linux SFTP用户权限控制

在向服务器上传文件时,现在我们很多都是拿服务器的登录用户,通过第3方工具(wincp,xftp等)直接上传的,这些用户可以进入服务器的大部分目录,下载拥有可读权限的文件,直接拿用户做sftp还是存在风险的,尤其是向第3方人员或服务提供sftp服时,所以在提供专用的sftp用户有必要做好权限的控制

 

现在对sftp用户的控制方法,一般就是把访问目录限定在用户加目录下,翻看了一些网上资料和自身实践后,具体方法如下(需root执行):

1、建立sftp用户和相关用户组,以psftp用户为例

groupadd p2psftp

mkdir /hsdata/

useradd -d /hsdata/psftp -g p2psftp -s /bin/false psftp

passwd psftp

chown root /hsdata/psftp

chmod 750 /hsdata/psftp

说明:psftp家目录的属主必须是root,属组必须是p2psftp(在后面的ssh中使用是的p2psftp),该家目录的最高可设置权限为755,如果高于该权限,会导致sftp连接不上

2、建立sftp目录

cd /hsdata/psftp

mkdir upload

chmod a+w upload -R upload

upload目录可以用于上传和下载文件

说明:必须在psftp目录的下级目录中才可以上传下载,在同级目录中不行

3、修改ssh配置(ssh版本必须在4.8以上)

cd /etc/ssh/

cp sshd_config sshd_config.bak

vim sshd_config,修改内容如下:

#Subsystem      sftp    /usr/libexec/openssh/sftp-server(这行需注释)

新增如下内容(最好在配置文件的结尾添加)

Subsystem sftp internal-sftp

        Match Group p2psftp

        ChrootDirectory /hsdata/psftp

        ForceCommand internal-sftp

 

修改保存后重启服务

service sshd restart

 

centos7.X版本重启则执行

/bin/systemctl restart sshd.service

 

如果出现如下报错

 

把Subsystemz这块的配置放到配置文件的最后。在重启

 

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值