sftp配置

最新推荐文章于 2025-04-01 09:09:48 发布
最新推荐文章于 2025-04-01 09:09:48 发布
阅读量945 收藏
点赞数
分类专栏: 运维 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41784287/article/details/112578670
版权

文章目录


sftp是Secure File Transfer Paotocol的缩写,安全文件传送协议,可以为传输文件提供一种安全的加密方法

SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口默认22)

ssh配置
1.查看ssh版本

openssh-server版本至少的师4.8p1,因为配置权限需要版本添加的新配置项ChrootDirectory来完成

[root@test ~]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

2.创建用户和组

[root@test ~]#groupadd sftp
[root@test ~]#useradd -g sftp -s /sbin/nologin sftp

3.目录授权

目录必须是****root权限可以是755或者750

chown root:sftp sftp
chmod 755 -R sftp

4.编辑配置文件

/etc/ssh/sshd_config

Subsystem sftp /usr/libexec/openssh/sftp-server #注释掉这行

注释掉这一行:#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp #限制root的ssh登录
Match User sftp_admin #限制的用户
ChrootDirectory /home/sftp #用户的根目录
目录权限设置上要遵循2点:(需要格外注意)

ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755

5.重启配置

service sshd restart

(每次修改配置文件后,如果是使用的FileZilla客户端来连接sftp,那FileZilla客户端也需要重启)

6.一些报错

=====================

FileZilla连接报错:
错误: Server unexpectedly closed network connection
错误: 无法连接到服务器
这个是,因为配置文件 /etc/sshd_config中
当前登录的帐号
ChrootDirectory 对应的文件夹 不是root用户 和root用户组
但是有遇到了个大问题,root账户,不能进行ssh登录了

https://askubuntu.com/questions/553446/ssh-on-but-unable-to-connect-says-only-sftp
测试了下,只要把配置文件里面的这一行注释掉,重启 ssh服务后 就好了
ForceCommand internal-sftp

============

遇到一个问题:创建的组,成员之间不能互相修改文件,每次都要手动改权限,太麻烦了,
用户创建文件夹的默认权限:通过umask值来设定

UMASK介绍: http://blog.51cto.com/yttitan/1568662

SFTP chroot后如何设置umask: http://blog.51cto.com/yexiang/1609204

修改配置文件 /etc/pam.d/sshd

添加 session optional pam_umask.so umask=0002

重启sshd服务

秘钥连接

ssh-keygen -t rsa
ssh-copy-id test@IP ##要远程的目标服务器IP和账户

把公钥id_rsa.pub
2)将公钥考到sftp服务所在机器的相对应用户目录下,并将其复制到~/.ssh/authorized_keys中
(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys)

基于秘钥连接的坑:

服务器端的authorized_keys 的权限必须是600

客户端的id_rsa 权限也必须是600

sftp配置多级目录
# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp
Match user youyuFtp,youyuRead,youyuAdmin,cmbc,ibp,yff
      ChrootDirectory /chroot/youyuFtp/data
      ForceCommand    internal-sftp

Match user ccba,yffccba
      ChrootDirectory /chroot/youyuFtp/ccba_data
      ForceCommand    internal-sftp

Match user bocomi,yffbocomi
      ChrootDirectory /chroot/youyuFtp/bocomi_data
      ForceCommand    internal-sftp


