2. 程式人生 > >linux下ssh/sftp配置和許可權設定

linux下ssh/sftp配置和許可權設定

阿新 發佈:2018-11-20

基於 ssh 的 sftp 服務相比 ftp 有更好的安全性(非明文帳號密碼傳輸)和方便的許可權管理(限制使用者的活動目錄)。

1、開通 sftp 帳號,使使用者只能 sftp 操作檔案, 而不能 ssh 到伺服器

2、限定使用者的活動目錄,使使用者只能在指定的目錄下活動,使用 sftp 的 ChrootDirectory 配置

確定版本

#確保 ssh 的版本高於 4.8p1 否則升級一下 一般都高於這個版本
ssh -V

新建使用者和使用者組

#新增使用者組 sftp 
groupadd sftp
#新增使用者 指定家目錄 指定使用者組 不允許shell登入
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#設定使用者密碼
passwd sftp

活動目錄

#設定你想要限定的活動目錄
mkdir -p /var/www/sftp
#配置許可權 注意此目錄如果用於後續的 chroot 的活動目錄 目錄所有者必須是 root 必須是!!!
chown root.sftp /var/www/sftp

基本的 ssh 配置

# ssh 服務的配置檔案
vi /etc/ssh/sshd_config

#基本的ssh遠端登入配置
#開啟驗證
PasswordAuthentication yes
#禁止空密碼登入
PermitEmptyPasswords no
#開啟遠端登入 PermitRootLogin yes

至此你就可以使用 ssh 遠端登入伺服器了

配置 sftp

#這裡我們使用系統自帶的 internal-sftp 服務即可滿足需求
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

Subsystem

Subsystem 是說 ssh 的子模組 這裡啟用的即為 sftp 模組,我們使用系統自帶的 internal-sftp 來提供此服務,其實配置到這你即可以使用帳號 ssh 登入,也可以使用 ftp 客戶端 sftp 登入。

如果你希望使用者只能 sftp 而不能 ssh 登入到伺服器,而且要限定使用者的活動目錄,繼續看下面的配置

#對登入使用者的限定
Match Group sftp
    ChrootDirectory /var/www/sftp # 還可以用 %h代表使用者家目錄 %u代表使用者名稱
    ForceCommand    internal-sftp # 強制使用系統自帶的 internal-sftp 服務 這樣使用者只能使用ftp模式登入
    AllowTcpForwarding no
    X11Forwarding no

Match [User|Group] userName|groupName

Match [User|Group] sftp    這裡是對登入使用者的許可權限定配置 Match 會對匹配到的使用者或使用者組起作用 且高於 ssh 的通項配置

ChrootDirectory    使用者的可活動目錄 可以用 %h 標識使用者家目錄 %u 代表使用者名稱 當 Match 匹配的使用者登入後 會話的根目錄會切換至此目錄 這裡要尤其注意兩個問題

1、 chroot 路徑上的所有目錄,所有者必須是 root,許可權最大為 0755,這一點必須要注意而且符合 所以如果以非 root 使用者登入時,我們需要在 chroot 下新建一個登入使用者有許可權操作的目錄

2、chroot 一旦設定 則相應的使用者登入時會話的根目錄 "/" 切換為此目錄,如果你此時使用 ssh 而非 sftp 協議登入,則很有可能會被提示:

/bin/bash: No such file or directory

這則提示非常的正確,對於此時登入的使用者,會話中的根目錄 "/" 已經切換為你所設定的 chroot 目錄,除非你的 chroot 就是系統的 "/" 目錄,否則此時的 chroot/bin 下是不會有 bash 命令的,這就類似新增使用者時設定的 -s /bin/false 引數,shell 的初始命令式 /bin/false 自然就無法遠端 ssh 登入了

ForceCommand    強制使用者登入會話時使用的初始命令 如果如上配置了此項 則 Match 到的使用者只能使用 sftp 協議登入,而無法使用 ssh 登入 會被提示

This service allows sftp connections only.

配置完成 重啟 sshd 服務

service sshd restart

注意:

1、chroot 可能帶來的問題,因為 chroot 會將會話的根目錄切換至此,所以 ssh 登入很可能會提示 /bin/bash: No such file or directory 的錯誤,因為此會話的路徑會為 chroot/bin/bash

2、ForceCommand 為會話開始時的初始命令 如果指定了比如 internal-sftp,則會提示 This service allows sftp connections only. 這就如同 usermod -s /bin/false 命令一樣,使用者登入會話時無法呼叫 /bin/bash 命令,自然無法 ssh 登入伺服器

 

 

原文連結:https://my.oschina.net/sallency/blog/784022

相關推薦

linuxssh/sftp配置許可權設定

基於 ssh 的 sftp 服務相比 ftp 有更好的安全性(非明文帳號密碼傳輸)和方便的許可權管理(限制使用者的活動目錄)。 1、開通 sftp 帳號,使使用者只能 sftp 操作檔案, 而不能 ssh 到伺服器 2、限定使用者的活動目錄,使使用者只能在指定的目錄下活動,使用 sftp 的 Chroot

linuxssh公鑰驗證的設定遠端登入

使用linux有一段時間了,最近在伺服器上假設了一個git倉庫,每次提交時都使用密碼實在是比較反人類,因此就特意研究了一下如何使用ssh金鑰來登入伺服器。 公鑰和私鑰的生成 ssh-keygen命令專門是用來生成金鑰的。該命令有很多選項,這裡列出了最基本的四個: -

