阅
订阅专栏
安装部署
42 篇文章 0 订阅
订阅专栏
安全
11 篇文章 0 订阅
订阅专栏

/bin/false 限制不使用ssh, Match匹配sftp属组使用ChrootDirectory限制sftp根目录(该目录必须为root用户root属组,权限最大是755,可以在该目录创建子目录并修改子目录属组来给其他用户操作)

  1. 操作
su -
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
vi /etc/ssh/sshd_config
#在末尾注册掉这一行
Subsystem      sftp    /usr/local/openssh-9.0p1/libexec/sftp-server
#然后增加
Subsystem sftp internal-sftp
#匹配到是sftp属组用户则使用ChrootDirectory切换到用户的属主目录,即限定了用户的根目录
Match group sftp
ChrootDirectory %h

#重启sshd 注意看是否成功启动了,错误了要根据异常信息修改处理后或回退后再重启sshd,否则sshd不重启下次无法再ssh
service sshd restart 

# 创建sftp属组
groupadd sftp
userdel writeuser
# 指定用户的属主目录/app/sftp/writeuser用户只能sftp操作这个目录, /bin/false禁用了ssh
useradd -d /app/sftp/writeuser  -m -s /bin/false -g sftp 
passwd writeuser
123456

#chroot目录及所有上级目录必须是root:root且权限755(只有root能写),才能在sftp之后成功ChrootDirectory,否则会抛异常
chown root:root /app/sftp/writeuser
chmod -R 755 /app/sftp/writeuser

mkdir -p /app/sftp/writeuser/Data  
chown -R writeuser:sftp /app/sftp/writeuser/Data
# Data目录属主是writeuser可以读写上传,其他用户只能读不能写,也就是其他用户只能下载
chmod -R 755 /app/sftp/writeuser/Data

userdel readuser
useradd -d /app/sftp/writeuser -m -s /bin/false -g sftp readuser
passwd readuser
123456
  1. sshd_config说明:
    Match
    引入多个条件块。块的结尾标志是另一个 Match 指令或者件结尾。
    如果 Match 上指定的条件都满足,那么随后的指令将覆盖全局配置中的指令。
    Match 的值是个或多个"条件-模式"对。可以的"条件"是:User, Group, Host, Address 。
    只有下列指令可以在 Match 块中使用:AllowTcpForwarding, Banner,ForceCommand, GatewayPorts, GSSApiAuthentication,KbdInteractiveAuthentication, KerberosAuthentication,PasswordAuthentication, PermitOpen, PermitRootLogin,RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset,X11Forwarding, X11UseLocalHost
[root@stress101 sftp]# diff /etc/ssh/sshd_config  /etc/ssh/sshd_config.bak 
132,136c132
< #Subsystem    sftp    /usr/libexec/openssh/sftp-server
< Subsystem sftp internal-sftp
< # sftp是组名,也可是多个组名,用空格隔开就可以
< Match group sftp
< ChrootDirectory %h
---
> Subsystem     sftp    /usr/libexec/openssh/sftp-server
140,141c136,137
<       X11Forwarding no
<       AllowTcpForwarding no
---
> #     X11Forwarding no
> #     AllowTcpForwarding no
144,145c140
< ForceCommand internal-sftp
< #StrictModes no
---
> StrictModes no
[root@stress101 sftp]#

  1. 异常
    如果重启sshd失败了Directive xxx is not allowd within a Match block, 就是Match下的块中出现了不允许的指令,修改或者移动到match上方即可。

  2. 参考:
    https://www.freebuf.com/articles/system/183983.html
    https://blog.csdn.net/u014721096/article/details/78559506
    https://wenku.baidu.com/view/2f2f6a7e322b3169a45177232f60ddccdb38e64a.html
    https://blog.51cto.com/lookingdream/1769233

