原理:
创建两个‘sshd’进程,一个作为ssh服务的deamon,一个作为sftp服务的deamon.
ssh服务和sftp服务分离之前:
系统内开启ssh服务和sftp服务都是通过/usr/sbin/sshd这个后台程序监听22端口,而sftp服务作为一个子服务,是通过/etc/ssh/sshd_config配置文件中的Subsystem实现的,如果没有配置Subsystem参数,则系统是不能sftp访问的。
实现ssh服务和sftp服务分离:
1.两个deamon
要实现ssh和sftp分离,分别监听不同的端口,可以通过创建两个‘/usr/sbin/sshd’后台程序,一个监听22端口(ssh),一个监听20022端口(sftp),为了区分ssh和sftp服务的后台程序,这里将ssh服务的后台程序保持为/usr/sbin/sshd,而将sftp服务的后台程序改为/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一个链接,其内容完全相同(ln -sf /usr/sbin/sshd /usr/sbin/sftpd)。
2.两个service
SLES12使用systemd管理系统服务,ssh服务对应/usr/lib/systemd/system/sshd.service文件,实现sftp服务时可以将/usr/lib/systemd/system/sshd.service 复制到 /etc/systemd/system/sftpd.service,然后修改sftpd.service文件内容。(使用修改好的sftpd.service文件即可)
3.其他文件
系统的ssh服务是通过安装openssh实现的,可以通过rpm -ql openssh查看该rpm包含哪些文件。
总结实现ssh和sftp分离的相关的文件有:
ssh服务
sftp服务
/usr/lib/systemd/system/sshd.service
/etc/systemd/system/sftpd.service
(通过修改/usr/lib/systemd/system/sshd.service文件得到)
/etc/pam.d/sshd
/etc/pam.d/sftpd (通过复制 /etc/pam.d/sshd文件得到)
/etc/ssh/sshd_config
/etc/ssh/sftpd_config (通过复制/etc/ssh/sshd_config文件得到)
/usr/sbin/rcsshd
/usr/sbin/rcsftpd (ln -sf /usr/sbin/service /usr/sbin/rcsftpd)
/usr/sbin/sshd
/usr/sbin/sftpd (ln -sf /usr/sbin/sshd /usr/sbin/sftpd)
/etc/sysconfig/ssh
/etc/sysconfig/sftp (通过修改/etc/sysconfig/ssh文件得到)
至此,我们已经实现了两个服务。
但是,ssh服务和sftp服务并没有真正的分离,此时已然可以通过22号端口使用ssh服务和sftp服务,而新开的20022端口也可以使用ssh服务(ssh -p 20022 username@serverip )和sftp服务(sftp -o Port=20022 username@serverip )。
4.关闭22号端口下的sftp服务
编辑/usr/sbin/sshd的配置文件/etc/ssh/sshd_config文件,将Subsystem参数注释掉,然后重启sshd
同时也可以设置可访问22号端口的用户白名单:
编辑/etc/ssh/sshd_config文件,设置AllowGroups参数(假设设置为AllowGroups sshonly),限制仅AllowGroups组内的用户可通过22号端口ssh登录系统(对于需要ssh登录系统的用户可通过usermod -A sshonly 将其加入到AllowGroups组内)
5.“关闭20022号端口下的ssh服务”
sftp作为一个子服务,它的开启依赖于ssh服务,因此不能从本质上关闭ssh服务而只开启sftp服务。
可以用以下方式来规避:
/usr/sbin/sftpd的配置文件/etc/ssh/sftpd_config中包含Subsystem参数配置(推荐使用Subsystem sftp internal-sftp -l INFO -f AUTH)
/etc/ssh/sftpd_config中包含AllowGroups参数(假设为AllowGroups sftponly),限制仅AllowGroups组内的用户可以访问20022端口
将AllowGroups组内的用户的shell改为/bin/false(usermod -s /bin/false ),使AllowGroups组内的用户仅能sftp登录系统(如果一个用户即需要ssh,又需要sftp,则不能将其shell改为/bin/false)
6.用户白名单配置
配置之后,需将系统内需要ssh访问系统的用户加入到sshonly组内,需将系统内需要sftp访问系统的用户加入到sftponly组,同时需要ssh和sftp的用户则sshonly和sftponly组都要加入。
7. 重启ssh服务和sftp服务,并设置开机启动
service sshd restart
service sftpd restart
访问ssh服务可使用:ssh username@serverip
分离后如何访问ssh/sftp
对于同时是sshonly组和sftponly组的成员的用户还可以使用
ssh -o Port=20022 username@serverip访问系统
访问sftp服务可使用:sftp -o Port=20022 username@serverip
附件sshsftpseparate_sles12.tar.gz使用说明:
将sshsftpseparate_sles12.tar.gz上传到服务器(需实现ssh和sftp分离的机器)上
解压:tar -xzvf sshsftpseparate_sles12.tar.gz
进入sshsftpseparate目录,编辑sshusers,sftpusers,sshsftpusers文件,将仅需要ssh的用户添加到sshusers文件中(每行一个),将仅需要sftp的用户添加到sftpusers文件中(每行一个),将既需要ssh又需要sftp的用户添加到sshsftpusers文件中(每行一个)。
最后执行一下set.sh脚本即可
sshsftpseparate目录下文件说明:
set.sh 完成ssh和sftp分离的自动化脚本
sftp /etc/sysconfig/sftp配置文件
sftpd.service /etc/system/system/sftpd.service文件
sftpd_config sftpd服务配置文件/etc/ssh/sftpd_config(可修改,包括sftp监听的20022端口等)
sftpusers 配置仅需要sftp的用户名单
sshusers 配置仅需要ssh的用户名单
sshsftpuser 配置既需要ssh又需要sftp的用户名单