linux下sftp安全配置,如何构建安全的sftp

最新推荐文章于 2024-07-02 18:05:34 发布
最新推荐文章于 2024-07-02 18:05:34 发布
阅读量587 收藏
点赞数
文章标签: linux下sftp安全配置

搭建一个sftp服务器,

可断点续传文件, 同时要求安全性高:

1. 开启selinux, 使用chroot

2. 同时运行两个sshd服务, 暂时称作sshd-a, sshd-b, 并提供user-a来使用sftp.

那么:

2.1. sshd-a的端口, 不会限制ip访问. user-a只能连接到sshd-a服务上, 除user-a之外的账户,

不能连到sshd-a服务上.

2.2. sshd-b的端口(默认是22), 会限制ip访问, 除user-a之外的账户,

能且只能连到sshd-b服务上.

下面的链接已经包含了所有的操作和说明, 本文档只是整理而已

一. 新建group和user

1. 新建一个group(sftponly), 属于该group的用户, 都将被限制只能访问sftp:

groupadd sftponly

2. 创建一个账户(sftponlyuser),

用于sftp操作.

useradd -M -g sftponly sftponlyuser

上面的命令, 新建了一个sftponlyuser, 隶属于sftponly用户组.

默认的该账户的home目录是/home/sftponlyuser, 但 "-M" 选项, 使该命令并未创建该目录.

究其原因, 是因为chroot-ed的目录, 属主必须是root, 且不能被其他账户write.当然, 该目录下用来上传文件的子目录(比如upload),

属主必须是sftponlyuser

mkdir -p

/home/sftponlyuser/upload

chown sftponlyuser:

/home/sftponlyuser/upload

restorecon -R -v

/home/sftponlyuser

3.

给sftponlyuser设置密码

passwd sftponlyser

二. 在一个linux服务器上, 同时运行两个sshd服务. 以 centos6.x x86_64

为例:

1. 复制sshd: cp /usr/sbin/sshd /usr/sbin/sshd2

2. 复制sshd的配置文件: cp /etc/ssh/sshd_config /etc/ssh/ssh2d_config,

并在/etc/ssh/ssh2d_config中,

添加如下配置:

#新的sshd服务(ssh2d),

监听33端口

Port 33

#使用pam,

默认亦如此

UsePAM yes

#override

default of no subsystems

#开启sshd的内部sftp服务

#Subsystem

sftp

/usr/libexec/openssh/sftp-server

Subsystem

sftp

internal-sftp

#限制sftponly组的账户, 都只能访问sftp子系统.

且chroot-ed了.

Match

Group sftponly

ForceCommand internal-sftp

X11Forwarding no

AllowTcpForwarding no

ChrootDirectory %h

3. cp /etc/sysconfig/sshd /etc/sysconfig/ssh2d,

并修改/etc/sysconfig/ssh2d的内容如下:

#

Configuration file for the sshd service.

# The

server keys are automatically generated if they

ommited

# to

change the automatic creation uncomment the approprite

line.

#

AUTOCREATE_SERVER_KEYS=RSAONLY

#

AUTOCREATE_SERVER_KEYS=NO

AUTOCREATE_SERVER_KEYS=YES

# Do not

change this option unless you have hardware random

#

generator and you REALLY know what you are doing/

export

SSH_USE_STRONG_RNG=0

# export

SSH_USE_STRONG_RNG=1

#指向新的配置文件

OPTIONS="-f

/etc/ssh/ssh2d_config"

4. cp /etc/init.d/sshd /etc/init.d/ssh2d , 并根据上面的内容,

仔细修改/etc/init.d/ssh2d. 5.  复制一个pam的配置文件

cp /etc/pam.d/sshd /etc/pam.d/ssh2d

注意: 现在的sshd, 都会以当前的可执行文件的文件名, 来选取pam的配置文件.

