当前位置:首页 > 技术栈 > 正文内容

Linux 配置SFTP,配置用户访问权限

樊豪杰1个月前 (03-16)技术栈525

本文最终的效果:在Linux下建立sftp-users用户组,在该组下建多个用户,禁止该组所有用户ssh远程登录服务器,但是允许该组所有用户登录sftp,并只能访问自己的目录及子目录中的文件。

本文以admin用户为例,下面出现的admin均指该用户或者该用户目录。

安装ssh和openssh-sftp-server

其实Linux发行版基本都是安装了OpenSSH的,不过我们这里还是确认一下是否安装,

一般我们需要安装openssh-server、openssh-sftp-server,所以我们检查是否安装了SSH。

Ubuntu检查是否安装了OpenSSH

dpkg --get-selections | grep openssh

CentOS检查是否安装了OpenSSH

# 以yum方式安装的:
yum list installed openssh

# 以rpm包安装的:
rpm -qa | grep openssh

# 以deb包安装的:
dpkg -l | grep openssh

如果已经三个包都安装了,那么你的命令行该是如下:

openssh-server              installed
openssh-sftp-server         installed
...

哪个没有打印就是没有安装,安装即可。

Ubuntu 安装

依次执行以下命令,install后面只写没有安装的包名即可

sudo apt-get update
sudo apt-get install openssh-client openssh-server openssh-sftp-server

CentOS 安装

install后面只写没有安装的包名即可

sudo yum install openssh-client openssh-server openssh-sftp-server

如果都是安装的,我们需要保证OpenSSH的版本不得低于4.8,因为我们要用ChrootDirectory配置用户访问目录,所以检查下SSH的版本,执行命令:

ssh -V

会打印出如下版本信息:

OpenSSH_6.6.1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f...

如果SSH的版本低于4.8,需要升级。

Ubuntu升级SSH

sudo apt-get update
sudo apt-get install openssh-server

CentOS升级SSH

sudo yum update -y openssh-server

建立用户组和用户

我们要建立一个专门管理sftp用户的用户组,方便我们管理权限。

1、建立一个名为sftp-users的sftp用户组

sudo groupadd sftp-users

2、在该组建立几个需要登录sftp的用户

新建用户名为admin的用户:

sudo useradd -g sftp-users -m admin

修改admin的密码:

passwd admin

然后连续两次输入你要给该用户设置的密码即可。

3、如果该用户已存在,但是不在sftp-users组中,可以移动用户到改组

usermod –g sftp_users admin

配置ssh和权限

1、打开/etc/ssh/sshd_config文件

2、修改X11Forwarding的值为no,原来可能是:X11Forwarding yes,现在修改为X11Forwarding no,如果X11Forwarding不存在,就在文件最后添加上面的代码。

修改AllowTcpForwarding的值为no,原来可能是AllowTcpForwarding yes,现在修改为AllowTcpForwarding no,如果AllowTcpForwarding不存在,就在文件最后添加上面的代码。

3、修改Subsystem sftp为internal-sftp

将:

Subsystem sftp /usr/libexec/openssh/sftp-server
# 或者
Subsystem sftp /usr/lib/openssh/sftp-server

修改为:

Subsystem sftp internal-sftp

4、在文件末尾增加内容

Match Group sftp-users
ChrootDirectory %h
ForceCommand internal-sftp

Match Group sftp-users这一行是指定以下的子行配置是匹配sftp-users用户组的,多个用户组用英文逗号分隔。

ChrootDirectory %h该行指定Match Group行指定的用户组验证后用于chroot环境的路径,也就是默认的用户目录,比如/home/admin;也可以写明确路径,例如/data/www。

ForceCommand internal-sftp该行强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令。

这里要特别注意,因为ChrootDirectory %h模式,所以我们等下要设置sftp-users中的所有用户的用户目录权限为root拥有,否则sftp-users组中的用户无法用sftp登录。

修改sftp-users用户组用户目录权限

上面说了,因为使用了ChrootDirectory %h,现在来修改权限。

1、修改权限为root用户拥有

chown root /home/admin

2、修改权限为root可读写执行,其它用户可读

chmod 755 /home/admin

3、重启ssh,登录sftp

注意:centos7重启ssh的命令是sudo systemctl restart sshd.service,另外可以设置ssh为开机启动,命令是sudo systemctl enable sshd.service

sudo service ssh restart

现在就可以使用sftp登录了,但是我们发现,我们不能上传文件,那是因为登录后默认是用户目录,比如/home/admin,但是该目录是root用户拥有,因此我们还要修改权限。

4、在用户目录下建立子目录,让sftp-users中的用户可读写文件

我们现在在/home/admin目录下新建一个upload文件夹:

cd /home/admin/
mkdir upload

5、授权upload文件夹读写

让子文件夹upload属于admin

chown admin /home/admin/upload

让子文件夹upload被admin读写

chmod 755 /home/admin/upload

重启ssh,登录sftp

现在全部都配置完了,如果在上面第三步没有重启ssh的话,现在重启后既可以登录使用了。

centos7.x以及以上版本的系统执行:

sudo systemctl restart sshd

centos6.x以及以下版本的系统执行:

sudo service ssh restart

Windows登录sftp推荐使用WinScp,Linux用命令即可,Mac推荐使用Yummy FTP。

扫描二维码推送至手机访问。

版权声明:本文由豪杰创想发布,如需转载请注明出处。

本文链接:https://www.plppl.com/?id=16

相关文章

Centos Apache多端口多站点设置

Centos Apache多端口多站点设置

因为我不止想搞一个网站,所以需要通过不同端口访问不同网站。一开始以为很难,百度了一大堆答案,感觉都不太合适。试过之后才知道很简单。找到配置文件httpd.conf我是之添加了需要的不同端口之前看到有说...

ionic5 angular路由 跳转并删除本页的历史记录

ionic5 angular路由 跳转并删除本页的历史记录

我们在ionic3中跳转到根页面是这样的:this.navCtrl.setRoot(TabsPage);这样就可以移除本页面的导航堆栈。但是,ionic4/5使用了路由,所以要跳转并移除本页的历史记录...

Linux CentOS Apache设置禁止ip访问服务器

Linux CentOS Apache设置禁止ip访问服务器

cd到/etc/httpd/conf.d/目录下cd /etc/httpd/conf.d/查看目录下的所有文件ls如果有多个.conf文件,在Linux中将按照这个顺序处理加载配置文件。如果...

SSH客户端 登录阿里云时出现如下错误:Disconnected:No supported authentication methods available

SSH客户端 登录阿里云时出现如下错误:Disconnected:No supported authentication methods available

问题现象通过SSH客户端登录ECS Linux实例时,输入正确的账号密码,出现如下错误信息:No supported authentication methods available (server...

Linux中怎么修改SSH端口号

Linux中怎么修改SSH端口号

修改配置文件vim /etc/ssh/sshd_config找到 Port 22然后将端口22改为你想要的端口号重启SSH服务service sshd restart...

Laravel 8 Jetstream个人资料照片未显示

Laravel 8 Jetstream个人资料照片未显示

您需要先在公共目录下创建存储,然后再链接它。因此,首先进入laravel项目主文件夹,然后进入公共文件夹。如果存储链接不存在,请创建它。然后回到项目主文件夹并创建存储链接cd (larave...