客户端保存私钥
服务端对应用户下的(authorized_keys 600)保存公钥


挂载
sshfs -p 5000 -o reconnect,ServerAliveInterval=15,ServerAliveCountMax=3,umask=002,allow_other, \
              IdentityFile=/mnt/bocomi_id_rsa bocomi@10.9.68.50:/ /mnt//mnt/bocomi
linux配置sftp多密钥,sftp配置多用户限&& 密钥登录
weixin_29491655的博客
05-17 945
工作需要,用户上传文件到目录下,用ftp不太安全,选择sftp。让用户在自己的home目录下活动,不能ssh到机器进行操作。下面开始干活。 查看ssh版本 ssh -V,我的系统是CentOS6.4 ssh版本是5.3(大于4.8)的没有问题。0, 创建用户目录root限下创建用户和属组都是rootmkdir -p /opt/sftp/dir1/{upload,public}1,创建 grou...
sftp服务器配置
weixin_30949361的博客
08-19 795
环境依赖:openssh-server >=4.8 //ssh -V 查看 安装环境: centos6,centos7 1.创建用户组 sftp groupadd sftp 2.创建登录用户 useradd -G sftp -s /sbin/nologin test //禁止用户ssh登录 passwd test 3.修改ssh登录配置...
关于sftp问题总结
最新发布
weixin_67274256的博客
04-01 324
调用root是没有相关问题,普通用户存在一定问题保证后端服务器执行和是没有问题的执行可以输出调试日志。
SFTP配置
promiseonly的专栏
02-17 454
简单但安全的SFTP配置步骤
sftp详细配置
2301_77508322的博客
12-14 2037
sftp详细配置
Linux 下sftp配置之密钥方式登录详解
09-15
**Linux下sftp配置之密钥方式登录详解** 在Linux环境中,为了提高文件传输的安全性,通常会使用sftp(Secure File Transfer Protocol)代替传统的FTP或vsftp,因为sftp基于SSH(Secure Shell)协议,可以提供加密的...
SFTP配置读取加密文件并解析处理
qq_45864011的博客
02-27 737
通过SFTP读取加密文件并解析处理
NetOps-Python实现网络设备SFTP配置
03-06
NetOps-Python实现网络设备SFTP配置
sftp配置全过程[参照].pdf
10-12
默认配置文件路径为`/etc/vsftpd/vsftpd.conf`,这与许多其他服务类似,如sendmail、httpd和ssh,它们都有各自独立的配置目录,以提高管理和安全性。 **FTP工作模式** FTP有两种工作模式:PORT FTP和PASV FTP。 1. ...
使用Filezilla Server配置FTP服务器
CQG1988的博客
07-27 510
一、下载Filezilla  Server    官网网址:https://filezilla-project.org  二、安装Filezilla  Server     Filezilla  Server的安装过程很简单,按照默认提示安装即可。  三、配置FTP服务器   1)打开Filezilla  Server     Host默认为127.0.0.1,即默认将本机作为FTP服...
sftp 配置
baidu_33615716的博客
04-10 321
1. 创建账号及目录 groupadd sftp useradd -g sftp -s /sbin/nologin -M sftp passwd sftp mkdir sftp chown root:sftp sftp cd sftp/ mkdirfile chown sftp:sftp file/ chmod a+w sftp -R sftp chmod 755 sf...
sftp的安装配置
u011250186的博客
06-26 1071
sftp的安装配置
SFTP 安装与配置
u011250186的博客
06-26 2215
SFTP 安装与配置
sftp的简单配置
weixin_45574151的博客
03-02 312
sftp配置 sftp和ftp有什么区别:ftp传文件常用,需要跑vsftpd服务;sftp更安全,更简单,直接在/etc/ssh/sshd_config文件下配置 1、创建一个用户用来登录 #useradd tom -s /sbin/nologin -d /var/adm/upload 【-d 指定tom连接上来的默认目录】 #passwd tom 2、修改配置文件 #vim /etc/ssh/sshd_config #Subsystem sftp /usr/libexec/open
SFTP服务配置
weixin_46285678的博客
05-23 251
注释掉Subsystem sftp /usr/libexec/openssh/sftp-server 这句话。2、在/opt/data目录下新建一个用户上传的目录 mkdir /opt/data/www。3、配置限 chown -R :sftp /opt/data/www。4、完成, 用户可以将文件上传到/opt/data/www。1、sftp 用户名@127.0.0.1。2、创建用户名与密码。
sftp服务器配置文件,SFTP 服务器配置
weixin_36352415的博客
07-31 556
OpenSSH安装,版本要高于4.8sp1openssl版本高于0.9.6# tar zxvf openssh-5.4p1.tar.gz# cd openssh-5.4p1# ./configure --with-ssl-dir=/usr/local/ssl #openssl的安装位置# make# make install配置文件:/dicc/sftp_sshd/sshd_config==...
sftp 简易配置
weixin_30767835的博客
07-16 160
1、创建用户组 groupadd sftp 2、创建用户 useradd -m -s /bin/false -g sftp sftp 3、修改sshd_config文件 #Subsystem sftp /usr/libexec/openssh/sftp-server --注释 Subsystem sftp internal...
华三设备SFTP配置
03-15
