SFTP 在Linux下是一個很方便很安全的文件傳輸工具,我常常用它在Linux服務器上替代傳統的ftp來傳輸文件。眾所周知SFTP賬號是基於SSH賬號的,默認情況下訪問服務器的權限很大,下面的教程就是教你像ftp那樣限制SFTP賬號相關的訪問權限。
具體實施步驟
1. 我們需要創建一個用戶組,專門用於sftp用戶
$ groupadd sftpusers
2. 我們創建一個用戶test
$ useradd -s /bin/false -G sftpuser test
注意這里我們將test用戶的shell設置為/bin/false使他沒有登陸shell的權限
3. 編輯 /etc/ssh/sshd_config
找到Subsystem這個配置項,將其修改為
Subsystem sftp internal-sftp
然后再到文件最尾處增加配置設定屬於用戶組sftpusers的用戶都只能訪問他們自己的home文件夾
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
保存並關閉文件
4. 修改test用戶home文件夾的權限,讓其屬於root用戶
chown root ~test
5. 重啟sshd服務
$ service sshd restart
6. 測試用戶賬號
$ ssh test@localhost
連接會被拒絕或者無法登陸
$ sftp tesst@localhost
登陸后你會發現你的賬號無法切換到除自己home目錄之外的地方的
常見問題:
如果你鏈接服務器的時候出現下面的提示:
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer
這個問題的原因是ChrootDirectory的權限問題,你設定的目錄必須是root用戶所有,否則就會出現問題。所以請確保sftp用戶根目錄的所有人是root, 權限是 750 或者 755