linux sftp ssh端口分开,Linux SSH和SFTP服务分离

最新推荐文章于 2024-05-27 14:50:58 发布
最新推荐文章于 2024-05-27 14:50:58 发布
阅读量2.3k 收藏 3
点赞数
文章标签: linux sftp ssh端口分开

原理:

创建两个‘sshd’进程,一个作为ssh服务的deamon,一个作为sftp服务的deamon.

ssh服务和sftp服务分离之前:

系统内开启ssh服务和sftp服务都是通过/usr/sbin/sshd这个后台程序监听22端口,而sftp服务作为一个子服务,是通过/etc/ssh/sshd_config配置文件中的Subsystem实现的,如果没有配置Subsystem参数,则系统是不能sftp访问的。

实现ssh服务和sftp服务分离:

1.两个deamon

要实现ssh和sftp分离,分别监听不同的端口,可以通过创建两个‘/usr/sbin/sshd’后台程序,一个监听22端口(ssh),一个监听20022端口(sftp),为了区分ssh和sftp服务的后台程序,这里将ssh服务的后台程序保持为/usr/sbin/sshd,而将sftp服务的后台程序改为/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一个链接,其内容完全相同(ln -sf /usr/sbin/sshd /usr/sbin/sftpd)。

2.两个service

SLES12使用systemd管理系统服务,ssh服务对应/usr/lib/systemd/system/sshd.service文件,实现sftp服务时可以将/usr/lib/systemd/system/sshd.service 复制到 /etc/systemd/system/sftpd.service,然后修改sftpd.service文件内容。(使用修改好的sftpd.service文件即可)

3.其他文件

系统的ssh服务是通过安装openssh实现的,可以通过rpm -ql openssh查看该rpm包含哪些文件。

总结实现ssh和sftp分离的相关的文件有:

ssh服务

sftp服务

/usr/lib/systemd/system/sshd.service

/etc/systemd/system/sftpd.service

(通过修改/usr/lib/systemd/system/sshd.service文件得到)

/etc/pam.d/sshd

/etc/pam.d/sftpd (通过复制 /etc/pam.d/sshd文件得到)

/etc/ssh/sshd_config

/etc/ssh/sftpd_config (通过复制/etc/ssh/sshd_config文件得到)

/usr/sbin/rcsshd

/usr/sbin/rcsftpd (ln -sf /usr/sbin/service /usr/sbin/rcsftpd)

/usr/sbin/sshd

/usr/sbin/sftpd (ln -sf /usr/sbin/sshd /usr/sbin/sftpd)

/etc/sysconfig/ssh

/etc/sysconfig/sftp (通过修改/etc/sysconfig/ssh文件得到)

至此,我们已经实现了两个服务。

但是,ssh服务和sftp服务并没有真正的分离,此时已然可以通过22号端口使用ssh服务和sftp服务,而新开的20022端口也可以使用ssh服务(ssh -p 20022 username@serverip )和sftp服务(sftp -o Port=20022 username@serverip )。

4.关闭22号端口下的sftp服务

编辑/usr/sbin/sshd的配置文件/etc/ssh/sshd_config文件,将Subsystem参数注释掉,然后重启sshd

同时也可以设置可访问22号端口的用户白名单:

编辑/etc/ssh/sshd_config文件,设置AllowGroups参数(假设设置为AllowGroups sshonly),限制仅AllowGroups组内的用户可通过22号端口ssh登录系统(对于需要ssh登录系统的用户可通过usermod -A sshonly 将其加入到AllowGroups组内)

5.“关闭20022号端口下的ssh服务”

sftp作为一个子服务,它的开启依赖于ssh服务,因此不能从本质上关闭ssh服务而只开启sftp服务。

可以用以下方式来规避:

/usr/sbin/sftpd的配置文件/etc/ssh/sftpd_config中包含Subsystem参数配置(推荐使用Subsystem sftp internal-sftp -l INFO -f AUTH)