Linuxvsftpd的配置使用

vsftpd設置通過ftp向linux主機傳輸文件十分方便,但是在使用之前也需要對主機進行相關設置。首先是對vsftpd進行配置,詳細的信息可以見這個博客:https://www.huzs.net/?p=1213#server_vsftpd.conf 但是當配置好vsftpd後,仍然無法用ftp鏈接到linu

LinuxSSH配置說明

let order 個數 ces news 虛擬機 fas 專用 war SSH 協議:安全外殼協議。為 Secure Shell 的縮寫。SSH 為建立在應用層和傳輸層基礎上的安全協議。 sshd服務使用SSH協議可以用來進行遠程控制,或在計算機之間傳送文件。而實現此功能

linux ifcfg-ethx配置解析

網路介面配置檔案[[email protected] ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0# Intel Corporation 82545EM Gigabit Ethernet Controller (Copper)TYPE=Et

LinuxMycat安裝配置使用

                        mysql安裝

centos7mysql 使用者管理許可權設定

1.進入mysql命令列,輸入root及密碼 [[email protected] ~]# mysql -u root -p Enter password: Welcome to the MySQL monitor. Commands end with ; or

linuxvpn伺服器配置管理

LINUX 下 openvpn 配置 1.1 什麼是 VPN IP 機制模擬出一個私有的廣域網 " 是通過私有的隧道技術在公共資料網路上模擬一條點到點的專線技術。所謂虛擬,是指使用者不再需要擁有實際的長途資料線路,而是使用 Internet 公眾資料網路的長途資料

LinuxPostfix的配置使用

開發十年,就只剩下這套架構體系了! >>>   

linuxjdk的安裝配置

rac -s watermark img 使用 etc 文件拷貝 安裝 com 一、首先依據自己的系統位數在網上下載對應的jdk安裝包 下載地址例如以下:http://www.oracle.com/technetwork/java/javase/downloads/jd

Linux yum 的配置,加速插件更改默認yum源

.repo aliyun com sts yum 安裝 最快 -o hosts mirror yum 安裝完成後生成的配置文件及目錄: 主配置文件:/etc/yum.conf 資源庫配置目錄:/etc/yum.repos.d 重要文件: /etc/yum.repos.d

Linux nginx+tomcat配置https的總結遇到的坑

master gcc apache ddr code style remote protocol lis 證書的獲取略 服務器的端口443確保外界網絡能夠進行訪問。 是否配置https: nginx:是 tomcat:否 1.首先查看nginx是否支持SSL。 參考鏈接:

linuxnginx、phpmysql安裝配置

一、安裝nginx 安裝nginx yum install -y epel-release yum install nginx -y 檢視nginx軟體包包括了哪些檔案 rpm -ql nginx 啟動nginx systemctl start nginx 檢視ng

LinuxJetty的安裝配置

Jetty簡介 Jetty是一個開源的servlet容器,它為基於Java的web內容,例如JSP和servlet提供執行環境。Jetty是使用Java語言編寫的,它的API以一組JAR包的形式釋出。開發人員可以將Jetty容器例項化成一個物件,可以迅速為一些獨立執行(st

linuxssh、ftp、jdk、tomcat、nginx搭建配置

** 注:以下操作均在root許可權下進行 ** ssh配置: 檢查ssh 狀態 sudo service sshd status 安裝ssh sudo yum install sshd 開啟ssh sudo service s

linux程式設計工具推薦配置-vim

工欲善其事,必先利其器 從網上找的兩個比較強大的程式碼編輯和工程開發工具,沉下心來,好好配置一下,畢竟程式碼是陪伴程式設計師一生最長久的夥伴,值得好好打理一下。 為了方便大家下載使用,我把它

linux elasticsearch的安裝配置(一)

1. 安裝地址 https://www.elastic.co/products/elasticsearch 2. 使用 xshell 將壓縮包上傳到linux上,解壓elasticsearch-5.6.1.tar.gz到/home目錄下。 切記不要放在root目錄下 3

MongoDB學習一--在Linux的yum安裝配置

MongoDB is an open-source document database that provides high performance, high availability, and automatic scaling. 正式學習MongoDB了,從官網htt

Linux掛載iso檔案配置yum本地源

Linux的版本: [[email protected] ~]# head -n 1 /etc/issue Red Hat Enterprise Linux Server release 6.1 (Santiago) 1.由於伺服器不能直連外網,我使用的是ISO映

LinuxNexus Repository3安裝maven,npm配置

Nexus Repository下載 根據作業系統選擇指定版本,本文針對Linux安裝,其他的安裝過程可能有所差異。 https://help.sonatype.com/repomanager3/download/download-archives---repository-manager-3 安裝