我们可使用下面的命令来验证这一点:

#-f表示亦追踪子进程的系统调用

strace -fp {ssh2d_pid} -e trace=open

可以在输出中, 看到打开的文件是/etc/pam.d/ssh2d, 而不再是/etc/pam.d/sshd

5. 添加我们刚做的第二个sshd服务(ssh2d), 并设置成自启动:

chkconfig --add ssh2d

chkconfig ssh2d on

三. 限制账户只能在连接到指定的sshd服务上

1. 修改/etc/pam.d/sshd, 在最前添加下面的行:

auth required pam_listfile.so item=user sense=deny

file=/etc/sshd/sshd.deny onerr=succeed

并新建/etc/sshd/sshd.deny文件, 同时加入下面的内容,

如此阻止sftponlyuser登录到第一个sshd服务上

sftponlyuser

2. 修改/etc/pam.d/ssh2d, 在最前添加下面的行:

auth required pam_listfile.so item=user sense=allow

file=/etc/ssh/ssh2d.allow onerr=fail

并新建/etc/sshd/ssh2d.allow文件,

同时加入下面的内容, 如此只允许sftponlyuser登录到ssh2d服务上

sftponlyuser

3. 重启 sshd 和 ssh2d 服务:

/sbin/service sshd

restart

/sbin/service ssh2d

restart

跳动的数字
关注
Linuxsftp配置之密钥方式登录详解
09-15
**Linuxsftp配置之密钥方式登录详解** 在Linux环境中,为了提高文件传输的安全性,通常会使用sftp(Secure File Transfer Protocol)代替传统的FTP或vsftp,因为sftp基于SSH(Secure Shell)协议,可以提供加密的...
wsl按照openssh失败
A_stranger的专栏
08-24 647
wsl 1. 本机无密码登录 [root@QingYuan-PC sbin]# ssh localhost ssh: connect to host localhost port 22: Connection refused 因为没有按照openssh-server 解决办法: yum install openssh-server 2. 启动openssh-server Failed to get D-Bus connection: Operation not permitted 解决办法: mv /
CentOS 7 ssh和sftp服务分离
jnrjian的博客
05-11 157
实现sftp服务时,将/usr/lib/systemd/system/sshd.service 复制到 /etc/systemd/system/sftpd.service,然后修改sftpd.service文件内容。修改#PidFile /var/run/sshd.pid,为PidFile /var/run/sftpd.pid。或者 ln -sf /usr/local/openssh/sbin/sshd /usr/sbin/sftpd。取消注释,PidFile /var/run/sshd.pid。
Linux 搭建 sftp 服务器详解
最新发布
learndiary的博客
07-02 2749
一、背景:订单要求实现 /sftp 顶层目录作为 sftp 保存文件位置 二、简易常规 sftp 服务器搭建及要点详解 1、sftp-server vs. internal-sftp 2、Match 条件匹配指令 3、ChrootDirectory 限定根目录指令 4、sftp 用户家目录与保存文件目录及 sftp 免密码登录设置 5、SELinux 属性对 sftp 密钥登录的影响 三、解决顶层目录为 sftp 目录的问题 四、扩展:sftp 服务器公共目录、工作组目录设置视频介绍
SSH-KeyGen -认证密钥的生成、管理和转换
每天都要开心呀(#^.^#)
08-05 3925
ssh-keygen- Linux man page
SFTP安全规划配置
weixin_33725239的博客
07-03 1015
直接说配置方法,上干货: 1、修改/etc/ssh/sshd_config 追加: #启用internal-sftp Subsystem sftp internal-sftp Match Group sftp 属于sftp组 ChrootDirector...
FTP与SFTP
我的博客
03-06 1582
什么是SFTPSFTP是一种安全的文件传输协议,一种通过网络传输文件的安全方法;它确保使用私有和安全的数据流来安全地传输数据。 SFTP要求客户端用户必须由服务器进行身份验证,并且数据传输必须通过安全通道(SSH)进行,即不传输明文密码或文件数据。它允许对远程文件执行各种操作,有点像远程文件系统协议。SFTP允许从暂停传输,目录列表和远程文件删除等操作中恢复。 SFTP和FTP之间的区别...
Linux(CentOS)上配置 SFTP服务器
09-15
### Linux(CentOS)上配置SFTP服务器 #### 概述 SFTP(Secure File Transfer Protocol,安全文件传输协议)是一种通过加密的方式在两台计算机之间传输文件的安全协议。相较于传统的FTP服务,SFTP提供了更高级别的...
Linux搭建SFTP步骤
08-20
