sftp配置

最新推荐文章于 2024-06-21 14:17:41 发布
最新推荐文章于 2024-06-21 14:17:41 发布
阅读量668 收藏
点赞数
分类专栏: OS.Linux 文章标签: 运维 shell 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/desert3/article/details/84294509
版权
[b]限制sftp用户([color=red]必须是操作系统用户[/color])的访问权限[/b]
不设置ChrootDirectory,通过设置文件、文件夹的权限来限制户sftp用户、用户组:[url=http://www.esscotti.com/resources/articles/41-general/106-setting-up-a-user-with-restricted-sftp-access]Setting up a user with restricted SFTP access[/url]

1,查看当前ssh版本,如果版本过低,使用yum install openssh来重新安装或者yum update openssh来更新到最新的ssh版本
ssh -V
OpenSSH_5.3p1,OpenSSL 1.0.0-fips 29 Mars 2010

2,备份配置文件:/etc/ssh/sshd_config
cp sshd_config sshd_config.bak

3,添加sftp用户、组、用户主目录
mkdir /sftp #sftp 用户home主目录的根地址(属主和属组都是root,权限775)
groupadd sftpgroup1
useradd -g sftpgroup1 -d /sftp/dir1 -s [color=blue]/lib/xx/sftp-server[/color] sftpuser1 #sftp用户(每个sftp用户有自己特定的组,特定的home目录,并且shell指定到sftp-server)
passwd sftpuser1

#在相应的用户home目录/sftp/dir1下增加子目录upload(读写、上传用)和public(只读、下载用):
cd /sftp/dir1
mkdir /sftp/dir1/upload
mkdir /sftp/dir1/public
chmod 770 /sftp/dir1/upload
chmod 750 /sftp/dir1/public
rmdir xxx #删除目录
chmod 750 /sftp/dir1
chown –R root:sftpgroup1 /sftp/dir1

4,修改配置文件:/etc/ssh/sshd_config ([color=red]关键字大小写不敏感,值大小写敏感[/color])
Match group sftpgroup1 #定义属于这个组的用户才能登录,多个组之间用逗号分隔
ChrootDirectory /sftp #该目录必须有XX5权限,且属主为root
X11Forwarding no
AllowTcpForwarding no
[color=blue]ForceCommand /lib/xx/sftp-server[/color] #保存退出

5,重启sshd守护进程
service sshd restart
sftp work@ip

chroot后,如果用putty登录的话,会提示错误:Could not chdir to home directory /sftp/dir1: Permission denied
chroot(Change Root):就是改变程式执行时所参考的根目录位置。

参考:[url=http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny]Chrooted SSH/SFTP Tutorial (Debian Lenny) [/url]