shy_snow
关注
专栏目录
限制用户只能sftp不能ssh
sinat_38723234的博客
12-12 1180
在/etc/ssh/sshd_config 增加以下的内容 Subsystem internal-sftp /usr/lib/ssh/sftp-server Match User testsftponly # Match指令主要用于条件匹配。这里匹配用户,也可以指定Group ChrootDirectory /data_sftp/ #限制sftp的起始目录,根据实验目录owner需要是 ...
linux把文件权限传给另外一个用户,Linux 限制SFTP用户目录和权限
weixin_33201531的博客
05-10 1514
在一些生产环境中,有时,用户需要传数据到服务器,但是配置 ftp 服务比较麻烦,此时,我们可以为用户创建 sftp 账户,让用户使用 sftp上传下载所需的数据。sftp 账号即为系统账号,将账户密码给用户用户除了能登录 sftp 上传下载数据外,还可以访问系统中的其他目录,由此,给我们的系统带来了安全隐患,我们需要把 sftp 用户限制在特定的目录中。二、配置2.1、创建用户useradd...
Linux openSSH 只能够使用SFTP   不能使用ssh登陆
weixin_33742618的博客
11-22 734
实施目标:1. 用户只能通过sftp访问,不能登录SSH2. 用户要被锁定在特定的目录下,没有读写其它目录的权限下面开始:首先修改sshd的配置文件:#vim /etc/ssh/sshd_config将该文件的末尾修改如下:#Subsystem sftp /usr/lib/openssh/sftp-server#该行(上面这行)注释掉Subsystem sftp intern...
linux禁用ssh后只保留ftp/sftp文件传输功能
最新发布
Libra_wky的博客
06-26 352
ForceCommand internal-sftp --该参数强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令。如下:drwx------. 5 sftpuser root 102 1月 26 13:36 sftpuser。此时,只能通过ftp IP ,使用ftptest01登录,无法使用ftptest01 直接ssh服务器。Match Group sftp_user --匹配这个组中的用户。①同理创建一个用户,并指定用户组,例。找到以下这行,注释掉,并新增一行。
ftp服务器搭建(实现只上传禁止下载
u012057690的博客
02-06 4809
1.目的 搭建一个多人使用ftp服务器,进行必要的权限隔离。 2.安装与配置 2.1 安装 我的环境为centos,直接yum install -y vsftpd 2.2 配置文件如下: #禁止匿名登录 anonymous_enable=NO #开启本地用户访问 local_enable=YES #允许写入 write_enable=YES # local_umask=022 # dirmessage_enable=YES #开启日志 xferlog_enable=YES #设置ftp-data 端口,默认
Linux创建sftp用户只能下载日志目录权限
penghuaiyi1的博客
12-17 877
1. 创建一个日志用户loguser useradd -s /sbin/nologin -M loguser passwd loguser mkdir /home/loguser chown root:root /home/loguser chmod 755 /home/loguser 2.修改ssd配置 vi /etc/ssh/sshd_config #注释掉这行 #Subsystem s...
linux 帐号 配置sftp_linux sftp 配置 只能上传文件不能登录系统
weixin_39949954的博客
12-20 416
修改ssh的配置文件vi /etc/ssh/sshd_config----------------sshd_config----------------------------# line 132#Subsystem sftp /usr/libexec/openssh/sftp-server #注释Subsystem sftp internal-sftp ...
linux sftp账号不能ssh,运维安全 | 如何限制指定账户不能SSH只能SFTP在指定目录
weixin_42629815的博客
05-13 439
*本文作者:ForrestX386,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。前言最近,我司线上搞了一台文件中转服务器,用于sftp上传下载一些文件(包括测试日志之类),但是领导希望用的人只能在特定目录上传下载不能获取Linux shell之类。运维安全部研究了一番之后,搞了一个方案,可以限制特定组内的用户只能sftp 连接上去至指定目录,ssh 连接就提示只接受sftp 连接,总...
linux系统创建SFTP用户及权限限制实战步骤
04-29
通过使用系统自带的internal-sftp功能,可以有效地限制用户只能在其home目录下进行操作,并且仅能通过SFTP方式登录而禁止SSH登录。 #### 二、操作步骤 ##### 2.1 创建SFTP用户组 首先,我们需要创建一个专门用于...
LinuxSFTP用户权限设置条件及实现命令
09-15
为了限制SFTP用户的访问权限,我们可以进行特定的配置,确保用户只能访问指定的目录,即“chroot jail”(根监禁)。以下是设置SFTP用户权限的具体步骤和相关知识点: **必要条件** 首先,你的OpenSSH服务器版本...
限制ssh用户只能用于SFTP登录且只能访问指定目录, 只读权限。指定用户可写入...