/etc/ssh/sftpd_config中包含AllowGroups参数(假设为AllowGroups sftponly),限制仅AllowGroups组内的用户可以访问20022端口

将AllowGroups组内的用户的shell改为/bin/false(usermod -s /bin/false ),使AllowGroups组内的用户仅能sftp登录系统(如果一个用户即需要ssh,又需要sftp,则不能将其shell改为/bin/false)

6.用户白名单配置

配置之后,需将系统内需要ssh访问系统的用户加入到sshonly组内,需将系统内需要sftp访问系统的用户加入到sftponly组,同时需要ssh和sftp的用户则sshonly和sftponly组都要加入。

7. 重启ssh服务和sftp服务,并设置开机启动

service sshd restart

service sftpd restart

访问ssh服务可使用:ssh username@serverip

分离后如何访问ssh/sftp

对于同时是sshonly组和sftponly组的成员的用户还可以使用

ssh -o Port=20022 username@serverip访问系统

访问sftp服务可使用:sftp -o Port=20022 username@serverip

附件sshsftpseparate_sles12.tar.gz使用说明:

将sshsftpseparate_sles12.tar.gz上传到服务器(需实现ssh和sftp分离的机器)上

解压:tar -xzvf sshsftpseparate_sles12.tar.gz

进入sshsftpseparate目录,编辑sshusers,sftpusers,sshsftpusers文件,将仅需要ssh的用户添加到sshusers文件中(每行一个),将仅需要sftp的用户添加到sftpusers文件中(每行一个),将既需要ssh又需要sftp的用户添加到sshsftpusers文件中(每行一个)。

最后执行一下set.sh脚本即可

sshsftpseparate目录下文件说明:

set.sh 完成ssh和sftp分离的自动化脚本

sftp /etc/sysconfig/sftp配置文件

sftpd.service /etc/system/system/sftpd.service文件

sftpd_config sftpd服务配置文件/etc/ssh/sftpd_config(可修改,包括sftp监听的20022端口等)

