Ubuntu创建SFTP用户

本文指导如何在Ubuntu环境中安装OpenSSH服务器,创建SFTP用户,分配权限,配置SSH服务器以实现用户间的权限隔离,确保每个用户只能在其指定目录内操作,且仅限读写权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

需求描述:创建多个SFTP用户,用户权限隔离,每个用户都只能在自己的目录下操作

环境:Ubuntu

1、安装OpenSSH服务器(如果未安装)

sudo apt update
sudo apt install openssh-server

2、创建一个SFTP用户组

sudo groupadd sftpusers

3、创建SFTP用户并分配到用户组

        使用 useradd 命令创建新的SFTP用户,并使用 -G 选项将其添加到刚刚创建的用户组,限制其登录Shell为 /bin/false,确保用户的家目录位于 /sftp 目录下

sudo useradd -m -s /bin/false -G sftpusers sftpuser1
sudo passwd sftpuser1

4、创建SFTP根目录并设置权限

sudo mkdir /sftp/sftpuser1
sudo chown root:sftpusers /sftp/sftpuser1
sudo chmod 755 /sftp/sftpuser1

目录的权限设置有两个原则:

1、由ChrootDirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root
2、由ChrootDirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限

5、配置SSH服务器

        编辑SSH服务器的配置文件 /etc/ssh/sshd_config,并添加以下配置来强制SFTP用户组只能使用SFTP协议

Match Group sftpusers
ForceCommand internal-sftp
ChrootDirectory /sftp/%u
PermitRootLogin no
PasswordAuthentication yes

6、重启SSH服务器以应用更改

sudo service ssh restart

到这里用户sftpuser1可以使用SFTP协议登录,但用户只有读和执行权限,没有写的权限

下述操作可为sftpuser1创建单独的操作目录,为用户创建一个 home 目录,根据自己的需求添加权限

sudo chown sftpuser1:sftpusers /sftp/sftpuser1/home

设置所有者sftpuser1有写入权限,而所有组sftpusers无写入权限

sudo chmod 755 /sftp/sftpuser1/home

参考文档:

SFTP账号连接出现错误fatal: bad ownership or modes for chroot directory component “/“ [postauth]-优快云博客

### 如何在 Ubuntu 上安装和配置 SFTP 服务 #### 创建新的 SFTP 用户并添加到组 为了增强系统的安全性,可以创建一个新的用户专门用于 SFTP 访问,并将其分配给特定的用户组。以下是实现此操作的具体命令: ```bash sudo groupadd sftp_users sudo useradd -m sftpuser -g sftp_users sudo passwd sftpuser ``` 通过以上命令完成了一个名为 `sftpuser` 的新用户创建,并将其加入到 `sftp_users` 组中[^1]。 #### 设置 SFTP 目录及其权限 为了让 SFTP 用户能够安全地访问指定目录而不影响其他部分的数据,需合理设置目标目录以及其权限结构。假设要让该用户只读写 `/srv/sftp/sftpuser` 下的内容,则可执行如下步骤来准备这个环境: ```bash sudo mkdir -p /srv/sftp/sftpuser/files sudo chown root:root /srv/sftp/sftpuser/ sudo chmod 755 /srv/sftp/sftpuser/ # 将实际工作区设为子文件夹 files sudo chown sftpuser:sftp_users /srv/sftp/sftpuser/files sudo chmod 700 /srv/sftp/sftpuser/files ``` 这里需要注意的是父级目录应由超级管理员拥有以防止越权行为发生;而具体的工作区域则赋予对应用户适当的操作权利[^1]。 #### 修改 SSH 配置启用内部 SFTP 子系统 编辑SSH守护进程的主要配置文件 `/etc/ssh/sshd_config` ,修改其中关于SFTP的部分以便更严格地限制连接方式与功能范围: ```bash Subsystem sftp internal-sftp Match Group sftp_users ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no ``` 上述更改实现了对于属于`sftp_users`群组成员更加精细化的管控措施——强制他们进入自己的家目录作为根路径(`ChrootDirectory`),同时禁用了不必要的附加特性如TCP转发或X窗口支持等功能[^3]。 最后重启SSH服务使得改动生效: ```bash sudo systemctl restart sshd ``` 至此完成了整个基于Ubuntu平台下的标准SFTP服务器搭建过程描述[^2]。 ### 注意事项 尽管SFTP提供了较高的安全保障,但在大规模数据交换场景下可能存在性能瓶颈等问题。因此,在规划部署方案前还需综合考虑业务需求及其他潜在因素的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值