SFTP+OpenSSH+ChrootDirectory设置

最新推荐文章于 2024-05-16 20:55:49 发布
转载 最新推荐文章于 2024-05-16 20:55:49 发布 · 431 阅读 · 2
文章标签:

#运维 #开发工具 #操作系统

账户设置

SFTP的账户直接使用Linux操作系统账户,我们可以用useradd命令来创建账户。

首先建立3个要管理的目录:

 
1
2
3

mkdir /home/sftp/homepage
mkdir /home/sftp/blog
mkdir /home/sftp/pay

创建sftp组和www、blog、pay账号,这3个账号都属于sftp组:

 
1
2
3
4
5
6
7
8
9
10
11
12

groupadd sftp 
useradd -M -d /home/sftp -G sftp www
useradd -M -d /home/sftp/blog -G sftp blog
useradd -M -d /home/sftp/pay -G sftp pay
 
# 将blog账户也加到apache组
useradd -M -d /home/sftp/blog -G apache blog
 
#设置3个账户的密码密码
passwd www
passwd blog
passwd pay

至此账户设置完毕。

SSH设置

首先要升级OpenSSH的版本。只有4.8p1及以上版本才支持Chroot。

 

设置sshd_config。通过Chroot限制用户的根目录。

 
1
2
3
4
5
6
7
8
9
10
11
12
13

vim /etc/ssh/sshd_config
#注释原来的Subsystem设置
Subsystem   sftp    /usr/libexec/openssh/sftp-server
#启用internal-sftp
Subsystem       sftp    internal-sftp
#限制www用户的根目录
Match User www
    ChrootDirectory /home/sftp
    ForceCommand    internal-sftp
#限制blog和pay用户的根目录
Match Group sftp
    ChrootDirectory %h
    ForceCommand    internal-sftp

完成这一步之后,尝试登录SFTP:

 
1
2
3
4
5
6

sftp www@abc.com
#或者
ssh www@abc.com
#如果出现下面的错误信息,则可能是目录权限设置错误,继续看下一步
#Connection to abc.com closed by remote host.
#Connection closed

权限设置

要实现Chroot功能,目录权限的设置非常重要。否则无法登录,给出的错误提示也让人摸不着头脑,无从查起。我在这上面浪费了很多时间。

目录权限设置上要遵循2点:

  1. ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
  2. ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755。

如果不能遵循以上2点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。

 
1
2

chown root.root /home/sftp /home/sftp/homepage /home/sftp/blog /home/sftp/pay
chmod 755 /home/sftp /home/sftp/homepage /home/sftp/blog /home/sftp/pay

由于上面设置了目录的权限是755,因此所有非root用户都无法在目录中写入文件。我们需要在ChrootDirectory指定的目录下建立子目录,重新设置属主和权限。以homepage目录为例:

 
1
2
3

mkdir /home/sftp/homepage/web
chown www.sftp /home/sftp/homepage/web
chmod 775 /home/sftp/homepage/web

要实现web服务器与blog账户互删文件的权限需求,需要设置umask,让默认创建的文件和目录权限为775即可。将下面的内容写入.bashrc中:

