ssh和sftp服务分离
原理
创建两个‘sshd’进程,一个作为ssh服务的deamon,一个作为sftp服务的deamon.
ssh服务和sftp服务分离之前:
系统内开启ssh服务和sftp服务都是通过/usr/sbin/sshd这个后台程序监听22端口,而sftp服务作为一个子服务,是通过/etc/ssh/sshd_config配置文件中的Subsystem实现的,如果没有配置Subsystem参数,则系统是不能sftp访问的。
1.两个deamon
ln -sf /usr/sbin/sshd /usr/sbin/sftpd
#要实现ssh和sftp分离,分别监听不同的端口,可以通过创建两个‘/usr/sbin/sshd’后台程序,一个监听22端口(ssh),一个监听20022端口(sftp),为了区分ssh和sftp服务的后台程序,这里将ssh服务的后台程序保持为/usr/sbin/sshd,而将sftp服务的后台程序改为/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一个链接,其内容完全相同(ln -sf /usr/sbin/sshd /usr/sbin/sftpd)。
2.两个service
cp /usr/lib/systemd/system/sshd.service /etc/systemd/system/sftpd.service
#SLES12使用systemd管理系统服务,ssh服务对应/usr/lib/systemd/system/sshd.service文件,实现sftp服务时可以将/usr/lib/systemd/system/sshd.service 复制到 /etc/systemd/system/sftpd.service,然后修改sftpd.service文件内容。(使用修改好的sftpd.service文件即可)
3.其他需要分离的文件
#1.拷贝/etc/pam.d/目录下的sshd文件,放到同目录,命名为:sftpd
cp /etc/pam.d/sshd /etc/pam.d/sftpd
#2.拷贝/etc/ssh/目录下的sshd_config文件,放到同目录,命名为:sftpd_config
cp /etc/ssh/sshd_config /etc/ssh/sftpd_config
#3.对service和rcsftpd进行软连接
ln -sf /usr/sbin/service /usr/sbin/rcsftpd
#4.拷贝/etc/sysconfig/目录下的sshd文件,放到同目录,命名为:sftp
cp /etc/sysconfig/sshd /etc/sysconfig/sftp
#5.拷贝/var/run/目录下的sshd.pid文件,放到同目录,命名为:sftpd.pid
cp /var/run/sshd.pid /var/run/sftpd.pid
4.总结实现ssh和sftp分离的相关文件及操作
ln -sf /usr/sbin/sshd /usr/sbin/sftpd
cp /usr/lib/systemd/system/sshd.service /etc/systemd/system/sftpd.service
cp /etc/pam.d/sshd /etc/pam.d/sftpd
cp /etc/ssh/sshd_config /etc/ssh/sftpd_config
ln -sf /usr/sbin/service /usr/sbin/rcsftpd
cp /etc/sysconfig/sshd /etc/sysconfig/sftp
cp /var/run/sshd.pid /var/run/sftpd.pid
#至此,我们已经实现了两个服务分离。
#但是,ssh服务和sftp服务并没有真正的分离,此时已然可以通过22号端口使用ssh服务和sftp服务,而新开的20022端口也可以使用ssh服务(ssh -p 20022 username@serverip )和sftp服务(sftp -o Port=20022 username@serverip )。编辑/usr/sbin/sshd的配置文件/etc/ssh/sshd_config文件,将Subsystem参数注释掉,然后重启sshd
5.修改复制好的配置文件
5.1修改/etc/systemd/system/目录下sftpd.service文件
vim /etc/systemd/system/sftpd.service
Description=sftpd server daemon
Type=notify
EnvironmentFile=/etc/sysconfig/sftp
ExecStart=/usr/sbin/sftpd -f /etc/ssh/sftpd_config
5.2修改/etc/ssh/目录下的sftpd_config文件
vim /etc/ssh/sftpd_config
①找到第17行,将
Port 22改成Port 10202(随意端口)
②找到第38行,将
#Perm itRootLogin yes
改成 PermitRootLogin no
#就是取消该行的注释,并将yes改成no,这行参数的目的是拒绝root用户登录
③找到116行,将
#PidFile /var/run/sshd.pid
改成
PidFile /var/run/sftpd.pid
#就是取消该行的注释,并将sshd.pid改成sftpd.pid
④找到第132行,将
Subsystem sftp /usr/libexec/openssh/sftp-server注释掉
然后在下面添加以下内容
Subsystem sftp internal-sftp
ChrootDirectory /qwjk/upload/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Match User qwjk_system
ChrootDirectory /qwjk
X11Forwarding no
AllowTcpForwarding no
5.3清空/var/run/目录下的sftpd.pid文件内容
/var/run/sftpd.pid(将内容删掉)
6.添加sftp的专用账户
useradd -s /bin/false xxx或 useradd -s /sbin/nologin xxx
7.重启sftpd服务
systemctl daemon-reload
systemctl start sftpd