使用chroot限制SFTP用户到主目录

最新推荐文章于 2025-04-01 09:09:48 发布
最新推荐文章于 2025-04-01 09:09:48 发布
阅读量2.3k 收藏 3
点赞数 2
分类专栏: 运维 文章标签: linux ssh
原文链接:https://www.tecmint.com/restrict-sftp-user-home-directories-using-chroot
版权
本文介绍如何在Linux中使用Chroot环境将SFTP用户限制在其主目录或特定目录内,确保服务器安全。通过创建特定组和修改SSH配置,用户只能访问授权的文件夹。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

在本教程中,我们将讨论如何将SFTP用户限制为他们的主目录或特定目录。这意味着用户只能访问其各自的主目录,而不能访问整个文件系统。

限制用户的主目录至关重要,尤其是在共享服务器环境中,这样,未经授权的用户就不会偷窥其他用户的文件和文件夹。

重要说明:还请注意,本文的目的是仅提供SFTP访问,而不提供SSH登录,通过遵循本文将拥有执行文件传输的权限,但不允许进行远程SSH会话。

建议阅读: 使用Chrooted Jail限制SSH用户访问某些目录

1. 将用户限制到主目录

在本节中,我们将创建一个名为sftpgroup的新组,并为用户帐户分配正确的所有权和权限。有两种选择将用户限制在主目录或特定目录中,我们将在本文中同时看到两种方式。

1.1 创建或修改用户和组

让我们将现有用户限制为例如tecmint他/她的主目录/home/tecmint。为此,您需要使用groupadd命令创建一个新的sftpgroup组,如下所示:

#groupadd sftpgroup

接下来,将用户“ tecmint”分配给sftpgroup组。

#usermod -G sftpgroup tecmint

例如,您也可以使用useradd命令创建一个新用户,senthil并将该用户分配给sftpusers组。

#adduser sendhil -g sftpgroup -s /sbin/nologin
#passwd tecmint

1.2 修改SSH配置文件

打开并将以下行添加到/etc/ssh/sshd_config配置文件。

Subsystem sftp internal-sftp
   Match Group sftpgroup
   ChrootDirectory /home
   ForceCommand internal-sftp
   X11Forwarding no
   AllowTcpForwarding no

保存并退出文件,重新启动sshd服务以使新更改生效。

# systemctl restart sshd
OR
# service sshd restart

如果将多个用户chroot到同一个目录,则应更改每个用户的主目录的权限,以防止所有用户浏览其他用户的主目录。

# chmod 700 /home/tecmint  or  chmod 755 /home/tecmint

1.3 验证SSH和SFTP用户登录

现在,是时候从本地系统检查登录信息了。尝试从本地系统SSH远程系统。

#SSH tecmint@192.168.1.150

这里,

  • tecmint –远程系统的用户名。
  • 192.168.1.150 –远程系统的IP地址。

输出:

tecmint@192.168.1.150's password: 
Could not chdir to home directory /home/tecmint: No such file or directory
This service allows sftp connections only.
Connection to 192.168.1.150 closed.

然后,使用SFTP访问远程系统。

# sftp tecmint@192.168.1.150

输出:

tecmint@192.168.1.150's password: 
Connected to 192.168.1.150.
sftp>

让我们检查当前的工作目录:

# sftp pwd
Remote working directory: /

# sftp ls
tecmint

2. 将用户限制到特定目录

在前面的示例中,我们将现有用户限制为主目录。现在,我们将看到如何将新用户限制为自定义目录。

2.1 创建组和新用户

创建一个新组sftpgroup。

#groupadd sftpgroup

接下来,为SFTP组创建目录,并为root用户分配权限。

#mkdir -p /sftpusers/chroot
#chown root:root /sftpusers/chroot/

管理员root属主和属组拥有查看成员目录的所有权,要确保叶子目录的父级文件目录的拥有者都是 root:root。

接下来,为每个用户创建新目录,他们将拥有对这些目录的完全访问权限。例如,我们将tecmint使用以下一系列命令创建具有正确组权限的用户及其新主目录。

# adduser tecmint -g sftpgroup -s /sbin/nologin
# passwd tecmint
# mkdir /sftpusers/chroot/tecmint
# chown tecmint:sftpgroup /sftpusers/chroot/tecmint/
# chmod 700 /sftpusers/chroot/tecmint/  or chmod 755 /home/tecmint/tecmint/

sftpgroup 属组包含 tecmint 用户,这样可以方便多个用户绑定到属组访问同一目录,如果是不同用户访问不同目录就要单独设置。这样 tecmint 用户拥有 tecmint 文件夹的所有权。

