位置：首页-资讯-人工智能

linux操作系统下配置ssh/sftp和权限设置方法

2022-06-04 22:42

短信预约 -IT技能 免费直播动态提醒

基于 ssh 的 sftp 服务相比 ftp 有更好的安全性（非明文帐号密码传输）和方便的权限管理（限制用户的活动目录）。

1、开通 sftp 帐号，使用户只能 sftp 操作文件，而不能 ssh 到服务器

2、限定用户的活动目录，使用户只能在指定的目录下活动，使用 sftp 的 ChrootDirectory 配置

确定版本

#确保 ssh 的版本高于 4.8p1 否则升级一下一般都高于这个版本
ssh -V

新建用户和用户组

#添加用户组 sftp
groupadd sftp
#添加用户指定家目录指定用户组不允许shell登录
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#设置用户密码
passwd sftp

活动目录

#设定你想要限定的活动目录
mkdir -p /var/www/sftp
#配置权限注意此目录如果用于后续的 chroot 的活动目录目录所有者必须是 root 必须是！！！
chown root.sftp /var/www/sftp

基本的 ssh 配置

# ssh 服务的配置文件
vi /etc/ssh/sshd_config

#基本的ssh远程登录配置
#开启验证
PasswordAuthentication yes
#禁止空密码登录
PermitEmptyPasswords no
#开启远程登录
PermitRootLogin yes

至此你就可以使用 ssh 远程登录服务器了

配置 sftp

#这里我们使用系统自带的 internal-snshalTJVftp 服务即可满足需求
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

Subsystem

Subsystem 是说 ssh 的子模块这里启用的即为 sftp 模块，我们使用系统自带的 internal-sftp 来提供此服务，其实配置到这你即可以使用帐号 ssh 登录，也可以使用 ftp 客户端 sftp 登录。

如果你希望用户只能 sftp 而不能 ssh 登录到服务器，而且要限定用户的活动目录，继续看下面的配置

#对登录用户的限定
Match Group sftp
    ChrootDirectory /var/www/sftp # 还可以用 %h代表用户家目录 %u代表用户名
    ForceCommand    internal-sftp # 强制使用系统自带的 internal-sftp 服务这样用户只能使用ftp模式登录
    AllowTcpForwarding no
    X11Forwarding no

Match [User|Group] userName|groupName

Match [User|Group] sftp 这里是对登录用户的权限限定配置 Match 会对匹配到的用户或用户组起作用且高于 ssh 的通项配置

ChrootDirectory 用户的可活动目录可以用 %h 标识用户家目录 %u 代表用户名当 Match 匹配的用户登录后会话的根目录会切换至此目录这里要尤其注意两个问题

1、 chroot 路径上的所有目录，所有者必须是 root，权限最大为 0755，这一点必须要注意而且符合所以如果以非 root 用户登录时，我们需要在 chroot 下新建一个登录用户有权限操作的目录

2、chroot 一旦设定则相应的用户登录时会话的根目录 "/" 切换为此目录，如果你此时使用 ssh 而非 sftp 协议登录，则很有可能会被提示：

/bin/bash: No such file or directory

这则提示非常的正确，对于此时登录的用户，会话中的根目录 "/" 已经切换为你所设置的 chroot 目录，除非你的 chroot 就是系统的 "/" 目录，否则此时的 chroot/bin 下是不会有 bash 命令的，这就类似添加用户时设定的 -s /bin/false 参数，shell 的初始命令式 /bin/false 自然就无法远程 ssh 登录了

ForceCommand 强制用户登录会话时使用的初始命令如果如上配置了此项则 Match 到的用户只能使用 sftp 协议登录，而无法使用 ssh 登录会被提示
This service allows sftp connections only.

配置完成重启 sshd 服务

service sshd restart

注意：

1、chroot 可能带来的问题，因为 chroot 会将会话的根目录切换至此，所以 ssh 登录很可能会提示 /bin/bash: No such file or directory 的错误，因为此会话的路径会为 chroot/bin/bash

2、ForceCommand 为会话开始时的初始命令如果指定了比如 internal-sftp，则会提示 This service allows sftp connections only. 这就如同 usermod -s /bin/false 命令一样，用户登录会话时无法调用 /bin/bash 命令，自然无法 ssh 登录服务器

总结

以上所述是小编给大家介绍的linux操作系统下配置ssh/sftp和权限设置方法，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对我们网站的支持！

免责声明：

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的，并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据，供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

linux sftp ssh配置权限设置 ssh和sftp

阅读原文内容投诉