Linux配置SFTP用户的详细过程

已于 2024-11-04 15:06:29 修改
阅读量2.5k 收藏 28
点赞数 24
分类专栏: Linux Life 文章标签: linux 运维 服务器 sftp
于 2023-11-28 23:50:07 首次发布
本文为博主原创文章,转载请显著位置标明出处,未经博主允许不得用于商业目的。
本文链接:https://blog.youkuaiyun.com/qq_44831907/article/details/134679681
版权

0. 背景

Linux机器上已有路径/data/tomcat/apache-tomcat-8.5.96/webapps/webroot,需要在该路径之下配置一个目录对外暴露给业务人员使用。业务人员使用sftp协议上传文件。

下面是相关配置:

  • SFTP 用户名:iios

  • SFTP主目录:/data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp

  • iios用户的sftp目录(用户根目录):/data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios

  • iios用户sftp上传目录:/data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios/upload

注意:下面的命令皆在root用户下操作完成

1. 创建sftp相关目录 && 生成 sftp用户

创建目录:
  • mkdir -p /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios/upload

Q:为什么创建了 /sftp/iios/upload 三级目录呢?

A:当sftp的方式用户登录到用户根目录(/sftp/iios/)后,根目录是无法写入的。所以还需要在用户根目录下创建upload目录。详细解释在文章末尾

创建角色:

  • 创建用户组:groupadd sftp

  • useradd -g sftp -M -s /sbin/nologin iios

    • -g :指定用户组
    • -M :不要创建该用户的家目录
    • -s:指定该用户登录后使用的shell

有些文章/sbin/nologin 与 /bin/false 区别

  • 配置该用户密码:passwd iios

2. 修改sftp 配置文件

  • vi /etc/ssh/sshd_config

    # Subsystem     sftp    /usr/libexec/openssh/sftp-server   #注释掉此行并添加下列多行
Subsystem sftp internal-sftp
Match User iios                  
ChrootDirectory /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios      #chroot目录,按需自定义
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

    注意:ChrootDirectory 目录不能直接配置到用户sftp上传目录,需要配置到上一级即用户根目录

  • 重启ssh服务:service sshd reload or systemctl restart sshd

3. 配置sftp目录权限

注意:ChrootDirectory 的权限设定有两个非常重要的规则

  • 从该目录开始上钻到系统根目录为止的目录的所有者有且仅是root
  • 从该目录开始上钻到系统根目录为止的目录都不能具有群组写入权限

如果你的目录层级较多,记得逐级检查!!!

按上述规则设置SFTP主目录与用户根目录的目录权限

  • chown root:root /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/
  • chown root:root /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios
  • chmod 755 /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/
  • chmod 755 /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios

将iios用户sftp上传目录(upload)的目录权限属主设置为 iios ,这样iios才可以上传文件

  • chown iios:sftp data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios/upload
  • chmod 755 /data/tomcat/apache-tomcat-8.5.96/webapps/webroot/sftp/iios/upload

4. 测试sftp

  • 终端中测试sftp 是否能登录: sftp iios@localhost …
  • 之后使用sftp工具上传文件

5. QA

  • Q1:为什么创建了 /sftp/iios/upload 三级目录?

  • A1 :1. sshd_config配置文件的ChrootDirectory 配置的路径属主必须是root且只有属主拥有写权限,即ChrootDirectory (…/sftp/iios)最大权限也只有755
    2. 即在iios的用户根目录中,iios用户没有写入权限
    3. 为了保证iios有写入权限,只能在用户根目录再创建一个子目录(/upload),由于该目录不受规则约束,所以可以自由设置权限例如777

  • Q2 : 为什么会有ChrootDirectory 的规则(属主和写入权限)?文档出处在哪里?

  • A2: 终端输入 man sshd_config, Description 下翻到 ChrootDirectory 条目:原文摘录如下

    ChrootDirectory
    Specifies the pathname of a directory to chroot(2) to after authentication. At session startup sshd(8) checks that all components of the pathname are root-owned directories which are not writable by any other user or group.
    After the chroot, sshd(8) changes the working directory to the user’s home directory. Arguments to ChrootDirectory accept the tokens described in the TOKENS section.