[b]问题1:[/b] ssh任何用户都可以登录,而[color=red]sftp只能用root登录[/color]。winscp提示错误:Connection has been unexpectedly closed. Server sent command exit status 1. Cannot initialize SFTP protocol. Is the host running a SFTP server?
解决: sftp的用户必须是操作系统用户,在CentOS中需要将用户的shell指向sftp-server后,才能使用该用户登录sftp服务器。
find / -name *sftp*
usermod -s /lib/xx/sftp-server sftpuser1
或者手动修改配置文件 vim /etc/passwd 中sftp用户的shell
2020-12-06
Q543068669的专栏
12-06 419
archlinux sshd 备份 # $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/us...
linux配置sftp多密钥,sftp配置多用户权限&& 密钥登录
weixin_29491655的博客
05-17 945
工作需要,用户上传文件到目录下,用ftp不太安全,选择sftp。让用户在自己的home目录下活动,不能ssh到机器进行操作。下面开始干活。 查看ssh版本 ssh -V,我的系统是CentOS6.4 ssh版本是5.3(大于4.8)的没有问题。0, 创建用户目录root权限下创建用户和属组都是rootmkdir -p /opt/sftp/dir1/{upload,public}1,创建 grou...
无法初始化SFTP协议。主机是SFTP服务器吗
A book super
03-04 8203
winscp 报错:“无法初始化SFTP协议。主机是SFTP服务器吗?” 解决办法: 将Session界面的File protocol:设为SCP即可 (默认为SFTP) 本文转自linux博客51CTO博客,原文链接:http://blog.51cto.com/yangzhiming/1215374 ...
Linux技术,winSCP连接服务器超时故障解决方案
知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系!
01-07 2709
通过阅读 man sshd_config 手册得知, ForceCommand 字段将会指定用户登录后所执行的命令(即: 该用户仅能通过 SFTP 登录系统,而无法执行 Bash,这不是我们想要的,但思路已经清晰了)事实再次证明,中文搜索报错信息是极大的错误,我在此大概浪费了将近1个小时,毫无进展,所有中文搜索到的解决方案均无法解决问题;将 internal-sftp 作为关键字,继续在 sshd_config 的 man 手册中进行搜索,可以看到。由于是客户业务系统,以下输出省略了大量的敏感内容信息。
禁用Winscp连接的解决办法
fbysss的专栏
07-13 8059
禁用Winscp连接的解决办法
关于navicat报错:Server unexpectedly closed network connection
热门推荐
qq_42662411的博客
03-10 1万+
破解navicat后 使用navicat连接本地虚拟机 发现出现以下错误 在百度以及谷歌上面查找很多博客 发现我这里的报错信息跟他们不一样 解决方法 1-打开本地虚拟机 进入mysql mysql -uroot -pqwe123 2-执行代码use mysql 然后发现这里有个问题 用户root的权限仅在localhost 没有为%(允许所有用户访问) root只能在本地连接loca...
Linux 下sftp配置之密钥方式登录详解
09-15
**Linux下sftp配置之密钥方式登录详解** 在Linux环境中,为了提高文件传输的安全性,通常会使用sftp(Secure File Transfer Protocol)代替传统的FTP或vsftp,因为sftp基于SSH(Secure Shell)协议,可以提供加密的...
SFTP配置读取加密文件并解析处理
qq_45864011的博客
02-27 733
通过SFTP读取加密文件并解析处理
NetOps-Python实现网络设备SFTP配置
03-06
NetOps-Python实现网络设备SFTP配置
sftp配置全过程[参照].pdf
10-12
默认配置文件路径为`/etc/vsftpd/vsftpd.conf`,这与许多其他服务类似,如sendmail、httpd和ssh,它们都有各自独立的配置目录,以提高管理和安全性。 **FTP工作模式** FTP有两种工作模式:PORT FTP和PASV FTP。 1. ...
winscp登录,提示无法初始化SFTP协议。主机是SFTP服务器吗?
Ccmanito的博客
06-21 1779
最后发现是账号的密码过期了,通过xshell远程登录后,提示密码过期,修改密码后,再打开WINSCP,编辑修改密码,保存,即可正常登录。今天winscp登录,突然提示“无法初始化SFTP协议。主机是SFTP服务器吗?看了网上说的把sftp,改成scp,试了一下仍然不行。
