本文介绍了如何通过升级openssh版本,创建受限用户,配置sshd_config以仅允许SFTP访问,设置权限和日志记录,确保FTP协议在有SSH支持时的安全。重点讲解了如何为特定用户设置ChrootDirectory和ForceCommand,以及在不同版本和安全设置下的操作步骤。
由于采用明文传输用户名和密码,FTP协议是不安全的。在同一机房中只要有一台服务器被攻击者控制,它就可能获取到其它服务器上的FTP密码,从而控制其它的服务器。 当然,很多优秀的FTP服务器都已经支持加密。但如果服务器上已经开了SSH服务,我们完全可以使用SFTP来传输数据 1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上
[root@localhost ftp]# rpm -qa | grep openssh
openssh-server-5.3p1-81.el6_3.x86_64
openssh-5.3p1-81.el6_3.x86_64
openssh-clients-5.3p1-81.el6_3.x86_64
2 新增用户,限制用户只能通过sftp访问
[root@localhost ftp]# useradd -M -d /home/sshftpuser -s /sbin/nologin sshftpuser
3.限制用户通过sftp登录进来时只能进入主目录,修改/etc/ssh/sshd_config文件
[root@localhost ftp]# vim /etc/ssh/sshd_config
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp -l INFO
Match User sshftpuser #最后面的就是希望匹配的用户名,多个用户名用逗号分隔,将User换成Group来匹配用户组,同样逗号分隔
ChrootDirectory /home/sshftpuser
# ChrootDirectory $h
# %u代表用户名,如果整个换成%h就代表用户的home路径
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -l INFO
4.设置权限,设置错误会提示 bad ownership or modes for chroot directory XXXXXX
ChrootDirectory设置的目录权限,属主是被限制用户比如sshftpuser 和属组是root ;
ChrootDirectory设置的目录所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。
参考:
chown root:root /home/
chown sshftpuser:root /home/sshftpuser
chmod 755 /home/sshftpuser
开启了 SELinux 则需要执行 , 不然chroot 用户不可写文件
[root@localhost ftp]sudo setsebool -P ssh_chroot_rw_homedirs on
5 记录日志 让chroot用户的操作记录也记录日志, chroot 用户日志记录在 /var/log/secure里 其他的记录在 /var/log/sftp.log
[root@localhost ftp]sudo vim /etc/rsyslog.d/sftp.conf
# Log sftp-server in a separate file
#:programname, isequal, "sftp-server" /var/log/sftp.log
# Create an additional socket for some of the sshd chrooted users.
$AddUnixListenSocket /home/sftpuser/dev/log
# Log sftp-server in a separate file
:programname, isequal, "internal-sftp" /var/log/sftp.log
注意如果系统开启了SELinux,$AddUnixListenSocket这一行设置无法生效。简单方法禁用它。编辑/etc/selinux/config文件,然后重启系统:
vim /etc/selinux/config
SELINUX=disabled
扫一扫
3811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
