(转):使用SFTP替代FTP来传输文件

最新推荐文章于 2024-06-06 07:03:49 发布
最新推荐文章于 2024-06-06 07:03:49 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: linux

转载自:http://www.freeoa.net/osuport/sysadmin/use-sftp-instead-ftp-transfer-files_2700.html

 

需要文件传输需求,用户只能通过sftp访问,不能通过OpenSSH登录到系统中。只开放一个sftp服务器给用户,用openssh 5.0以上的版本很容易做到,openssh新版自带一个自己实现的sftp server:internal-sftp。在使用时有命令行或gui工具,能对像ftp服务进行操作一样。

配置

升级新版以后只需要配置为如下:
Subsystem  sftp internal-sftp

Match User sftpuser
 ChrootDirectory /home/sftpuser
 X11Forwarding no
 AllowTcpForwarding no
 ForceCommand internal-sftp

chown root.root /home/sftpuser

key验证可以正常放在/home/sftpuser/.ssh 里面即可,这样就可以实现chroot和只允许sftp。

如果只是要chroot的话,要使用户可以登录,必须在/home/sftpuser/下面准备一些文件:
The ChrootDirectory must contain the necessary files and directories to support the users’ session.  For an interactive session this requires at least a shell, typically sh(1), and basic /dev nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4), arandom(4) and tty(4) devices.  For file transfer sessions using “sftp”, no additional configuration of the environment is necessary if the in-process sftp server is used (see Subsystem for details).

过程大致如下,首先修改sshd的配置文件:
#vim /etc/ssh/sshd_config
SSHD_CONFIG

sshd通常是打开了sftp的,不过我们应该使用internal-sftp在sshd_conf中作如下配置:
将该文件的末尾修改如下:
#Subsystem sftp /usr/lib/openssh/sftp-server
#该行(上面这行)注释掉
Subsystem sftp internal-sftp

Match group sftp
 ChrootDirectory /home/data/sftpshare
 X11Forwarding no
 AllowTcpForwarding no
 ForceCommand internal-sftp



Subsystem sftp internal-sftp
Match Group sftp
 ChrootDirectory /data/sftp/%u
 ForceCommand    internal-sftp
 AllowTcpForwarding no
 X11Forwarding no

注释:当sshd匹配到sftp组中的用户,就会强制使用sftp(ForceCommand的作用),并将用户限定在'/home/data/sftpshare'下相应用户的目录下(ChrootDirectory的作用)。

Subsystem sftp internal-sftp
这行指定使用sftp服务使用系统自带的internal-sftp

Match group sftp
#匹配sftp组,如为单个用户可用:Match user 用户名;设置此用户登陆时的shell设为/bin/false,这样它就不能用ssh只能用sftp。如果要匹配多个组,多个组之间用逗号分割

当然,也可以匹配用户
Match User freeoa
这样就可以匹配用户了,多个用户名之间也是用逗号分割,但我们这里按组匹配更灵活和方便

ChrootDirectory /home/data/sftpshare
ChrootDirectory /data/sftp/%u  
#指定用户被锁定到的那个目录,为了能够chroot成功,该目录必须属主是root,并且其他用户或组不能写。%u代表用户名,这样用户就只能在/data/sftp/%u下活动,chroot的含义,可以参考这里:http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/

X11Forwarding no
AllowTcpForwarding no
#这两行,如果不希望该用户能使用端口转发的话就加上,否则删掉
ForceCommand internal-sftp
#UsePAM yes
#该行(上面这行)同样注释掉,或者移到Subsystem sftp internal-sftp的上面

下面建立sftp组和一个测试用户user,该用户属于sftp组:
# groupadd sftp
# useradd -d /home/data/sftpshare -m -s /bin/false -g sftp user
# sudo passwd user

useradd -G sftp -d /sftphome/sftpuser  -s /usr/sbin/nologin sftpuser

你可以在其他机器上用sftp方式进行登录试试了。你的连接将会被reset,可以看下sshd的日志,你会发现pam.d的认证是通过了的,但是chroot失败了。按网络上的说法
# chown root /sftphome/sftpuser
# chmod 755 /sftphome/sftpuser

重试是可以登录,新的问题是不能在此目录下写入。755对于组用户是不能写;再试试775,刚才的问题就来又了,chroot失败。

重启SSHD服务
# /etc/init.d/ssh reload

用户及组的目录限制

#限制freeoa用户的根目录
Match User freeoa
 ChrootDirectory /home/data/sftpshare
 ForceCommand  internal-sftp
 #限制用户组的根目录
Match Group sftp
 ChrootDirectory %h
 ForceCommand  internal-sftp -d %u

此时,使用带有sftp功能的客户端软件,比如Filezilla就可以使用sftp方式登录服务器了。

权限设置

要实现Chroot功能,目录权限的设置非常重要,否则无法登录。

目录权限设置时需要注意:
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root,ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755。

如果不能遵循以上两点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户,让默认创建的文件和目录权限为775即可。