sftpusers 配置仅需要sftp的用户名单

sshusers 配置仅需要ssh的用户名单

sshsftpuser 配置既需要ssh又需要sftp的用户名单

黄文池
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统中允许或拒绝SSH访问特定用户或组的方法
qq_40907977的博客
11-11 3441
openSSH默认配置文件有两个指令,允许和拒绝对特定用户或组的SSH访问,本文所要介绍的内容是允许或拒绝在Linux系统中对特定用户或组的SSH访问。一旦我们将用户置于限制模式,他就无法做任何事情,除了他被允许做什么,当你希望允许特定用户仅执行一组特定命令时,该方法就能用上了。 一、允许SSH访问用户或组 首先,我们将看到如何允许特定用户的SSH访问(在Ubuntu 18.04系统中启用SSH登...
centos6分离sshsftp并配置不同端口 -.txt
09-02
最近项目要求数据传必须使用sftp,但sftp又不能直接使用22端口,不安全,网上查询的sshsftp分离相关的资料都是基于centos7的,于是经过研究尝试,完成了基于centos6版本的服务分离
linux sshsftp服务分离
九二战歌的博客
12-07 3788
默认linuxsshsftp端口都是22,有时候为了安全考虑,我们只想给某些用户sftp传输文件,不想他们拥有ssh的权限,这该怎么做呢?这篇博客我就讲讲如何将sshsftp端口分离。默认情况下,linuxsshsftp服务都是用的sshd_config文件,所以我们需要配置文件分离,先拷贝配置,root用户执行命令: 修改配置 在#Port 22的下面增加2行(必选) 在#MaxStartups 10:30:100下方添加3行(可选) 在#PermitRootLogin yes的下面增加2行(
Python中的SSHSFTP和FTP操作详解
若不知道要驶向哪个码头,那么任何风都不会是顺风。
05-27 2269
大家好,在网络编程中,安全地连接到远程服务器并执行操作是一项常见任务。Python 提供了多种库来实现这一目标,其中 Paramiko 是一个功能强大的工具,可以轻松地在 Python 中执行 SSHSFTP 和 FTP 操作。本文将介绍如何使用 Paramiko 库来进行这些操作。
Centos7.x部署SFTP服务+和ssh不同端口访问
xikui1551的博客
12-15 3333
Centos7.x部署SFTP服务+和ssh不同端口访问
SSH能够连接,SFTP不能连接问题--亲测已成功!
qq961573863的博客
07-22 2969
1、看下服务路径 [root@*****]# locate sftp-server /usr/libexec/openssh/sftp-server #路径 /usr/share/man/man8/sftp-server.8.gz 2、看下配置文件中信息: vi /etc/ssh/sshd_config override default of no subsystems Subsystem sftp /usr/libexec/openssh/sftp-server #路径,和上述一致,若不一
SSHSFTP服务分离详细文档
01-12
SSHSFTP 服务分离详细文档 本文档旨在指导用户如何将 SSHSFTP 服务分离,以便更好地管理和维护服务器。 一、SFTP 概述 SFTP(Secure File Transfer Protocol)是一种基于 SSH 的文件传输协议,提供安全的...
sshsftp分离.zip
11-10
sshsftp分离脚本,分离后可单独控制sftp服务,独立与ssh服务,单独指定sftp端口,并进行限定目录等各类操作,脚本执行前请先查看readmefirst,可选项也在readme中,有需要下载,有问题留言
Linux配置SSH和Xshell连接服务器的教程(图解)
09-14
通过上述步骤,我们完成了Linux SSH服务器的配置和使用Xshell进行连接的基本操作。了解这些基础操作对于日常的Linux服务器管理至关重要,无论是进行远程运维、部署应用还是数据传输,SSH和Xshell都能提供高效、安全...
SSHSFTP服务分离
xx244的博客
05-11 3361
SSHSFTP服务分离1.原理1.1 daemon和service1.2 sftp2.分离SSHSFTP服务2.1 复制SSH相关文件,作为sftp的配置文件2.1.1 /usr/lib/systemd/system/sshd.service2.1.2 /etc/pam.d/sshd2.1.3 /etc/ssh/sshd_config2.1.4 /usr/sbin/service2.1.5 /usr/sbin/sshd2.1.6 /etc/sysconfig/sshd2.1.7 /var/run/
搭建SFTP服务,并SSHSFTP端口分离、用户权限控制
Liu_yongpeng的博客
08-09 4237
能够完成sftp服务的部署,且实现sshsftp端口分离,不使用默认的端口sftp用户的权限只可以访问该用户的家目录里的文件和其下的子目录,实现权限控制。
SSHSFTP的简单使用
tsing1996的博客
02-04 6774
使用sshsftp命令首先要安装 openssh-server大部分系统都预装这个工具, 如果没有,则使用 sudo apt-get install openssh-server 命令进行安装 SSHSFTP简单使用 ssh命令 ssh 命令用来远程登录linux主机, 登录后便可以远程操作该主机,具体命令为: ssh 用户名@主机名 比如用户名是username 主机名是
