linux下ssh/sftp配置和权限设置
基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录)。
1、开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh 到服务器
2、限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置
确定版本
#确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本
ssh -V新建用户和用户组
#添加用户组 sftp
groupadd sftp
#添加用户 指定家目录 指定用户组 不允许shell登录
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#设置用户密码
passwd sftp活动目录
#设定你想要限定的活动目录
mkdir -p /var/www/sftp
#配置权限 注意此目录如果用于后续的 chroot 的活动目录 目录所有者必须是 root 必须是!!!
chown root.sftp /var/www/sftp基本的 ssh 配置
# ssh 服务的配置文件
vi /etc/ssh/sshd_config#基本的ssh远程登录配置
#开启验证
PasswordAuthentication yes
#禁止空密码登录
PermitEmptyPasswords no
#开启远程登录 PermitRootLogin yes至此你就可以使用 ssh 远程登录服务器了
配置 sftp
#这里我们使用系统自带的 internal-sftp 服务即可满足需求
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftpSubsystem
Subsystem 是说 ssh 的子模块 这里启用的即为 sftp 模块,我们使用系统自带的 internal-sftp 来提供此服务,其实配置到这你即可以使用帐号 ssh 登录,也可以使用 ftp 客户端 sftp 登录。
如果你希望用户只能 sftp 而不能 ssh 登录到服务器,而且要限定用户的活动目录,继续看下面的配置
#对登录用户的限定
Match Group sftpChrootDirectory /var/www/sftp # 还可以用 %h代表用户家目录 %u代表用户名ForceCommand internal-sftp # 强制使用系统自带的 internal-sftp 服务 这样用户只能使用ftp模式登录AllowTcpForwarding noX11Forwarding noMatch [User|Group] userName|groupName
Match [User|Group] sftp 这里是对登录用户的权限限定配置 Match 会对匹配到的用户或用户组起作用 且高于 ssh 的通项配置
ChrootDirectory 用户的可活动目录 可以用 %h 标识用户家目录 %u 代表用户名 当 Match 匹配的用户登录后 会话的根目录会切换至此目录 这里要尤其注意两个问题
1、 chroot 路径上的所有目录,所有者必须是 root,权限最大为 0755,这一点必须要注意而且符合 所以如果以非 root 用户登录时,我们需要在 chroot 下新建一个登录用户有权限操作的目录
2、chroot 一旦设定 则相应的用户登录时会话的根目录 "/" 切换为此目录,如果你此时使用 ssh 而非 sftp 协议登录,则很有可能会被提示:
/bin/bash: No such file or directory这则提示非常的正确,对于此时登录的用户,会话中的根目录 "/" 已经切换为你所设置的 chroot 目录,除非你的 chroot 就是系统的 "/" 目录,否则此时的 chroot/bin 下是不会有 bash 命令的,这就类似添加用户时设定的 -s /bin/false 参数,shell 的初始命令式 /bin/false 自然就无法远程 ssh 登录了
ForceCommand 强制用户登录会话时使用的初始命令 如果如上配置了此项 则 Match 到的用户只能使用 sftp 协议登录,而无法使用 ssh 登录 会被提示
This service allows sftp connections only.配置完成 重启 sshd 服务
service sshd restart注意:
1、chroot 可能带来的问题,因为 chroot 会将会话的根目录切换至此,所以 ssh 登录很可能会提示 /bin/bash: No such file or directory 的错误,因为此会话的路径会为 chroot/bin/bash
2、ForceCommand 为会话开始时的初始命令 如果指定了比如 internal-sftp,则会提示 This service allows sftp connections only. 这就如同 usermod -s /bin/false 命令一样,用户登录会话时无法调用 /bin/bash 命令,自然无法 ssh 登录服务器
原文链接:https://my.oschina.net/sallency/blog/784022
转载于:https://www.cnblogs.com/erdi/p/9988136.html
linux下ssh/sftp配置和权限设置相关推荐
- linux sftp 重命名,linux下ssh/sftp配置和权限设置
基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录). 1.开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh ...
- CentOS的ssh sftp配置及权限设置整理
2019独角兽企业重金招聘Python工程师标准>>> 从技术角度来分析,几个要求: 1.从安全方面看,sftp会更安全一点 2.线上服务器提供在线服务,对用户需要控制,只能让用户在 ...
- Linux下mysql新建账号及权限设置
原文链接:Linux下mysql权限配置及账号创建 1.权限赋予 说明:mysql部署在服务器A上,内网上主机B通过客户端工具连接服务器A以进行数据库操作,需要服务器A赋予主机B操作mysql的权限 ...
- linux下ssh文件配置,允许root远程用密码登录
一 ssh目录下文件介绍 ssh_config : 是客户端文件配置 sshd_config : 是服务端配置文件 1,修改root允许远用程密码登录 # vim /etc/ssh/sshd ...
- linux中三台主机之间互信,22、linux的ssh互信配置
转载:https://blog.csdn.net/hrn1216/article/details/51568830 https://blog.csdn.net/u013144287/article/d ...
- linux 下如何添加用户、权限
linux 下如何添加用户.权限 转载点击访问 useradd –d /usr/sam -m sam 此命令创建了一个用户sam,其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam(/ ...
- Linux下mongodb安装配置教程
Linux下mongodb安装配置教程 这里写目录标题 Linux下mongodb安装配置教程 1. 在linux(ubuntu)下安装mongodb 2. 遇到的坑 1. 在linux(ubuntu ...
- Linux下环境变量配置方法梳理(.bash_profile和.bashrc的区别)
博客园 首页 新随笔 联系 管理 订阅 <div class="blogStats"><!--done--> 随笔- 556 文章- 38 评论- 77 ...
- Linux 下的网络配置
#######linux下的网络配置############ ###1.什么是IP ADDRESS internet protocol ADDRESS ##网络进程地址 ...
最新文章
- AI 系统的发展趋势与挑战 | 智源大会-AI系统专题论坛
- hdu4454 三分 求点到圆,然后在到矩形的最短路
- chrome 获取硬件信息_在tinycolinux上安装chrome
- c语言产生随机数_C语言 求的近似值
- lisp函数大全 微盘_LISP函数(分类)大全
- python opencv图片放大 缩小_Python OpenCV之图片缩放的实现(cv2.resize)
- javascript --- 编程风格
- python怎么导入apscheduler,如何强制apscheduler将作业添加到作业存储?
- 自然语言处理NLP开源软件工具包
- 付款码支付-微信和支付宝付款码类型标识
- Logstash系列:发送邮件告警、发送POST告警
- SQL 注入速查表大全
- TweenMax学习笔记整理
- 知其然也知其所以然,Redis笔记总结:核心原理与应用实践
- 编程中常用的英文单词
- 大数据核心技术是什么
- Thymeleaf 表单回填
- Redis:(error) MOVED 原因和解决方案
- SAP 系统数据库恢复
- form表单之input标签