使用sftp客户端上传文件到特定文件夹,外层其他文件夹不可访问,不可远程ssh登录。
1.创建用来登录sftp的用户和用户组
# groupadd sftp
# useradd -d /sftp/usftp -G sftp usftp
# passwd usftp
2.新建一个ftp上传文件保存的根目录
# mkdir /sftp
3.确保 /sftp 文件夹的属主和属组都是root,并且权限都是755
修改属主和属组
# chown root:root /sftp
修改权限
# chmod 755 /sftp
目录权限设置上要遵循2点:
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。
4.限制用户通过sftp登录进来时只能进入主目录,修改/etc/ssh/sshd_config文件
# vim /etc/ssh/sshd_config
然后修改其下边的相关代码,修改好的代码如下:
# override default of no subsystems
#Subsystem sftp /usr/libexec/openssh/sftp-serve
Subsystem sftp internal-sftp
Match Group sftp
ChrootDirectory /sftp/
X11Forwarding no
AllowTcpForwarding no
PermitTTY no
ForceCommand internal-sftp
保存退出
:wq
5.修改客户端上传文件时,创建文件夹及文件的默认权限
修改 /etc/pam.d/sshd 文件,在最下边,添加如下代码:
# Default umask mask for SSH/SFTP sessions
session optional pam_umask.so umask=0000
6.重启sshd
# systemctl restart sshd.service
7.客户端链接,测试成功。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