    翻译上文中:

    • sshd会将ChrootDirectory 配置的路径的所有目录检查是否是 root所有且其他用户或其他组没有写入权限
    • sshd会将ChrootDirectory 配置的路径之后作为用户的主目录

参考:
https://www.cnblogs.com/binarylei/p/9201975.html(https://blog.youkuaiyun.com/u011250186/article/details/139993858)
https://www.jb51.net/server/3224558md.htm (sftp基于ssh配置免密登录)

linux创建sftp
辰辰呐的博客
06-05 1073
Subsystem sftp internal-sftp #指定使用sftp服务使用系统自带的internal-sftp。ChrootDirectory /data/sftp #设定属于用户sftp用户访问的根文件夹如设置。●查看用户是否创建成功 --> cat /etc/passwd。●查看用户组是否创建成功 --> cat /etc/group。●查看全部用户信息 --> cat /etc/passwd。文件赋予用户或者用户组的权限。关闭Selinux策略。
linux sftp创建用户,Linux创建 sftp 用户并限定目录
weixin_42450002的博客
04-28 1035
Linux创建 sftp 用户并限定目录1、创建 sftpUser 用户组[root@XXX ~]# groupadd sftpUser2、创建 sftpUser 用户并指定目录[root@XXX ~]# useradd -d /home/sftpUser -s /sbin/nologin -g sftpUser sftpUser3、为新用户添加密码[root@XXX ~]# passwd s...
Linuxlinux 添加sftp用户
姜太小白的博客
06-13 1809
Linux系统中,可以通过以下方法来添加SFTP用户
Linux系统之SFTP-搭建SFTP服务器
最新发布
weixin_43209512的博客
04-02 1292
chroot功能允许将用户限制在其自己的目录内,有效防止潜在的越权访问,从而提高了整个系统的安全性。综上所述,SFTP服务的日常维护与性能优化是一个持续的过程,需要管理员具备扎实的专业知识和丰富的实践经验。通过这些精心设计的配置,我们可以确保SFTP服务的安全性和功能性,同时为用户提供一个可靠、高效的文件传输平台。在配置SFTP服务的过程中,创建专门的SFTP用户是一个至关重要的步骤。在配置SFTP服务的过程中,设置正确的目录权限是一项关键步骤,直接影响服务的安全性和功能性。
Linux 创建 SFTP 账号
腐烂的橘子
06-15 1910
因为家目录的所属用户必须为 root,否则无法登陆;但是这样会导致其他用户无法上传文件,所以需要在家目录下建立自己的目录。my_user 为用户名,my_group 为用户组名,my_directory 为自定义用户家目录。至此,账号创建完成,可以用命令或者 FileZilla 登陆,并上传文件测试。
Linux 创建sftp 用户 (root用户)
qq_35895914的博客
08-23 1572
linux创建sftp
Linux创建用户使用Sftp
xiaofan空欢喜的博客
10-24 671
sftp,linux
linux系统创建SFTP用户及权限限制实战步骤
04-29
本文将详细介绍如何在Linux系统中创建SFTP用户并实现权限限制。通过使用系统自带的internal-sftp功能,可以有效地限制用户只能在其home目录下进行操作,并且仅能通过SFTP方式登录而禁止SSH登录。 #### 二、操作步骤...
Linuxsftp配置之密钥方式登录详解
09-15
本文将详细介绍如何在Linux系统中配置sftp以实现这些安全措施。 **一、创建sftp服务用户组和服务根目录** 首先,我们需要创建一个专门用于sftp服务的用户组和相应的根目录。这一步是为了隔离不同用户的文件,并...
详解Linux系统中设置SFTP服务用户目录权限的方法
09-15
以下步骤详细介绍了如何在Linux系统中设置SFTP服务用户目录权限: 1. **创建用户并禁止SSH登录** - 使用`useradd`命令创建用户,例如“www”,并设置其登录shell为`/sbin/nologin`以禁止SSH登录,同时禁用家...
完美解决Linux搭建sftp出现Write failed:Broken pipe的问题
09-15
1. **权限问题**:当SFTP用户试图访问的目录或文件没有适当的读写权限时,可能会触发此错误。 2. **防火墙或安全设置**:防火墙规则可能阻止了SFTP服务的通信,或者SSH配置中限制了某些操作。 3. **服务器资源不足**...