设置文件夹的所有权后,我们需要修改Linux服务器的SFTP配置。使用vim命令可以编辑配置文件。例如: ``` vim /etc/ssh/sshd_config ``` 在配置文件中,我们需要注释掉原有的Subsystem配置,并添加新的Subsystem配置。...
linux操作系统下配置ssh/sftp和权限设置方法
09-15
本篇文章将详细介绍如何在Linux环境下配置SSH/SFTP服务以及进行权限设置。 首先,确保你的系统中SSH的版本在4.8p1以上,因为一些关键的安全特性是在这个版本之后引入的。你可以通过运行`ssh -V`来检查版本。如果...
LinuxSFTP用户权限设置条件及实现命令
09-15
Linux环境中,SFTP(Secure File Transfer Protocol)是一种安全的文件传输协议,它基于SSH(Secure Shell)协议提供服务。由于SFTP账号直接关联SSH账号,因此默认情况下,用户可能拥有较大的系统权限,包括访问...
ssh命令详解
mkjc_hj的专栏
01-15 2356
这将私钥存储在~/.ssh/identity(协议1),/.ssh/id_dsa(DSA),/.ssh/id_ecdsa(ECDSA),/.ssh/id_ed25519(Ed25519)或/.ssh/id_rsa(RSA)中,并将公钥存储在用户的主目录中的~/.ssh/identity.pub(协议1),/.ssh/id_dsa.pub(DSA),/.ssh/id_ecdsa.pub(ECDSA),/.ssh/id_ed25519.pub(Ed25519)或/.ssh/id_rsa.pub(RSA)。
CentOS 6,7 自定义service:设置开机启动, 后台启动服务
eyeofeagle的博客
12-03 5956
1, service脚本启动原理 Centos服务器启动流程: POST加电自检 --> boot sequence(BIOS) --> bootloader(MBR)–>加载内核: chroot -->设置启动级别,启动init程序和各开机启动程序 service脚本的路径:/etc/init.d/xx 开机启动脚本路径: /etc/rc[运行级别0-6].d/ 2,...
CenOS7.9升级OpenSSH到OpenSSH_9.6p1
03-01 557
【代码】CenOS7.9升级openSSH到9.6p。
Sftp服务安全评估
潇逗
09-21 518
针对stfp暴露到公网的安全评估项目
二、CentOS基础配置(1(2),GitHub标星50k的Linux运维全栈技术知识
m0_60721907的博客
04-06 621
BOOTPROTO=static DEVICE=eth0 ONBOOT=yes STARTMODE=auto TYPE=Ethernet USERCTL=no IPADDR=172.31.79.129 NETMASK=255.255.255.0 GATEWAY=172.31.79.1 DNS1=202.102.227.68 DNS2=202.102.224.68 [root@centos /]# rpm -qa | grep ssh libssh2-1.8.0-3.el7.x86_64 openssh-cl
内网学习笔记 | SSH 隧道使用
Appleteachers的博客
06-07 778
前言 SSH 全称Secure Shell,从它的名字来看这个协议就比较安全。SSH 协议是一种应用层协议,支持几乎所有 UNIX、Linux 平台。 得益于 SSH 协议在传输过程中都是加密,所以在流量层面也较难区分合法的 SSH 流量和攻击者产生的 SSH 流量。 因此在内网渗透过程中,使用 SSH 协议进行建立隧道的方法,一方面不用自己再上传同类工具,另一方面降低了因上传使用了同类工具被管理员发现的风险。 一、SSH 常用命令介绍 相信各位平时最常使用的 SSH 命令就是拿来连接 Lin..
Linux学习】SSH连接时出现Host key verification failed的原因及解决方法以及ssh-keygen命令的用法_host key verification failed
m0_46608024的博客
04-27 3325
一个密码类似于密码,除了它可以是包含一系列单词,标点符号,数字,空格或任何所需字符串的短语。好的密码是10-30个字符长,不是简单的句子或其他容易猜测(英文散文每个字符只有1-2位熵,并提供非常糟糕的密码短语),并包含大写和小写字母,数字和非字母数字字符的混合。ssh-keygen生成,管理和转换ssh(1)的身份验证密钥。通常,每个希望使用SSH和公钥认证的用户运行一次以在〜/ .ssh / identity,〜/ .ssh / id_dsa,〜/ .ssh / id_ecdsa中创建认证密钥,
sftp传输文件安全吗_如何使用SFTP将文件安全地传输给其他人
09-15 2493
sftp传输文件安全吗We’ve previously written about hosting your own FTP server, but data is transferred in cleartext, making it unsuitable for confidential file transfers. In this guide we’ll go over the secu...
LinuxSFTP配置与密钥登录详解
"LinuxSFTP配置之密钥方式登录详解" 在Linux系统中,安全文件传输协议(SFTP)是一种常用的文件传输协议,它基于SSH(Secure Shell)提供安全的文件传输服务。为了提高安全性,通常我们会使用密钥对认证而非传统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值