SFTP配置

配置SFTP用户:禁止SSH登录并限制根目录
原创 已于 2023-03-24 16:37:37 修改 · 3.6k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2022-03-10 13:26:43 首次发布

创建用户 sftpuser,并禁止ssh登录,不创建家目录

useradd -s /sbin/nologin -M sftpuser   创建用户

passwd sftpuser    设置密码

如果是已经创建好的用户,需要

usermod -m -d  /  sftpuser

把用户sftpuser的家目录变成/

创建根目录,所有sftp用户都将在该目录下活动。

mkdir /app/iwshome/ftp

设置目录权限,目录的权限设定有两个要点:

目录开始一直往上到系统根目录为止的目录拥有者都只能是root

目录开始一直往上到系统根目录为止都不可以具有群组写入权限,建议755,设置成777会报错

chown root:root  /app/iwshome/ftp

chmod 755 /app/iwshome/ftp

在创建好的更目录下创建新的目录

设置用户sftpuser,如果设置拥有者为root,表示该目录sftpuser没有权限读写

若需要对该目录拥有读写权限,设置权限:chown sftpuser:sftpuser /app/iwshome/ftp

配置sshd_config 

注释掉

#Subsystem sftp /usr/libexec/openssh/sftp-server

添加

Subsystem sftp internal-sftp  

指定使用sftp服务使用系统自带的internal-sftp,如果不添加,用户无法通过sftp登录。

配置完这条就结束,那么sftp用户既可以ssh登录也可以sftp登录

配置下面的就会禁止ssh登录

添加在配置文件末尾

Match User sftpuser            #匹配用户,如果要匹配多个组,多个组之间用逗号分割

ChrootDirectory   /app/iwshome/ftp                 #用chroot将指定用户的根目录,可以使用%u设账号名如/app/iwshome/ftp/%u,也可以使用%h代表用户家目录如直接%h

