Linux 配置SFTP,配置用户访问权限
Posted 严振杰
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 配置SFTP,配置用户访问权限相关的知识,希望对你有一定的参考价值。
版权声明:转载必须注明本文转自严振杰的博客:http://blog.yanzhenjie.com
之前我服务器是使用的Windows Server 2003
,这段时间由于访问量变大我还是机智的换成Linux
了,在搭建FTP的时候看到网上都是推荐vsftpd
,不过我不推荐这个家伙,看官且看下文。
我推荐使用SSH
自带的SFTP
,SFTP
是Secure File Transfer Protocol
的缩写,安全文件传送协议。SFTP
使用加密传输认证信息和传输的数据,所以使用SFTP
是非常安全的。SFTP
之于FTP
可以理解为Https
之于Http
,由于这种传输方式使用了加密/解密
技术,所以传输效率比普通的FTP
要低得多,如果您对网络安全性要求更高时,可以使用SFTP
代替FTP
。
**本文最终的效果:**在Linux
下建立sftp-users
用户组,在该组下建多个用户,禁止该组所有用户ssh
远程登录服务器,但是允许该组所有用户登录sftp
,并只能访问自己的目录及子目录中的文件。
本文以admin
用户为例,下面出现的admin
均指该用户或者该用户目录。
安装ssh和openssh-sftp-server
其实Linux
发行版基本都是安装了OpenSSH
的,不过我们这里还是确认一下是否安装,
一般我们需要安装openssh-server
、openssh-sftp-server
,所以我们检查是否安装了SSH。
- Ubuntu检查是否安装了OpenSSH
dpkg --get-selections | grep openssh
- CentOS检查是否安装了OpenSSH
# 以yum方式安装的:
yum list installed openssh
# 以rpm包安装的:
rpm -qa | grep openssh
# 以deb包安装的:
dpkg -l | grep openssh
如果已经三个包都安装了,那么你的命令行该是如下:
openssh-server installed
openssh-sftp-server installed
...
哪个没有打印就是没有安装,安装即可。
- Ubuntu 安装,依次执行以下命令,
install
后面只写没有安装的包名即可
sudo apt-get update
sudo apt-get install openssh-client openssh-server openssh-sftp-server
- CentOS 安装,
install
后面只写没有安装的包名即可
sudo yum install openssh-client openssh-server openssh-sftp-server
如果都是安装的,我们需要保证OpenSSH
的版本不得低于4.8
,因为我们要用ChrootDirectory
配置用户访问目录,所以检查下SSH
的版本,执行命令ssh -V
会打印出如下版本信息:
OpenSSH_6.6.1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f...
如果SSH
的版本低于4.8
,需要升级。
- Ubuntu升级SSH
sudo apt-get update
sudo apt-get install openssh-server
- CentOS升级SSH
sudo yum update -y openssh-server
建立用户组和用户
我们要建立一个专门管理sftp
用户的用户组,方便我们管理权限。
1、建立一个名为sftp-users
的sftp
用户组
sudo groupadd sftp-users
2、在该组建立几个需要登录sftp
的用户
新建用户名为admin
的用户:
sudo useradd -g sftp-users -m admin
修改admin
的密码:
passwd admin
然后连续两次输入你要给该用户设置的密码即可。
3、如果该用户已存在,但是不在sftp-users
组中,可以移动用户到改组
usermod –g sftp_users admin
配置ssh和权限
1、打开/etc/ssh/sshd_config
文件
2、修改X11Forwarding
的值为no
,原来可能是:X11Forwarding yes
,现在修改为X11Forwarding no
,如果X11Forwarding
不存在,就在文件最后添加上面的代码。
修改AllowTcpForwarding
的值为no
,原来可能是AllowTcpForwarding yes
,现在修改为AllowTcpForwarding no
,如果AllowTcpForwarding
不存在,就在文件最后添加上面的代码。
3、修改Subsystem sftp
为internal-sftp
Subsystem sftp /usr/libexec/openssh/sftp-server
# 或者
Subsystem sftp /usr/lib/openssh/sftp-server
现在修改为:
Subsystem sftp internal-sftp
4、在文件末尾增加内容
Match Group sftp-users
ChrootDirectory %h
ForceCommand internal-sftp
Match Group sftp-users
这一行是指定以下的子行配置是匹配sftp-users
用户组的,多个用户组用英文逗号分隔。ChrootDirectory %h
该行指定Match Group
行指定的用户组验证后用于chroot
环境的路径,也就是默认的用户目录,比如/home/admin
;也可以写明确路径,例如/data/www
。ForceCommand internal-sftp
该行强制执行内部sftp
,并忽略任何~/.ssh/rc
文件中的命令。
这里要特别注意,因为ChrootDirectory %h
模式,所以我们等下要设置sftp-users
中的所有用户的用户目录权限为root
拥有,否则sftp-users
组中的用户无法用sftp
登录。
修改sftp-users
用户组用户目录权限
上面说了,因为使用了ChrootDirectory %h
,现在来修改权限。
1、修改权限为root
用户拥有
chown root /home/admin
2、修改权限为root
可读写执行,其它用户可读
chmod 755 /home/admin
3、重启ssh,登录sftp
sudo service ssh restart
现在就可以使用sftp
登录了,但是我们发现,我们不能上传文件,那是因为登录后默认是用户目录,比如/home/admin
,但是该目录是root
用户拥有,因此我们还要修改权限。
注意:centos7重启ssh的命令是
sudo systemctl restart sshd.service
,另外可以设置ssh为开机启动,命令是sudo systemctl enable sshd.service
。
4、在用户目录下建立子目录,让sftp-users
中的用户可读写文件
我们现在在/home/admin
目录下新建一个upload
文件夹:
cd /home/admin/
mkdir upload
5、授权upload
文件夹读写
让子文件夹upload属于admin
chown admin /home/admin/upload
让子文件夹upload被admin读写
chmod 755 /home/admin/upload
重启ssh,登录sftp
现在全部都配置完了,如果在上面第三步没有重启ssh
的话,现在重启后既可以登录使用了。
sudo service ssh restart
centos7.x的系统如果执行上面这个命令提示不存在,执行:
sudo systemctl restart sshd
Windows
登录sftp
推荐使用WinScp,Linux
用命令即可,Mac
推荐使用Yummy FTP
。
版权声明:转载必须注明本文转自严振杰的博客:http://blog.yanzhenjie.com
以上是关于Linux 配置SFTP,配置用户访问权限的主要内容,如果未能解决你的问题,请参考以下文章