2.2 配置SSH以进行SFTP访问

在文件末尾修改或添加以下行:

#Subsystem  	sftp	/usr/libexec/openssh/sftp-server
Subsystem sftp  internal-sftp
 
Match Group sftpgroup
   ChrootDirectory /sftpusers/chroot/
   ForceCommand internal-sftp
   X11Forwarding no
   AllowTcpForwarding no

注意:问题来了,一般大家出现问题是在ChrootDirectory directory上,这个地方的目录不能直接配置到叶子目录,需要配置到他的上一级;

目录权限设置要遵循2点:

  1. ChrootDirectory 叶子目录的父级文件夹权限,属主和属组必须是 root ,叶子目录的父级文件夹的权限分配为chmod 755 parentDir;
  2. ChrootDirectory 设置上级文件夹权限,只有属主能拥有写权限,最大设置只能是755

保存并退出文件。重新启动sshd服务以使保存的更改生效。

# systemctl restart sshd
OR
# service sshd restart

就这样,您可以使用上面“验证SSH和SFTP登录”中提供的步骤登录到远程SSH和SFTP服务器进行检查。

请注意,此方法将禁用外壳程序访问,即您无法使用SSH访问远程系统的外壳程序会话。您只能通过SFTP访问远程系统,并与本地和远程系统进行文件传输。

3. 结论

现在您知道了如何在Linux中使用Chroot环境限制用户的主目录。如果您觉得这很有用,请在您的社交网络上分享此文章,并在下面的评论部分中告诉我们,是否还有其他方法可以限制用户的主目录。

4. 参考

How to Restrict SFTP Users to Home Directories Using chroot Jail
使用 chroot 监狱限制 SSH 用户访问指定目录

