由于ftp等用户名和口令都是明文传输,通过网络嗅探便可获得ftp用户名和口令,使得ftp协议方式非常不安全。sftp协议是ftp协议的一种替代解决方式。只要系统支持ssh登录,即可使用系统等sftp文件传输服务。
应用:
配置sftp服务器,使得以下用户可以访问对应目录:
- 用户 目录
- a /home/sftp/a
- b /home/sftp/b
可以通过用户配置、SFTP服务配置、权限配置三个步骤来实现。
用户配置
<!-- lang: shell -->
#建立要管理的目录:
mkdir -p /home/sftp/a
mkdir -p /home/sftp/b
#创建sftp组和a、b账号,这2个账号都属于sftp组:
groupadd sftp
useradd -M -d /home/sftp/a -G sftp a
useradd -M -d /home/sftp/b -G sftp b
#设置3个账户的密码密码
passwd a
passwd b
SFTP服务配置
<!-- lang: shell -->
vim /etc/ssh/sshd_config
#注释原来的Subsystem设置
#Subsystem sftp /usr/lib/openssh/sftp-server
#启用internal-sftp
Subsystem sftp internal-sftp
#限制sftp组内用户的根目录
Match Group sftp
ChrootDirectory %h
X11Forwarding no #意义不知
AllowTcpForwarding no #限制用户登出自己等根目录
ForceCommand internal-sftp
#也可分别限制a、b用户的根目录
#Match User a
# ChrootDirectory /home/sftp/a
# AllowTcpForwarding no
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand internal-sftp
此时,可用sftp尝试登录:
<!-- lang: shell -->
sftp a@xxx.xxx.xxx.xxx
<!-- lang: shell -->
#如果出现下面的错误信息,则可能是目录权限设置错误,继续看下一步
<!-- lang: shell -->
#Connection to abc.com closed by remote host.
<!-- lang: shell -->
#Connection closed
权限配置
要实现Chroot功能,目录权限的设置非常重要。否则无法登录,给出的错误提示也让人摸不着头脑,无从查起。我在这上面浪费了很多时间。
目录权限设置上要遵循2点:
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755。
如果不能遵循以上2点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。
<!-- lang: shell -->
chown root.root /home/sftp /home/sftp/a /home/sftp/b
chmod 755 /home/sftp /home/sftp/a /home/sftp/b
由于上面设置了目录的权限是755,因此所有非root用户都无法在目录中写入文件。我们需要在ChrootDirectory指定的目录下建立子目录,重新设置属主和权限。
<!-- lang: shell -->
mkdir /home/sftp/a/send
chown a.sftp /home/sftp/a/send
chmod 775 /home/sftp/a/send
至此,我们已经实现了所有需要的功能。