十分钟学SSH+SFTP操作终端,告别XShell
Java笔记虾
07-10 3465
1.前言 在Mac下登陆远程服务器并没有Windows那么方便的使用XShell,相比较而言,在Mac下更多的是依赖终端输入SSH命令登陆远程服务器。 使用SSH命令行的好处就是可以近距离接触底层,用的越多,用的越溜,对SSH的原理就越了解。相反,使用现成的SSH工具(PuTTY、XShell),我们其实并不有涉及使用ssh命令的机,对大多数人而言,怕是只知道最基本的ssh root...
linux文件挂载命令
goldenminers的博客
10-14 525
linux文件挂载命令 export JAVA_HOME=/usr/local/java export PATH=PATH:PATH:PATH:JAVA_HOME/bin export CLASSPATH=.:JAVAHOME/lib/dt.jar:JAVA_HOME/lib/dt.jar:JAVAH​OME/lib/dt.jar:JAVA_HOME/lib/tools.jar export JRE_HOME=$JAVA_HOME/jre /home/workspace *(rw,no_root_sq
Linux 安装sftp和修改sftp工作目录】
qq_40093903的博客
07-03 2698
linux 安装sftp 和修改sftp 工作目录,sftp的工作目录上级目录必须是root,且权限不能是777。
sshsftp服务分离
xiaoma19961101的博客
07-26 9130
sshsftp服务分离 原理 创建两个‘sshd’进程,一个作为ssh服务的deamon,一个作为sftp服务的deamon. ssh服务sftp服务分离之前: 系统内开启ssh服务sftp服务都是通过/usr/sbin/sshd这个后台程序监听22端口,而sftp服务作为一个子服务,是通过/etc/ssh/sshd_config配置文件中的Subsystem实现的,如果没有配置Subsystem参数,则系统是不能sftp访问的。 1.两个deamon ln -sf /usr/sbin/sshd /u
CentOS 7 sshsftp服务分离
jnrjian的博客
05-11 117
实现sftp服务时,将/usr/lib/systemd/system/sshd.service 复制到 /etc/systemd/system/sftpd.service,然后修改sftpd.service文件内容。修改#PidFile /var/run/sshd.pid,为PidFile /var/run/sftpd.pid。或者 ln -sf /usr/local/openssh/sbin/sshd /usr/sbin/sftpd。取消注释,PidFile /var/run/sshd.pid。
高可用ftp、sftp服务器的搭建
qq_34075012的博客
08-04 4039
高可用ftp、sftp服务器的搭建(Centos环境)ftp基础服务的搭建安装vsftpd服务用户及目录创建ssh端口sftp端口分离修改配置文件创建sftp配置文件服务测试关闭22号端口下的sftp服务高可用的安装与配置机器准备安装LVS安装及配置keepalived安装及配置rsync安装及配置inotify使用说明书 ftp基础服务的搭建 安装vsftpd服务 检查vsftpd服务是否已安装? sudo rpm -qa |grep vsftpd 如果没安装,则先安装vsftpd服务 sud
sftpssh端口冲突
最新发布
06-06
SFTP (Secure File Transfer Protocol) 和 SSH (Secure Shell) 都是基于SSH协议的安全文件传输服务SSH本身提供了一个安全通道,用于远程登录到服务器执行命令或管理文件,而SFTP则是SSH的一个组件,专门用于加密的文件传输。 当提到SSH端口冲突时,通常指的是当你在一个系统中已经使用了默认的22端口SSH监听端口)来运行SSH服务,而尝试在同一台机器上启动另一个服务,比如SFTP,它也可能使用22端口。这导致问题,因为两个服务都试图通过同一端口监听连接,从而导致连接混乱,网络访问可能出错。 解决这个问题的方法有: 1. **更改端口号**:你可以将SFTP服务端口从22更改为其他未被占用的端口,如2222或4444。在配置文件中找到SFTP部分,指定一个新的端口号。 ```sh # 在sshd_config文件中修改SFTP配置 Subsystem sftp /usr/libexec/openssh/sftp-server -o Port=2222 ``` 2. **区分服务名称**:使用不同的服务名称或前缀(如`sshd`和`sftp-server`),然后在防火墙规则或系统级别分别设置端口映射,确保它们不冲突。 3. **防火墙配置**:如果你使用的是Linux,可以在防火墙规则中为SFTP设置一个独立的端口范围,只允许SFTP通过那个特定的端口。 4. **虚拟主机(Virtual Hosts)**:在多主机或多服务部署场景下,使用SSH的虚拟主机功能(Hostnames or User Aliases in sshd_config),每个虚拟主机可以有自己的端口范围。 确保更改后重启相关服务,并且网络防火墙允许新端口的访问。同时,也要确保其他网络设备和系统没有使用相同的端口
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值