 
1

umask 0002

至此,我们已经实现了所有需要的功能。

【Linux专题】SFTP 用户配置 ChrootDirectory
XMWS-IT
11-15 541
【赠送】IT技术视频教程,白拿不谢!思科、华为、红帽、数据库、云计算等等。
sftpChrootDirectory设置引起的packet_write_wait错误
sinat_38723234的博客
06-06 1717
sftpChrootDirectory设置引起的packet_write_wait错误 这个是设置用户只能使用sftp, 不能登录ssh的基本配置。 linux-d4xo-2:/etc/ssh # cat /etc/ssh/sshd_config | grep -v "^#" | grep -v "^$" AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication no UsePAM yes X11Forwarding yes S
openssh server配置默认目录(chrootDirectory
徐同保的专栏
10-11 2044
ChrootDirectory C:\Jenkins\workspace
OpenSSH的Chroot设置
低着头走着...
07-24 1072
修改  /etc/ssh/sshd_config #注释原本的Subsystem设置 #Subsystem    sftp    /usr/libexec/openssh/sftp-server   #启用internal-sftp Subsystem       sftp    internal-sftp   Match Group   ftpuser ChrootDirecto
openssh的chroot配置指南
WinJay
09-12 251
最近有这么一个需求,根据公司安全部的要求,需要在IDC放一台登录跳板,以后用户访问IDC内的服务器都必须先登录跳板服务器,然后再ssh到其他服务器。 安全部要求安全最大化,普通用户登陆到这台跳板以后只能执行ssh,ls等有限的基础命令。另外要求把用户锁定在特定目录下,这样即使被hack,也不会影响其他用户。 在openssh 4.8p1以前的版本,要支持c...
Linux openssh sftp 设置 ChrootDirectory 之后无法登录 的 解决办法
xufulin2的博客
01-19 2314
Linux openssh sftp 设置 ChrootDirectory %h 之后无法登录 的 原因很简单 https://serverfault.com/a/990649/586524 意思就是需要将那个被 chroot 的目录的拥有者设置成 root 举个例子: ChrootDirectory /home/sftp_share 那就需要执行命令:chown root:root /home/sftp_share 问题就解决了。就是这么简单。。 ...
chroot directory
weixin_34121304的博客
06-05 493
给 /A/B/C的C目录做chroot,要对C能读写,所以C目录不能做ROOT目录,对B做chroot。 设置C目录所有者为sftp 账户a,组也改为sftp组(这里a和sftp组都是之前建立好的sftp账号,a不允许直接登录)。因为要对C目录下有读写权限所以 chmod -R 755 /A/B/C chown -R a:xxx /A/B/C(这里所属组可以保持不变) chown a:sf...
完全使用SFTP替代FTP:SFTP+OpenSSH+ChrootDirectory设置详解
gong_xucheng的专栏
09-16 3181
原文地址: 由于采用明文传输用户名和密码,FTP协议是不安全的。在同一机房中只要有一台服务器被攻击者控制,它就可能获取到其它服务器上的FTP密码,从而控制其它的服务器。 当然,很多优秀的FTP服务器都已经支持加密。但如果服务器上已经开了SSH服务,我们完全可以使用SFTP来传输数据,何必要多开一个进程和端口呢? 下面,我就从账户设置、SSH设置、权限设置这三个方面来讲讲如何使用SFTP完全替
使用openssh的新特性构建chroot环境
weixin_34185320的博客
07-31 129
一、简述: chroot 即 change root directory (更改 root 目录) 。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 二、为什么要使用chroot 在经过 chroot 之后,系统读取到的目录和...
lunix 的ssh的sftp使用chrootDirectory来限制用户根目录局限性:没太大意义
我的笔记
03-28 3318
ChrootDirectory             Specifies the pathname of a directory to chroot(2) to after             authentication.  All components of the pathname must be root-             owned directories that are
ChrootDirectory限制SFTP登录的用户只能访问指定目录且不能进.docx
11-01
ChrootDirectory限制SFTP登录的用户只能访问指定目录且不能进.docx
SFTP禁锢用户实践】sshd配置文件中关于ChrootDirectoy的详细说明
最新发布
SunMy的博客
05-16 983
在sshd配置文件中的Match模块中,ChrootDirectory字段用于指定在用户进行SSH会话时,其根目录被限定在指定的目录中。具体来说,ChrootDirectory字段可以用来创建一个被限制的环境,将用户限制在指定的目录中,防止其访问系统中的其他文件和目录。禁锢用户用的,光改这个么的用,被禁锢的目录必须是指定的署主和属组,并且从指定的目录到根目录不能高于755及以上的权限。6.修改sftpiser家目录,署主改为root,属组改为sftponly。7.再次重启sshd服务就能连上了。
SftpChrootDirectory主目录权限的配置
UVB-76电台
12-03 1万+