linux系统配置sftp服务器详解
11-22
该文档介绍了如何在linux系统配置sftp服务器的步骤,大家感受一下。
Linux sftp服务搭建,新增账户
u014644574的博客
06-16 1035
home 目录拥有者必须是root,并且其他用户不能拥有写入的权限(ChrootDirectory 这个选项要求的),即权限不能超过755(否则连不上)2、创建文件夹作为 sftp 账户的 home 目录。4、检查配置是否正确,并重启sshd。比如再新增一个用户:hhhsftp。检查配置是否正确,并重启sshd。1、创建用户,并且不允许登录。3、修改 sftp 配置文件。6、再添加一个账户的正确做法。5、登录测试,默认端口22。
Linux创建sftp用户
weixin_45800539的博客
03-02 1276
Linux创建sftp用户 创建sftp根目录 mkdir -pv /app/sftp/ 授权chmod 0755 chmod 0755 -R /app/sftp/ 创建用户组(创建group组需要在user用户创建之前) groupadd sftp 创建user用户指定用户组为sftp;指定家目录存储位置为/app/sftp/data/ ;不可登录用户以保证系统安全 useradd -g sftp -d /app/sftp/data/ -s /sbin/nologin data 免交互修
linux创建sftp用户
weixin_43135696的博客
08-11 2390
linux创建sftp用户
sftp
weixin_33924220的博客
06-18 323
sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的一部份,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件传输子系统,SFT...
Linux 添加SFTP用户
weixin_34051201的博客
03-24 1997
2019独角兽企业重金招聘Python工程师标准>>> ...
linux 添加sftp用户
Gblfy_Blog
05-21 716
-- 创建fxq用户,指定用户家目录为/app/fis/data/fxq 指定Uid为503 useradd fxq -d /app/fis/data/fxq -g sftp -u 503 -- 给指定fxq用户设置密码 passwd fxq 略 cd /app/fis/data/fxq --级联创建fxq相关目录 mkdir /app/fis/data/fxq/send /app/fis/data/fxq/send/gwl /app/fis/data/fxq/send/pep -p cd /app
linux 配置sftp
02-08
### 如何在 Linux 系统中配置 SFTP 服务 #### 准备工作 为了确保SFTP的安全性和功能性,在开始之前确认SSH服务已正确安装并运行。大多数Linux发行版默认情况下都带有OpenSSH软件包,该软件包包含了用于设置SFTP所需的一切工具[^3]。 #### 修改 SSH 配置文件 编辑`/etc/ssh/sshd_config` 文件来调整SSHD的行为以支持SFTP功能。对于仅允许特定用户通过SFTP访问的情况,可以在配置文件中加入如下行: ```bash Match User username ChrootDirectory /home/%u ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no ``` 上述命令中的 `username` 应替换为实际用户名;而 `/home/%u` 则指定了用户的根目录位置。这一步骤有助于增强安全性,防止越权操作[^4]。 #### 创建必要的目录结构 针对被限定使用的账户创建相应的家目录,并赋予恰当权限。例如,如果要限制某位名为example的用户,则执行以下指令: ```bash sudo mkdir -p /home/example/incoming sudo chown root:root /home/example sudo chmod 755 /home/example sudo chown example:example /home/example/incoming ``` 这里创建了一个子文件夹`incoming`供上传文件使用,同时保持顶级目录由管理员拥有,从而阻止普通用户修改其属性或删除它。 #### 重启 SSHD 使更改生效 完成以上所有改动之后,记得重启SSH守护进程以便应用新的设定: ```bash sudo systemctl restart sshd ``` 此时应该能够利用标准的SFTP客户端连接至目标机器上的指定账号,并享受经过加密保护的数据交换过程了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值