weixin_34129145的博客
03-13 2892
2019独角兽企业重金招聘Python工程师标准>>> ...
Centos配置SFTP用户
06-19
知识点详细说明: 1. SFTP介绍: SFTP,即安全文件传输协议...综上所述,在CentOS系统中配置SFTP用户需要一系列的步骤和细节设置,以确保用户仅能通过SFTP访问系统,而不能进行SSH登录,从而达到权限控制的目的。
ubuntu20.04 22.04下设置用户只能使用sftp不能登录ssh 的配置方法
shelutai的博客
12-23 1703
linux 只能sftp不能ssh的设置方法
Linux openSSH 只能够使用SFTP 不能使用ssh
qq_34874784的博客
06-26 587
2修改sshd的配置文件(/etc/ssh/sshd_config): 1)注释改行 #Subsystem sftp /usr/lib/openssh/sftp-server 2)在文末添加如下 Subsystem sftp internal-sftp 重启SSH服务 sshd: # /etc/init.d/ssh reload #创建sftp-users组 groupadd sftp-users #创建sftp用户目录alice mkdir /home/alice #创建sftp用户...
Linux openSSH 只能够使用SFTP 不能使用ssh登陆实施目标
weixin_30535167的博客
02-08 321
一、需求1. 用户只能通过sftp访问,不能登录SSH2. 用户要被锁定在特定的目录下,没有读写其它目录的权限二、实施1.建立sftp用户下面建立sftp组和一个测试用户user,该用户属于sftp组:groupadd sftpuseradd -d /home/user -m -s /bin/false -g sftp user #测试下来默认shell环境为/bin/bash也可以sudo pa...
Centos新建用户并且限制用户只能通过 SFTP 访问服务器指定文件夹,禁止通过 SSH 客户端访问
xuelangqingkong的专栏
12-01 3784
1. 需求: 新建一个新的用户,并且为了保证系统的安全性,指定该用户在指定的目录内进行访问 2. 第一步:新建用户组 groupadd visitors 3. 第二步:新建用户并将用户添加到分组中 使用root权限建立新用户的主目录,注意这里必须是root权限,否则后续的sftp不能连接 useradd -d /home/fangke -g visitors fangke 这里因为上...
linux 增加只允许sftp 登陆,禁止SSH 登陆的操作流程
u012095691的博客
06-17 3578
Linux 创建用户允许sftp 登陆,禁止ssh 登陆
Ubuntu16.04 搭建FTP服务器,设置用户权限为只许上传、禁止下载和删除
HPC&Geophysics攻城狮
11-21 5995
最近导师给了一项任务:在组内某台服务器上创建一个用户,可以用在windows端用ssh连接到该用户做运算,也允许windows端的用户上传数据,但是禁止向win端下载数据,也禁止删除文件。 开始以为很简单,在Ubuntu系统上分设一个用户,然后设定该用户的特定文件夹读写权限即可。但是,操作起来发现“图样图森破”,不是那么回事,设定文件夹权限不能实现导师的要求。顿感捉鸡,于是乎寻求CSDN的助...
如何限制指定账户不能SSH只能SFTP在指定目录
xiaoxiao_yingzi的博客
05-22 1732
最近,在公司托管的服务器经销商那边看到过通过账号可以限定账户只允许访问指定的目录,于是乎,自己也做了测试在这里和大家总结一下: 首先创建一个目录用于作为你被访问的目录, mkdir /data/myweb 然后创建用户, useradd -d ...
设置sftp用户创建文件权限
06-07
要设置SFTP用户创建文件的权限,可以按照以下步骤进行操作: 1. 登录SFTP服务器,并使用管理员账户创建一个用户,例如“sftpuser”。 2. 使用如下命令创建一个新的组,例如“sftpusers”: ``` sudo groupadd sftpusers ``` 3. 将“sftpuser”用户添加到“sftpusers”组中: ``` sudo usermod -aG sftpusers sftpuser ``` 4. 使用如下命令创建一个目录,用于存储SFTP用户上传的文件: ``` sudo mkdir /sftp_data ``` 5. 将目录的权限设置为777: ``` sudo chmod 777 /sftp_data ``` 6. 使用如下命令修改目录的所有者和所属组: ``` sudo chown root:sftpusers /sftp_data ``` 7. 使用如下命令编辑SSH配置文件: ``` sudo nano /etc/ssh/sshd_config ``` 8. 在文件末尾添加以下内容: ``` Match group sftpusers ChrootDirectory /sftp_data ForceCommand internal-sftp X11Forwarding no AllowTcpForwarding no ``` 9. 保存并关闭文件。然后使用如下命令重启SSH服务: ``` sudo service ssh restart ``` 现在,SFTP用户可以使用SFTP客户端连接到服务器,并上传文件到“/sftp_data”目录。由于该用户限制在“/sftp_data”目录下,因此无法访问系统的其他部分。同时,由于该目录的权限设置为777,该用户可以在其中创建、修改和删除文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值