SFTP简介
sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP。(来自百度百科)
1、创建管理用户组和使用用户组
groupadd ssh-users
groupadd sftp-users
2、创建sftp登陆用户(禁掉其登陆shell权限)
useradd -g sftp-users -s /bin/false testuser
修改密码:passwd testuser
3、创建sftp文件目录及要共享的目录、修改权限
mkdir -p /data/sftp/file
chmod 750 /data/sftp/file
将其改为root所有、用户组为sftp-users
chown root:sftp-users /data/sftp/file
4、修改ssh配置文件
vim /etc/ssh/sshd_config
在末尾加入
#只允许ssh-users及sftp-users通过SSH访问文件系统
AllowGroups ssh-users sftp-users
# 针对sftp-users用户
Match Group sftp-users
# 将/data/sftp设置为该组用户的系统根目录
ChrootDirectory /data/sftp
# 禁止TCP Forwarding和X11 Forwarding
AllowTcpForwarding no
X11Forwarding no
# 强制该组用户仅仅使用sftp
ForceCommand internal-sftp
5、重启ssh服务
sudo service ssh restart
验证连接:sftp testuser@ip
显示sftp>
就成功了。
如果连接,显示类似:Read from remote host ip: Connection reset by peer原因如下,权限问题
注意事项:目录权限设置上要遵循2点:
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。