ForceCommand internal-sftp                           #指定sftp命令

X11Forwarding no

AllowTcpForwarding no

##这两行,如果不希望该用户能使用端口转发的话就加上,否则删掉

Match User只是设置用户只能通过sftp登录,不能ssh登录,不是设置哪些用户可以sftp

Allowuser 设定用户白名单,不在名单中的用户不能使用sftp

重启sftp服务 

service sshd restart 

注意事项 

如果用户原本有家目录如

sftpuser用户在/etc/passwd有家目录/home/sftpuser

使用ChrootDirectory   /app/iwshome/ftp  这个参数是指定一个新的根目录

最后进入的路径为/app/iwshome/ftp/home/sftpuser

此路径不存在,所以会出现问题,最好把家目录删除或者设置为/或者使用%h

SFTP共享配置
beck_li的博客
06-13 1266
一、 SFTP相关命令及配置 1 1、 SFTP相关命令 1 2、 配置内容说明 1 二、SFTP实例 2 1、配置root帐号登录SFTP 2 1.1 备份sshd配置文件 2 1.2 修改sshd配置文件 2 1.3 重启sshd服务 2 1.4 使用其他电脑登录sftp验证 2 2、配置限制ssh登录的sftp用户 2 2.1创建活动目录 2 2.2新建用户 3 2.3 配置sshd配置文件 3 2.3修改sshd配置文件 3 1.5 重启sshd服务 3 1.6 使用其他电脑登录sftp验证 3
sftp配置
chenjiangyu的博客
12-05 741
Sftp配置 操作环境是centos7 1.添加用户组 2.添加用户并设置为sftp组 //-g:加入主要组 -s指定用户登入后所使用的shell -M:不要自动建立用户的登入目录 3.修改sftp2用户的密码,密码为sftp2 4.创建sftp用户的根目录和属主.属组,修改权限(755) 5.在sftp的目录中创建可写入的目录
linux系统配置sftp服务器详解
11-22
该文档介绍了如何在linux系统配置sftp服务器的步骤,大家感受一下。
Linux ssh/scp/sftp命令使用及免密登录配置
最新发布
摩霄志在潜修羽,会接鸾凰别苇丛
09-28 1518
本文介绍了SSH相关命令的用法:1. ssh命令用于安全远程登录,支持端口指定、密钥验证等功能,可通过命令格式ssh [options] destination实现远程登录或执行命令;2. scp命令基于SSH协议实现安全文件传输,支持递归复制和保持文件属性;3. sftp提供交互式安全文件传输,支持上传下载、目录操作等;4. 详细说明了SSH免密登录的配置流程:生成密钥对、复制公钥到服务端,实现认证机制。文中包含各命令的常用选项解析和典型应用示例,为系统管理员提供了实用的SSH工具使用指南。
sftp服务器配置
weixin_30949361的博客
08-19 859
环境依赖:openssh-server >=4.8 //ssh -V 查看 安装环境: centos6,centos7 1.创建用户组 sftp groupadd sftp 2.创建登录用户 useradd -G sftp -s /sbin/nologin test //禁止用户ssh登录 passwd test 3.修改ssh登录配置...
sftp详细配置
2301_77508322的博客
12-14 3132
sftp详细配置
Linuxsftp配置之密钥方式登录详解
09-15
**Linuxsftp配置之密钥方式登录详解** 在Linux环境中,为了提高文件传输的安全性,通常会使用sftp(Secure File Transfer Protocol)代替传统的FTP或vsftp,因为sftp基于SSH(Secure Shell)协议,可以提供加密的...
华为交换机SFTP配置与文件传输操作指南
qq_58755304的博客
05-12 1716
华为交换机支持SFTP(SSH文件传输协议),提供加密数据传输,适用于配置文件备份、系统升级、日志下载等场景。配置步骤包括基础网络设置、启用SSH服务、配置AAA认证、生成RSA密钥对及启用SFTP服务。客户端可通过SecureCRT等工具连接,使用SFTP命令进行文件传输。常见问题如连接被拒绝或认证失败,可通过检查SSH服务状态、用户配置及网络连通性解决。安全加固建议包括修改默认端口、启用ACL限制、禁用弱加密算法及启用日志记录。典型应用场景包括批量升级交换机软件,操作前建议备份配置并在非业务时段进行。
SFTP配置读取加密文件并解析处理
qq_45864011的博客
02-27 825
通过SFTP读取加密文件并解析处理
精选资源
freeSSHd配置sftp服务器.doc
06-07
【免费SSHd配置SFTP服务器】 在IT领域,文件的安全传输是至关重要的,尤其是在企业环境中。免费SSHd(FreeSSHD)是一款适用于Windows系统的SFTP服务器软件,它提供了安全的文件传输服务,支持通过SSH(Secure Shell...
NetOps-Python实现网络设备SFTP配置
03-06
NetOps-Python实现网络设备SFTP配置
sftp 配置
baidu_33615716的博客
04-10 346
1. 创建账号及目录 groupadd sftp useradd -g sftp -s /sbin/nologin -M sftp passwd sftp mkdir sftp chown root:sftp sftp cd sftp/ mkdirfile chown sftp:sftp file/ chmod a+w sftp -R sftp chmod 755 sf...
