sftp 是 Secure File Transfer Protocol 的缩写,即安全文件传送协议,可为传输文件提供一种安全的加密方法。
sftp 为 SSH 的一部分,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的 FTP 要低,如果对网络安全性要求高,可使用 SFTP 代替 FTP。
因为安全需要,有时需要配置sshd以使得只允许sftp登录,而同时不允许ssh直接登录。
以下操作步骤在CentOS 7.6实际测试通过,可放心参考使用。
■ 添加用户组sftpgroup
groupadd sftpgroup
■ 添加用户sftpuser
useradd -g sftpgroup -d /home/sftp -s /sbin/nologin sftpuser
-s 指定不允许ssh登陆
■ 修改用户密码
passwd sftpuser
■ 配置sshd_config文件
vim /etc/ssh/sshd_config
增加或修改如下配置:
Subsystem sftp internal-sftp
Match Group sftpgroup
ChrootDirectory /home/sftp
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Match Group sftpgroup 指定以下的子行配置是匹配 sftpgroup 用户组的。Match user userA,userB 则是匹配用户
ChrootDirectory /data/sftp/%u 设定用户访问的根文件夹。%h 代表用户 home 目录,%u 代表用户名
ForceCommand internal-sftp 该行强制执行内部 sftp,并忽略任何 ~/.ssh/rc 文件中的命令
AllowTcpForwarding no 是否允许 TCP 转发,默认值为 "yes"
X11Forwarding no 是否允许进行 X11 转发,默认值是 "no"
■ 设置正确的目录权限
要实现 Chroot 功能,目录权限设置非常重要,否则无法登录,给出的错误提示也很奇怪,难以排查、修正,导致踩坑半天,浪费很多时间!
以下为最佳设置实践,务必以此为准!
chown root:sftpgroup /home/sftp
chmod 755 /home/sftp
可以看到,ChrootDirectory的目录属主必须为root,属组必须为sftpgroup,其他用户或用户组为"只读+执行"
■ 重启sshd服务
systemctl restart sshd
■ 此时可以sftp登录
[root@node1:1 /home]# sftp sftpuser@node1
sftpuser@node1's password:
Connected to node1.
sftp> ls
sftp>
sftp>
sftp> pwd
Remote working directory: /
此时可以在sftp的根目录下建立指定用户的读写目录,即可正常使用sftp了,以下操作可参考。
sftp> mkdir test
Couldn't create directory: Permission denied
sftp> exit
[root@node1:1 /home]# cd /home/sftp
[root@node1:1 /home/sftp]# mkdir upload
[root@node1:1 /home/sftp]# chown -R sftpuser:sftpgroup upload
[root@node1:1 /home/sftp]# chmod -R 700 upload
[root@node1:1 /home/sftp]# ll
总用量 0
drwx------ 2 sftpuser sftpgroup 6 12月 22 10:55 upload
[root@node1:1 /home/sftp]# sftp sftpuser@node1
sftpuser@node1's password:
Connected to node1.
sftp> pwd
Remote working directory: /
sftp> cd upload
sftp> mkdir test
sftp> ls
test
作者后注:
网上搜到好几个类似的文章,都不能直接参考使用,再次验证了网文水平的参差不齐,真是让人头疼,浪费大家的时间。所以建议大家发出来的网文,一定要保证是确实可参考使用的,否则只会让人瞧不起