WinSCP, OpenSSH连接两台win电脑时,报错“无法初始化SFTP协议。主机是SFTP服务器吗?”
mw3438的博客
06-14 8052
WinSCP, OpenSSH连接两台win电脑时,报错“无法初始化SFTP协议。主机是SFTP服务器吗?”
无法初始化sftp协议。主机是sftp服务器吗?_WinSCP v5.15.3 免费的 开源图形化 SFTP 客户端...
weixin_39758696的博客
12-04 2457
WinSCP 是一个 Windows 环境下使用的 SSH 的开源图形化 SFTP 客户端。同时支持 SCP 协议。它的主要功能是在本地与远程计算机间安全地复制文件,并且可以直接编辑文件。主要功能WinSCP 可以执行所有基本的文件操作,例如下载和上传。同时允许为文件和目录重命名、改变属性、建立符号链接和快捷方式。使用 WinSCP 可以连接到一台提供 SFTP (SSH File Transfe...
Linux服务器下搭建SFTP服务
iijik55的博客
08-20 2195
由于/data/sftpuser 是root创建的,权限755,如果sftpuser直接sftp过去是没有权限写入,因此,需要/data/sftp下创建新目录并给与qhlh权限。ChrootDirectory /data/sftp #设定属于用户组sftp的用户访问的根文件夹如设置 /data/sftp 作为sftpuser 的sftp根目录。ForceCommand internal-sftp #指定sftp命令,强制执行内部sftp,并忽略任何 ~/.ssh/rc文件中的命令。
Linux无法初始化sftp协议,winscp:无法初始化SFTP协议。主机是SFTP服务器吗?
weixin_29864831的博客
05-15 1740
今天装了个CentOS6.0的虚拟机,不知道是否因为选了“basic server”安装的原因putty能够正常访问,但是用winscp连接是时候却出现了如下错误“无法初始化SFTP协议。主机是SFTP服务器吗?”到网上找也没找到一个可靠的解决方法,甚至下载了最新版本的winscp也照旧后来在winscp官方网站看到有人说是不是协议没有选成sftp但是看了我的却是已经默认选了sftp,而且,我也试...
解决sftp登陆不了的问题
gtqmycsdn的博客
09-04 1万+
查看/etc/ssh/sshd_config配置文件 Subsystem sftp /usrbexec/sftp-server Subsystem sftp /usr/local/opensshbexec/sftp-server Subsystem sftp /home/ecmp/temp/openssh-7.7p1/sftp-server...
[故障解决]SFTP不能连接服务器怎么办?
weixin_34378969的博客
06-06 5805
今天在跳板机上传送文件,发现使用SFTP了连接的时候,出现了这样的一个拒绝情况:登陆到这个跳板机里,使用#tail /var/log/secure,看到了拒绝的具体信息,如下:这个时候,我就需要#locate sftp-server,用locate定位一下sftp 文件,但是发现服务器竟然回答我“-bash: locate: command not found”。于是就#yu...
华三设备SFTP配置
最新发布
03-15
<think>好的,我现在需要回答用户关于如何在H3C设备上配置SFTP的问题。首先,我得回忆一下H3C设备的配置步骤,确保自己理解正确。SFTP是基于SSH的安全文件传输协议,所以配置的关键在于正确启用SSH服务,并设置相关参数。 首先,用户可能需要生成本地密钥对,比如RSA或者DSA,因为SSH依赖这些密钥进行加密。然后,需要启用SSH服务器功能,这样设备才能接受SFTP连接。接下来,创建用户并指定服务类型为SSH,同时赋予用户权限,这样用户才能登录。此外,配置VTY线路,指定使用SSH协议进行登录,这样可以保证传输的安全性。 还要考虑SSH的版本,确保使用SSH2,因为SSH1存在已知的安全漏洞。可能需要调整加密算法和主机密钥的优先级,根据引用中的信息,H3C设备默认的优先级是x509v3-ecdsa系列算法,但用户可能需要根据实际情况调整。同时,引用中提到ACL规则,可能需要配置ACL来限制访问SFTP的IP地址,比如引用4中的规则允许特定源地址。 另外,在用户认证方面,可能需要配置本地认证或者远程认证服务器,比如RADIUS或TACACS+,但用户问题可能更关注本地配置。记得在配置完成后保存配置,避免重启后丢失。 可能会遇到的问题包括SSH服务未启动、密钥生成错误、用户权限不足或者VTY线路配置不正确。需要检查这些步骤是否正确。同时,引用3提到了使用TFTP升级设备,虽然和SFTP无关,但说明文件传输在H3C设备中的重要性,可能需要对比两者的配置差异。 最后,测试配置是否成功,使用SFTP客户端连接设备,验证文件传输是否加密。