<think>好的,我现在需要回答用户关于如何在H3C设备上配置SFTP的问题。首先,我得回忆一下H3C设备的配置步骤,确保自己理解正确。SFTP是基于SSH的安全文件传输协议,所以配置的关键在于正确启用SSH服务,并设置相关参数。 首先,用户可能需要生成本地密钥对,比如RSA或者DSA,因为SSH依赖这些密钥进行加密。然后,需要启用SSH服务器功能,这样设备才能接受SFTP连接。接下来,创建用户并指定服务类型为SSH,同时赋予用户限,这样用户才能登录。此外,配置VTY线路,指定使用SSH协议进行登录,这样可以保证传输的安全性。 还要考虑SSH的版本,确保使用SSH2,因为SSH1存在已知的安全漏洞。可能需要调整加密算法和主机密钥的优先级,根据引用中的信息,H3C设备默认的优先级是x509v3-ecdsa系列算法,但用户可能需要根据实际情况调整。同时,引用中提到ACL规则,可能需要配置ACL来限制访问SFTP的IP地址,比如引用4中的规则允许特定源地址。 另外,在用户认证方面,可能需要配置本地认证或者远程认证服务器,比如RADIUS或TACACS+,但用户问题可能更关注本地配置。记得在配置完成后保存配置,避免重启后丢失。 可能会遇到的问题包括SSH服务未启动、密钥生成错误、用户限不足或者VTY线路配置不正确。需要检查这些步骤是否正确。同时,引用3提到了使用TFTP升级设备,虽然和SFTP无关,但说明文件传输在H3C设备中的重要性,可能需要对比两者的配置差异。 最后,测试配置是否成功,使用SFTP客户端连接设备,验证文件传输是否加密。如果有证书问题,可能需要按照引用5中的建议处理Java安全设置,但这种情况可能更多在客户端出现,而非设备配置本身。 总结步骤应该是:生成密钥对、启用SSH服务、创建用户、配置VTY线路、配置ACL(可选)、验证配置。需要按照这个逻辑写出详细步骤,并引用相关的参考内容,比如引用2中的SSH2协议加密算法配置,引用4的ACL规则,以及引用1中关于SSL连接的安全传输,但SFTP是基于SSH的,所以需要调整引用到正确的部分。</think>### H3C设备SFTP配置方法及步骤 SFTP(SSH File Transfer Protocol)基于SSH协议实现加密文件传输,配置过程主要涉及**SSH服务启用、用户配置、密钥管理**三个核心环节。以下是具体操作步骤: --- #### **一、生成本地密钥对(RSA/DSA)** SSH协议依赖密钥对实现身份验证,需首先生成设备端密钥: ```bash # 进入系统视图 <H3C> system-view [H3C] public-key local create rsa # 生成RSA密钥对(默认2048位) [H3C] public-key local create dsa # 可选,生成DSA密钥对 ``` **关键点**:密钥长度影响安全性,建议使用RSA 2048位或更高[^2]。 --- #### **二、启用SSH服务并配置参数** 1. **启动SSH服务** ```bash [H3C] ssh server enable # 全局启用SSH服务 ``` 2. **指定SSH协议版本** ```bash [H3C] ssh server version 2 # 强制使用SSH2协议(更安全) ``` 3. **配置加密算法优先级(可选)** 根据需求调整加密算法顺序(如优先ECDSA): ```bash [H3C] ssh2 algorithm cipher aes128-ctr aes256-ctr # 设置加密算法优先级 [H3C] ssh2 algorithm host-key x509v3-ecdsa-sha2-nistp256 # 指定主机密钥类型 ``` --- #### **三、创建SFTP用户及限** 1. **新建用户并绑定SFTP服务** ```bash [H3C] local-user sftpuser # 创建用户"sftpuser" [H3C-luser-manage-sftpuser] password simple H3C@123 # 设置密码 [H3C-luser-manage-sftpuser] service-type ssh # 指定服务类型为SSH [H3C-luser-manage-sftpuser] authorization-attribute user-role network-admin # 赋予管理员限 ``` 2. **限制用户登录方式** ```bash [H3C-luser-manage-sftpuser] authorization-attribute work-directory flash:/ # 指定可访问目录 ``` --- #### **四、配置VTY线路支持SSH协议** 1. **设置VTY终端登录方式** ```bash [H3C] line vty 0 4 # 进入VTY线路视图 [H3C-line-vty0-4] authentication-mode scheme # 使用用户名/密码认证 [H3C-line-vty0-4] protocol inbound ssh # 仅允许SSH登录 ``` --- #### **五、配置ACL限制访问源(可选)** 通过ACL限制允许SFTP连接的IP地址: ```bash [H3C] acl basic 2000 # 创建基本ACL [H3C-acl-ipv4-basic-2000] rule permit source 10.110.100.46 0 # 允许特定IP[^4] [H3C-line-vty0-4] acl 2000 inbound # 应用ACL到VTY线路 ``` --- #### **六、验证SFTP配置** 1. **保存配置** ```bash [H3C] save force # 强制保存配置 ``` 2. **客户端连接测试** 使用WinSCP或命令行工具连接设备IP,协议选择SFTP,端口22: ```bash sftp -P 22 sftpuser@192.168.1.1 # 示例连接命令 ``` --- ### §§ 1. **如何排查H3C设备SFTP连接失败?** (检查SSH服务状态、用户限、ACL规则、密钥匹配) 2. **SFTP与SCP在H3C设备上的区别?** (SCP仅支持文件传输,SFTP支持目录管理) 3. **如何通过SFTP升级H3C交换机固件?** (参考TFTP升级步骤[^3],替换传输协议为SFTP) --- **引用说明** [^1]: SFTP通过SSH协议建立加密通道,确保文件传输安全性。 : SSH2协议默认优先使用ECDSA算法保障密钥交换安全。 : ACL规则可限制SFTP访问来源,增强网络控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值