SFTP 安装与配置
u011250186的博客
06-26 2790
SFTP 安装与配置
【Liunx常用操作】配置sftp服务器(用户独立目录&用户共享目录)
绝世灬英俊
09-05 8959
超详细介绍如何部署sftp服务器,记得收藏!
sftp的安装配置
u011250186的博客
06-26 1235
sftp的安装配置
SFTP配置、连接及挂载教程
热门推荐
baidu_36644422的博客
07-12 1万+
本教程结合作者实际的操作经历,将常用的SFTP配置、连接及挂载教程进行了汇总,并对一些不常见的配置细节进行了补充。希望本教程能帮助到有需要的人少走弯路。
Linux-centos7配置SFTP(安全文件传送协议)
记录点滴生活
06-11 6052
r是4,w是2,x是1 查看用户:cut -d : -f 1 /etc/passwd cat /etc/passwd 创建一个新用户 useradd user1 删除user1这个用户:userdel -r user1 查看用户组:cut -d : -f 1 /etc/group cat /etc/group 创建一个新用户组 groupadd group_name 删除一个用户组 groupde...
SFTP配置限制
08-12
### 3.1 SFTP 文件上传大小限制的原因及解决方法 SFTP 本身并不直接限制文件上传的大小,但 OpenSSH 服务器配置或系统资源限制可能导致上传失败。例如,在某些情况下,用户可能会遇到上传大文件时被中断的问题。这种限制通常与用户资源限制(ulimit)有关。可以通过以下方式进行排查和调整: - **检查用户资源限制** 使用 `ulimit -a` 命令可以查看当前用户的资源限制,其中 `file size` 项表示单个文件的最大大小(单位为 KB)。如果该值较低,可以在 `/etc/security/limits.conf` 中为特定用户或用户组设置更高的限制: ``` sftpuser soft fsize 10485760 sftpuser hard fsize 20971520 ``` 上述配置将软限制设置为 10GB,硬限制设置为 20GB。设置完成后,需要重启 SSH 服务以生效: ```bash systemctl restart sshd ``` - **系统内核限制** 某些系统可能通过内核参数限制文件大小。可以通过修改 `/etc/sysctl.conf` 中的 `fs.file-max` 参数来调整系统级别的文件大小限制,并使用以下命令应用更改: ```bash sysctl -p ``` ### 3.2 SFTP 路径限制的原因及解决方法 在 SFTP 配置中,路径限制通常由 `ChrootDirectory` 指令引起。该指令用于将用户限制在其指定的目录中,防止其访问系统其他部分。例如: ``` Match User sftpuser ChrootDirectory /app/iwshome/ftp ForceCommand internal-sftp AllowTcpForwarding no ``` 在上述配置中,用户 `sftpuser` 被限制在其根目录 `/app/iwshome/ftp` 中。需要注意的是,`ChrootDirectory` 所指定的目录及其所有父目录必须由 root 拥有,且不能有写权限,否则 SSH 服务会拒绝连接。用户主目录可以设置为 `/app/iwshome/ftp/home/sftpuser`,并在该目录中赋予用户写权限: ```bash chown root:root /app/iwshome/ftp chmod 755 /app/iwshome/ftp mkdir -p /app/iwshome/ftp/home/sftpuser chown sftpuser:sftpuser /app/iwshome/ftp/home/sftpuser ``` - **目录权限设置** 如果用户在上传文件时提示“权限被拒绝”,应检查目标目录的权限设置。可以使用 `ls -l` 查看目录权限,并使用 `chmod` 或 `chown` 修改权限。例如,为特定用户组增加写权限: ```bash chmod g+w /app/iwshome/ftp/upload ``` 或者更改目录所有者: ```bash chown sftpuser:sftpuser /app/iwshome/ftp/upload ``` ### 3.3 SFTP 用户安全限制与管理 为了进一步提升安全性,可以结合用户组管理,对多个 SFTP 用户进行统一限制。例如,创建一个专用用户组 `sftponly`,并将所有 SFTP 用户加入该组。然后在 SSH 配置中使用 `Match Group` 指令进行统一限制: ``` Match Group sftponly ChrootDirectory /app/iwshome/ftp ForceCommand internal-sftp AllowTcpForwarding no ``` 这种方式可以避免为每个用户单独配置,提高可维护性。 此外,可以通过日志记录来监控用户行为。在 `internal-sftp` 指令中添加 `-f AUTH -l INFO` 参数,可以将操作日志记录到系统认证日志中(如 `/var/log/auth.log`): ``` Subsystem sftp internal-sftp -f AUTH -l INFO ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值