背景交代: CentOS6.5搭建SFTP,按照教程配置 + 重启SSHD服务,之后用sftp命令试验登陆,用户名为paymentftp   报错信息如下: [root@BILLING86 local]# sftp paymentftp@127.0.0.1 SSH warring: Authorized users only. All activity may be monitored a...
sftpChrootDirectory 设定导致 Connection reset 问题
ONE_SIX_MIX的专栏
01-19 3102
ChrootDirectory 设定不当,会导致sftp链接时直接抛出 Connection reset 错误。 ChrootDirectory 指定的目录以及其所有父目录,拥有者都必须是root。其所有权限都要小于等于755。任意一个大于755都会导致Connection reset问题。 额外多余提醒:下面的/开头的字符串只是说明目录权限而已,并不是让你在sshd_config里面加上它。 举例: sftp的目标用户名为 u1 1: 有问题的做法 ChrootDirectory /mnt/asd /mn
linux配置sftp用户的chroot步骤(用户的sftp根目录)
热门推荐
我的笔记
05-09 2万+
linux的sftp服务的chroot的配置实践
说说sftp的chroot
weixin_34064653的博客
11-13 609
sshd_config的配置: #Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp internal-sftp Match User a ChrootDirectory /home/logs chown root:a /home/logs chmod g-w /home/logs...
Linux建立SFTP专用帐号,并设置Chroot环境教程
chopin的专栏
11-22 1100
要替换为自己的 SFTP 专用帐号名称。这些设置的作用就是让此帐号不能使用 SSH 的各种功能,只能以 SFTP 传输文件,并且以 chroot 的方式限制在自己的家目录,无法看到系统上的其他文件。介绍如何在 Linux 系统上建立 SFTP 传输文件专用的帐号,禁止该帐号以 SSH 登入,并以 chroot 将用户限制在自己的家目录中,加强系统安全性。若要让用户只能以 SFTP 传输文件,可以透过用户帐号的方式设置单一用户,或是以群组来设置多个用户帐号,选择其中一种方式即可(或是混用亦可)。
Linux命令-chroot命令(把根目录换成指定的目的目录)
RisunJan的博客
03-01 2474
这样就能够正确运行a.out了,因为a.out使用到了其他的动态连接库,所以需要将库拷贝到newRoot中,如果没有其他库那么直接拷贝a.out就能运行。在 linux 系统中,系统默认的目录结构都是以 / ,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。这样运行的是target中。了动态连接的库,需要用ldd查看a.out需要那些动态库,将这些库拷贝到新根的对应路径下才能执。的ls(不是本机的 /bin/ls ),然后返回立即本机的目录环境。
linux chroot 命令 设置根目录路径
whatday的专栏
02-26 5651
chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 /,即以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。 基本语法 chroot NEWROOT [COMMAND [ARG]...] 具体用法请参考本文的 demo。 为什么要使用 chroot 命令...
openssh sftp
08-30
OpenSSH SFTP是一种安全的文件传输协议,它使用SSH(Secure Shell)协议进行加密和验证。通过OpenSSH SFTP,用户可以通过网络安全地传输文件。 要在Windows上安装OpenSSH SFTP服务器,可以按照以下步骤进行操作: 1. 下载和安装WinSCP软件。WinSCP是一个免费的SFTP和FTP客户端,它还包含了一个可选的OpenSSH服务器组件。 2. 打开命令提示符(以管理员身份运行)并运行以下命令来启动OpenSSH服务器: ``` net start sshd ``` 这将自动在`%programdata%\ssh`目录下生成主机密钥,如果密钥不存在的话。 3. 找到OpenSSH服务器的配置文件`sshd_config`,它位于`C:\ProgramData\ssh`目录下,可能是隐藏的。在该配置文件的末尾添加以下内容: ``` # Add Below ForceCommand internal-sftp Match User ftpuser ChrootDirectory E:\sites\sftp # Disable tunneling, authentication agent, TCP and X11 forwarding. PermitTunnel no AllowAgentForwarding no AllowTcpForwarding no X11Forwarding no PermitTTY no ``` 这些配置将强制使用内部的SFTP命令,并将用户`ftpuser`限制在`E:\sites\sftp`目录中。此外,它还禁用了隧道、身份验证代理、TCP和X11转发。 4. 使用SFTP客户端验证OpenSSH SFTP服务器的功能。可以使用WinSCP等客户端软件连接到服务器,并使用FTP用户凭据进行身份验证,以及进行安全的文件传输操作。 通过按照上述步骤进行操作,您可以在Windows上安装和配置OpenSSH SFTP服务器,并使用SFTP客户端进行文件传输。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [用OpenSSH 配置 SFTP 服务器 (OpenSSH for Windows)](https://blog.youkuaiyun.com/ericwuhk/article/details/108450629)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值