设定Chroot目录权限
# chown root:sftp /data/sftp/mysftp
# chmod 755 /data/sftp/mysftp

错误的目录权限设定会导致在log中出现”fatal: bad ownership or modes for chroot directory xyz”的内容(Oct 10 15:11:25 pde sshd[3410]: fatal: bad ownership or modes for chroot directory "/home/data/sftpshare/zhfreeoa")。

目录的权限设定有两个要点,遵循这两个原则:
1、由ChrootDirectory指定的目录开始一直往上到系统根目录的目录拥有者都只能是root。

2、由ChrootDirectory指定的目录开始一直往上到系统根目录都不可以具有群组写入权限。

具体设置如下:
1)、我们将/data/sftp/mysftp的所有者设置为了root,所有组设置为sftp。

2)、我们将/data/sftp/mysftp的权限设置为755,所有者root有写入权限,而所有组sftp无写入权限。

SFTP用户登入后可写入的目录
照上面设置后,在重启sshd服务后,用户mysftp已经可以登录,但使用chroot指定根目录后,根应该是无法写入的,所以要新建一个目录供mysftp上传文件。这个目录所有者为mysftp,所有组为sftp,所有者有写入权限,而所有组无写入权限。

# mkdir /data/sftp/mysftp/upload  
# chown mysftp:sftp /data/sftp/mysftp/upload  
# chmod 755 /data/sftp/mysftp/upload  

可能涉及的问题
1、selinux
如果还是不能在此目录下上传文件,提示没有权限,检查SElinux是否关闭,可以使用如下指令关闭SElinux
修改/etc/selinux/config文件中的SELINUX="" 为 disabled ,然后重启。或者
# setenforce 0

2、认证成功但不能使用的问题
ChrootDirectory /home/data/sftpshare/%u
发生登录问题,
错误:    Server unexpectedly closed network connection

如果改为:
ChrootDirectory %h
发生问题同上。


开启sftp日志功能
修改SSH配置:
#vim /etc/ssh/sshd_config
修改
Subsystem sftp /usr/libexec/openssh/sftp-server

如下:
Subsystem sftp internal-sftp -l INFO -f local5

Subsystem  sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH

去掉下面一行的注释
#LogLevel INFO

修改syslog
vim /etc/syslog.conf
# 增加一行
auth,authpriv.*,local5.* /var/log/sftp.log

添加sftp账号
useradd -d "sftp权限目录" -s /bin/false "username"
usermod -g "用户所在组" "username"

重启后查看/var/log/sftp.log
/etc/init.d/syslog restart
/etc/init.d/sshd restart

tail -f /var/log/sftp.log

修改openssh配置,以支持更多用户在同时使用sftp文件服务,即并发支持(该值默认为10)。

MaxStartups 32
Specifies the maximum number of open sessions permitted per network connection. The default is 10.This will only help if the user is opening multiple connections from the same IP.

