Linux下搭建SFTP服务器

本文档详细介绍了如何在CentOS7.6系统上为特定用户配置SFTP服务,包括创建用户、修改SSH配置以限制用户访问特定目录、设置权限,并通过测试验证配置的正确性。重点在于使用内部-sftp子系统、ChrootDirectory和匹配用户配置来增强安全性。
摘要由CSDN通过智能技术生成


前言

sftp采用的是ssh加密隧道,安装性方面较ftp强,而且依赖的是系统自带的ssh服务,但速度较ftp慢。本次试验为虚拟机CentOS7.6系统。

1、创建用户

我们要建立一个专门管理sftp的用户或者用户组,方便我们管理权限。 如果有多个sftp用户建议新建用户组,此次试验我只用一个用户,为了方便用用户名的方式去进行。
a、若建立单个sftp用户
新建用户

useradd	qhlh

修改密码

passwd	qhlh

b、若需要多个sftp用户
新建sftp的用户组:

groupadd sftp

新建多个用户:

useradd -g sftp -m sftpuser1
useradd -g sftp -m sftpuser2

修改用户密码

passwd	sftpuser1
passwd	sftpuser2

c、如果该用户已存在,但是不在sftp组中,可以手动移动用户到sftp组

usermod -g sftp qhlh

2、配置ssh和权限

首先关闭SElinux

vim  /etc/sysconfig/selinux

找到并修改这行为
SELINUX=disabled
tips:SELINUX默认是开启的,这样重启sshd会提示权限不够,设置为disabled需要重启生效
打开/etc/ssh/sshd_config文件

vi /etc/ssh/sshd_config

配置如下

Subsystem sftp internal-sftp
Match User qhlh	#指定以下的子行配置是匹配用户的
 	X11Forwarding no	
    AllowTcpForwarding no
    ChrootDirectory	/data	#设定属于用户组sftp的用户访问的根文件夹 
    ForceCommand internal-sftp	#强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令

在这里插入图片描述
重启网络

service sshd resstart

3、修改sftp-users用户组用户目录权限
上面说了,因为使用了ChrootDirectory /data作为qhlh的sftp根目录,现在来修改权限
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755
a、由于/data是root创建的,权限755,如果qhlh直接sftp过去没有权限写入,因此,需要/data下创建新目录并给与qhlh权限

mkdir	/data/file
chown qhlh:qhlh	/data/file

在这里插入图片描述

3、测试

找到其他服务器
sftp qhlh@10.0.32.21
在这里插入图片描述
看以看到用户不能直接在sftp的根目录(也就是服务器/data)下传文件,但可以在file下传文件(上面/data/file的属主已经改为了qhlh)
至此,试验完成

tip:有时会遇到修改了默认22端口为其他端口。此时测试需要注意防火墙是否放通端口或者关闭防火墙。

Linux系统中搭建和安装SFTP服务器,通常使用SSH(Secure Shell)服务来实现。SFTP是SSH的一部分,它提供了通过SSH协议进行安全文件传输的功能。以下是搭建和安装SFTP服务器的基本步骤: 1. 安装SSH服务:大多数Linux发行版默认安装了SSH服务。如果尚未安装,可以通过包管理器进行安装。例如,在基于Debian的系统中,可以使用以下命令安装OpenSSH服务器: ``` sudo apt-get update sudo apt-get install openssh-server ``` 2. 配置SSH服务:安装完成后,需要编辑SSH配置文件`/etc/ssh/sshd_config`来允许SFTP功能。确保以下行是开启状态(如果需要): ``` Subsystem sftp /usr/lib/openssh/sftp-server ``` 或者,如果你使用的是较新版本的OpenSSH,可能需要使用以下配置: ``` Subsystem sftp internal-sftp ``` 3. 指定SFTP用户组(可选):为了避免让所有用户都能使用SFTP,通常会创建一个专门的用户组来限制SFTP访问权限。例如,创建一个名为`sftponly`的组,并将希望允许使用SFTP的用户添加到这个组中: ``` sudo groupadd sftponly sudo gpasswd -a username sftponly ``` 4. 配置文件传输限制(可选):在`sshd_config`文件中,可以为特定用户或用户组设置文件传输的根目录。这样可以限制用户只能访问某个特定目录下的文件。例如,可以为`sftponly`组设置: ``` Match Group sftponly ChrootDirectory /path/to/chroot ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no ``` 其中`ChrootDirectory`是用户登录后看到的“根”目录,确保`/path/to/chroot`是存在的,并且`sftponly`组的用户对其有访问权限。 5. 重启SSH服务:更改配置文件后,需要重启SSH服务以使更改生效。使用以下命令之一: ``` sudo systemctl restart sshd ``` 或者,如果是在使用System V init的系统上: ``` sudo service ssh restart ``` 6. 测试SFTP连接:使用SFTP客户端软件(如FileZilla,或命令行工具sftp)连接到服务器,验证SFTP服务是否正常工作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值