linuxsftp用户创建及设置其主目录
angel67406的博客
01-04 7442
请自行安装openssh。本人测试版本:openssh-clients-6.4p1-8.el7.x86_64openssh-server-6.4p1-8.el7.x86_64openssh-6.4p1-8.el7.x86_64版本查询命令:rpm -qa | grep openssh。下面为创建sftp用户,并且只能在自己的目录底下进行操作:1.创建sftp用户组   groupadd -g 10...
centos下配置SFTP限制用户访问目录
Bertram的博客
08-25 1365
centos下配置SFTP限制用户访问目录
将ftp用户限制访问在主目录
qq_50247813的博客
03-14 1227
关闭selinux、关闭防火墙。
关于sftp问题总结
最新发布
weixin_67274256的博客
04-01 346
调用root是没有相关问题,普通用户存在一定问题保证后端服务器执行和是没有问题的执行可以输出调试日志。
使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_34232363的博客
05-24 772
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用chroot机制。 在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为chrooted 监狱...
putty用ssh连接linux
striker的专栏
09-09 824
<br />一、生成密钥<br />运行下面的语句开始:(注意在普通用户中运行此命令,则产生的目录权限不用更改)<br />$ssh-keygen -b 1024 -t dsa<br />Generating public/private dsa key pair.<br />Enter file in which to save the key (/root/.ssh/id_dsa):<br />(密钥对将要存的路径,括号内为默认)<br />Created directory ‘/root/.ssh’.
使用Chroot限制SSH用户的访问
weixin_44308897的博客
06-24 643
使用Chroot限制SSH用户的访问
ChrootDirectory限制SFTP登录的用户只能访问指定目录且不能进.docx
11-01
这里的 `--home` 选项指定了用户主目录为 `/sftp/sftpuser1`,而 `--shell /bin/false` 选项指定了用户的 Shell 为 `/bin/false`,这将禁止用户使用 SSH 登录。 二、配置 SSH 服务 接下来,需要编辑 SSH 服务的...
linux sftp创建多用户,Linux 下创建 sftp 用户并限定目录
weixin_42450002的博客
04-28 1029
Linux 下创建 sftp 用户并限定目录1、创建 sftpUser 用户组[root@XXX ~]# groupadd sftpUser2、创建 sftpUser 用户并指定目录[root@XXX ~]# useradd -d /home/sftpUser -s /sbin/nologin -g sftpUser sftpUser3、为新用户添加密码[root@XXX ~]# passwd s...
Centos配置SFTP用户
06-19
- 对于SFTP用户使用`chroot`指令限制其只能在其主目录下活动,通过指定`ChrootDirectory`来实现。 - 设置SFTP用户的密码,并通过SSH登录测试用户权限。 4. 权限控制: - “Sftponly”表示用户仅拥有SFTP服务的...
SFTP 限定登录用户在指定目录
xueba207的专栏
05-16 4808
使用sftp做文件传输时,经常遇到将登录用户限定到制定目录的情景, 网上乱找了一堆资料,总算实现了,记录一下。
开启sftp日志并限制用户访问目录
xu123_chao的博客
01-06 2742
开启sftp日志并限制sftp访问目录 文章目录开启sftp日志并限制sftp访问目录1. 开启sftp日志1.1 修改sshd_config1.2 修改syslogs1.3 重启服务查看日志2 限制sftp用户操作目录2.1 前提说明2.2 home目录做根目录2.3 单独创建目录做根目录3 实操3.1方法1实操3.2 方法2实操 1. 开启sftp日志 1.1 修改sshd_config vim /etc/ssh/sshd_config 注释掉Subsystem行,然后写入新Subsystem,信
sftp限定用户权限指定目录
lxyoucan的博客
11-25 3318
sftp
Linuxsftp服务器限制用户访问路径
m0_61929507的博客
03-02 1132
注: (要先找到nologin,在/sbin或者/usr/sbin路径下)以下是一个简单举例:(在sftp服务器上创建用户并且限制访问路径)修改权限:sudo chmod 755 /home/user_A。创建用户目录:sudo mkdir /home/user_A/
Vsftp(vsftpd)如何配置可以把用户限制在自己的home目录
letian003的专栏
05-05 3903
如何有选择的把用户限制在家目录中呢?我们要自己建一个文件,在/etc目录中 #touch /etc/vsftpd.chroot_list以beinan和nanbei这两个用户限制在他们所在的家目录中,而其它的FTP用户不做此限制。 在vsftpd.chroot_list这个文件中,把beinan和nanbei添上去就行,注意,每个用户占一行。 beinan nanbei然后改/etc/vsftpd/vsftpd.conf文件,找如下的两行 #chroot_list_enable=YES
说说sftpchroot
weixin_34064653的博客
11-13 598
sshd_config的配置: #Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp internal-sftp Match User a ChrootDirectory /home/logs chown root:a /home/logs chmod g-w /home/logs...
SFTP用户,每个角色只能控制自己的子目录
m0_60330635的博客
05-17 896
linux 文件服务器需要创建多个sftp用户,每个用户分别给予各个厂商,用户之间无权限操作对方目录的权限。例如:sftp1用户看不到sftp2用户的操作目录,也无权限操作对方的目录以及数据文件。基于sftp组,每个用户之间无操作对方目录以及文件的权限,但是,双方用户目录可见。例如:sftp1用户无法操作sftp2用户目录以及下面的数据文件,相反,一样!基于sftp用户,每个用户之间操作目录不可见,无操作对方目录以及文件的权限。例如:sftp1用户可以看到sftp2用户的操作目录,只是无权限访问。
FTP 限制用户只访问HOME目录
jj3341332的博客
09-10 8535
在/etc/vsftpd/下有个文件vsftpd.conf 修改下面这三行 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list 如果设置为 chroot_local_user=YES chroot_list_ena
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值