参考文档
http://en.wikibooks.org/wiki/OpenSSH/Cookbook/SFTP

xiaolu289
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ftp改为sftp_如何在 Linux 系统中如何更改 SFTP 端口
weixin_39534002的博客
11-22 1678
如何在 Linux 系统中如何更改 SFTP 端口SFTP(SSH文件传输协议)是一种安全文件协议,用于通过加密连接在两个主机之间传输文件。它还允许您对远程文件执行各种文件操作并恢复文件传输SFTP可以替代旧版FTP协议。它具有FTP的所有功能,但连接更加安全。本文介绍了如何在Linux中更改默认的SFTP端口。我们还将向您展示如何配置防火墙以允许在新端口上使用SFTP默认使用的端口...
linux的sftp日志在哪看,开启sftp日志并限制sftp访问目录
weixin_42469243的博客
05-08 1万+
# 开启sftp日志并限制sftp访问目录[TOC]## 1. 开启sftp日志### 1.1 修改sshd_config```vim /etc/ssh/sshd_config```注释掉Subsystem行,然后写入新Subsystem,信息如下```Subsystem sftp internal-sftp -l INFO -f local5LogLevel INFO```效果...
window下bat操作ftpsftp cmd操作ftpsftp
06-19
window下bat操作ftpsftp,脚本已完善,只需要修改配置即可。本脚本是参照https://download.csdn.net/download/housonglin1213/10127890进行修的,分是系统设置的,没分的话可以从前面的链接中下载
SFTP服务详解:安全高效的文件传输新选择
最新发布
Innocence_0的博客
06-06 590
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
sftp部署配置
这是一个将要崛起小达人
04-19 4703
sftpSFTP(SSH文件传输协议)是一种网络协议, 可通过任何可靠的数据流提供文件传输和操作功能。它通常与SSH-2协议(TCP端口22)一起使用以提供安全的文件传输, 部署配置: 1、创建用户组 sftp groupadd sftp 2、创建用户 xinxin02 useradd -G sftp -s /sbin/nologin xinxin02 3、创建密码 passwd xinxin02 4、修改配置文件 sshd_config vim /etc/ssh/sshd_config 将下面这行注释
Windows搭建SFTP,实现文件上传到Windows服务器并查看
Sean_Asu的博客
08-04 6038
Java 通过 SFTP 方式实现 向 Windows 服务器上传文件,并查看、下载
替代ftp文件上传小工具
01-19
标题中的“替代ftp文件上传小工具”指的是用于上传文件FTP服务器的轻量级应用程序,这类工具通常设计简洁,易于操作,旨在提供一种快速、便捷的文件传输方式,以代替传统的FTP客户端。FTP(File Transfer Protocol...
FTP.zip_FTP 下载_FTP下载文件_ftp
09-15
10. 断点续传:FTP支持断点续传功能,中断的传输可以在稍后继续,提高大文件传输的可靠性。 FTP的安全性: 由于FTP明文传输用户名和密码,可能存在安全风险。为解决这一问题,有加密版本的FTP,如FTPS(FTP over ...
ftp文件传输ftp文件传输
10-14
总的来说,FTP文件传输是互联网早期的重要服务之一,虽然在安全性和功能性上已有更好的替代方案,但因其简单易用,至今仍广泛应用于网站更新、数据备份等领域。了解并熟练掌握FTP使用,对于IT从业者来说是非常基础...
java写的ftp文件传输程序源码
05-16
8. **安全性**:在实际应用中,可能需要考虑SSL/TLS加密以确保数据传输的安全性,或者使用SFTP(SSH File Transfer Protocol)替代FTP,提供更安全的文件传输。 9. **用户界面**:除了核心的FTP通信逻辑,一个完整...
自用通过SSH安全端口代替FTP上传文件功能类似.zip
09-19
标题中的“自用通过SSH安全端口代替FTP上传文件功能类似.zip”表明这是一个关于使用SSH(Secure Shell)协议来替代FTP(File Transfer Protocol)进行文件传输的方案。SSH是一种更安全的网络协议,用于在不安全的...
SFTP命令详解
qq_43370683的博客
04-16 6409
sftp命令详解
完全使用SFTP替代FTPSFTP+OpenSSH+ChrootDirectory设置详解
gong_xucheng的专栏
09-16 3047
原文地址: 由于采用明文传输用户名和密码,FTP协议是不安全的。在同一机房中只要有一台服务器被攻击者控制,它就可能获取到其它服务器上的FTP密码,从而控制其它的服务器。 当然,很多优秀的FTP服务器都已经支持加密。但如果服务器上已经开了SSH服务,我们完全可以使用SFTP传输数据,何必要多开一个进程和端口呢? 下面,我就从账户设置、SSH设置、权限设置这三个方面来讲讲如何使用SFTP完全替
WIN10 开启SFTP FTP FTPS配置
热门推荐
Ch3nnn的博客
08-08 2万+
win + r 快捷键 打开 运行 optionalfeatures 在“windows功能”中找到“Internet信息服务”,并选中“FTP服务”、“FTP扩展性”和“IIS管理控制台”前的复选框,点击“确定”, 系统自动配置成功后,在开始屏幕的搜索中输入“IIS”,然后点击打开“IIS管理器” 打开“IIS管理器”后,在左栏的“网站”上点击右键,打开“添加...
centos sftp 多用户_终于有人把 FTPFTPS 与 SFTP 的原理说清楚了!
weixin_39614546的博客
10-22 452
作者:又拍云_来源:https://my.oschina.net/upyun/blog/4542799_FTPFTPS 与 SFTP 简介FTPFTP文件传输协议(英语:File Transfer Protocol 的缩写)是一个用于计算机网络上在客户端和服务器之间进行文件传输的应用层协议。完整的 FTP 是由 FTP 服务器 和 FTP 客户端组成的,客户端可以将本地的文件通过...
sftp配置多用户访问不同目录
龙在江湖
01-22 2300
sftp配置
Centos7搭建sftp服务器,开启sftp上报日志
rzhidong的博客
08-31 3518
centos sftp 日志
CentOs7 配置sftpsftp常用命令
lixinkuan的博客
08-16 7643
配置sftp 1.创建sftp服务用户组,创建sftp服务根目录: groupadd sftp 2.创建sftp服务用户: useradd -g sftp -s /sbin/nologin -d /ftpuser ftpuser -s /sbin/nologin禁止用户通过命令行登录dsy用户名-d指定用户的登入目录此处指定为/ftpuser是因为第六步中我们限制sftp登录用户的根目录为/home/sftp,所以实际用户登录后,最终指定目录为`/home/sftp/ftpuser....
搭建sftp服务器
insis_mo的博客
07-09 2337
1、前言 sftp可以为传输文件提供一种安全的网络的加密方法。sftpftp 有着几乎一样的语法和功能。SFTP 为 SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号...
SFTP替代原FTP
06-13
使用SFTP替代原FTP的好处: 1. 更安全:SFTP是一种加密的协议,可以保护您的数据不被窃取或篡改,相对于FTP更加安全。 2. 更高效:SFTP使用SSH连接,在传输数据时,减少了连接和认证的时间,可以更快地传输数据。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值