如果有证书问题,可能需要按照引用5中的建议处理Java安全设置,但这种情况可能更多在客户端出现,而非设备配置本身。 总结步骤应该是:生成密钥对、启用SSH服务、创建用户、配置VTY线路、配置ACL(可选)、验证配置。需要按照这个逻辑写出详细步骤,并引用相关的参考内容,比如引用2中的SSH2协议加密算法配置,引用4的ACL规则,以及引用1中关于SSL连接的安全传输,但SFTP是基于SSH的,所以需要调整引用到正确的部分。</think>### H3C设备SFTP配置方法及步骤 SFTP(SSH File Transfer Protocol)基于SSH协议实现加密文件传输,配置过程主要涉及**SSH服务启用、用户权限配置、密钥管理**三个核心环节。以下是具体操作步骤: --- #### **一、生成本地密钥对(RSA/DSA)** SSH协议依赖密钥对实现身份验证,需首先生成设备端密钥: ```bash # 进入系统视图 <H3C> system-view [H3C] public-key local create rsa # 生成RSA密钥对(默认2048位) [H3C] public-key local create dsa # 可选,生成DSA密钥对 ``` **关键点**:密钥长度影响安全性,建议使用RSA 2048位或更高[^2]。 --- #### **二、启用SSH服务并配置参数** 1. **启动SSH服务** ```bash [H3C] ssh server enable # 全局启用SSH服务 ``` 2. **指定SSH协议版本** ```bash [H3C] ssh server version 2 # 强制使用SSH2协议(更安全) ``` 3. **配置加密算法优先级(可选)** 根据需求调整加密算法顺序(如优先ECDSA): ```bash [H3C] ssh2 algorithm cipher aes128-ctr aes256-ctr # 设置加密算法优先级 [H3C] ssh2 algorithm host-key x509v3-ecdsa-sha2-nistp256 # 指定主机密钥类型 ``` --- #### **三、创建SFTP用户及权限** 1. **新建用户并绑定SFTP服务** ```bash [H3C] local-user sftpuser # 创建用户"sftpuser" [H3C-luser-manage-sftpuser] password simple H3C@123 # 设置密码 [H3C-luser-manage-sftpuser] service-type ssh # 指定服务类型为SSH [H3C-luser-manage-sftpuser] authorization-attribute user-role network-admin # 赋予管理员权限 ``` 2. **限制用户登录方式** ```bash [H3C-luser-manage-sftpuser] authorization-attribute work-directory flash:/ # 指定可访问目录 ``` --- #### **四、配置VTY线路支持SSH协议** 1. **设置VTY终端登录方式** ```bash [H3C] line vty 0 4 # 进入VTY线路视图 [H3C-line-vty0-4] authentication-mode scheme # 使用用户名/密码认证 [H3C-line-vty0-4] protocol inbound ssh # 仅允许SSH登录 ``` --- #### **五、配置ACL限制访问源(可选)** 通过ACL限制允许SFTP连接的IP地址: ```bash [H3C] acl basic 2000 # 创建基本ACL [H3C-acl-ipv4-basic-2000] rule permit source 10.110.100.46 0 # 允许特定IP[^4] [H3C-line-vty0-4] acl 2000 inbound # 应用ACL到VTY线路 ``` --- #### **六、验证SFTP配置** 1. **保存配置** ```bash [H3C] save force # 强制保存配置 ``` 2. **客户端连接测试** 使用WinSCP或命令行工具连接设备IP,协议选择SFTP,端口22: ```bash sftp -P 22 sftpuser@192.168.1.1 # 示例连接命令 ``` --- ### §§ 1. **如何排查H3C设备SFTP连接失败?** (检查SSH服务状态、用户权限、ACL规则、密钥匹配) 2. **SFTP与SCP在H3C设备上的区别?** (SCP仅支持文件传输,SFTP支持目录管理) 3. **如何通过SFTP升级H3C交换机固件?** (参考TFTP升级步骤[^3],替换传输协议为SFTP) --- **引用说明** [^1]: SFTP通过SSH协议建立加密通道,确保文件传输安全性。 : SSH2协议默认优先使用ECDSA算法保障密钥交换安全。 : ACL规则可限制SFTP访问来源,增强网络控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值