在某些环境中,系统管理员想要允许极少数用户在可以传输文件到Linux机器中,但是不允许使用 SSH。要实现这一目的,我们可以使用SFTP,并为其构建chroot环境。
SFTP & chroot背景:
SFTP是指SSH文件传输协议(SSH File Transfer protocol)或安全文件传输协议(Secure File Transfer Protocol),它提供了可信数据流下的文件访问、文件传输以及文件管理功能。当我们为SFTP配置chroot环境后,只有被许可的用户可以访问,并被限制到他们的家目录中,换言之:被许可的用户将处于牢笼环境中,在此环境中它们甚至不能切换它们的目录。
在本文中,我们将配置RHEL 6.X 和 CentOS 6.X中的SFTP Chroot环境。我们开启一个用户帐号‘Jack’,该用户将被允许在Linux机器上传输文件,但没有ssh访问权限。
步骤:1 创建组
[root@localhost ~]#
groupadd sftp_users
步骤:2 分配附属组(sftp_users)给用户
如果用户在系统上不存在,使用以下命令创建( LCTT 译注:这里给用户指定了一个不能登录的 shell,以防止通过 ssh 登录):
[root@localhost ~]#
useradd -G sftp_users -s /sbin/nologin jack
[root@localhost ~]#
passwd jack
对于已经存在的用户,使用以下usermod命令进行修改:
[root@localhost ~]#
usermod –G sftp_users -s /sbin/nologin jack
注意:如果你想要修改用户的默认家目录,那么可以在useradd和usermod命令中使用‘-d’选项,并设置合适的权限。
步骤:3 现在编辑配置文件 “/etc/ssh/sshd_config”
# vi /etc/ssh/sshd_config
#comment out the below line and add a line like below
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
# add Below lines at the end of file
Match Group sftp_users
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory %h
ForceCommand internal-sftp
此处:
- Match Group sftp_users – 该参数指定以下的行将仅仅匹配sftp_users组中的用户
- ChrootDirectory %h – 该参数指定用户验证后用于chroot环境的路径(默认的用户家目录)。对于用户 Jack,该路径就是/home/jack。
- ForceCommand internal-sftp – 该参数强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令。
重启ssh服务
#
service sshd restart
步骤:4 设置权限:
[root@localhost ~]#
chmod 755 /home/jack
[root@localhost ~]#
chown root /home/jack
[root@localhost ~]#
chgrp -R sftp_users /home/jack
如果你想要允许jack用户上传文件,那么创建一个上传文件夹,设置权限如下:
[root@localhost jack]#
mkdir /home/jack/upload
[root@localhost jack]#
chown jack. /home/jack upload/
步骤:5 现在尝试访问系统并进行测试
尝试通过ssh访问系统
正如下图所示,用户jack通过SFTP登录,而且因为chroot环境不能切换目录。
现在进行上传和下载测试,如下图:
正如上图所示,jack用户的上传下载功能都工作得很好。
- 大小: 6.9 KB
- 大小: 13.3 KB
- 大小: 15.3 KB
- 大小: 42.5 KB
分享到:
相关推荐
SSH和SFTP服务分离
最近项目要求数据传必须使用sftp,但sftp又不能直接使用22端口,不安全,网上查询的ssh和sftp分离相关的资料都是基于centos7的,于是经过研究尝试,完成了基于centos6版本的服务分离
基于SSH协议的sftp协议,用来当作FTP下载上传文件,但是会有乱码问题
ssh与sftp分离脚本,分离后可单独控制sftp服务,独立与ssh服务,单独指定sftp端口,并进行限定目录等各类操作,脚本执行前请先查看readmefirst,可选项也在readme中,有需要下载,有问题留言
前端开源库-ssh2-sftp-clientssh2 sftp客户端,节点的ssh2 sftp客户端
该文档介绍了如何在linux系统配置sftp服务器的步骤,大家感受一下。
在工作或者学习的时候,我们常常会遇到这样的需求,限制一个Linux用户,让他只能在指定的目录下进行添加、修改、删除操作,并且只能使用sftp登录服务器,不能用ssh操作。这些可以通过配置sftp服务实现。 方法如下 ...
相比传统的 ftp 服务,SFTP 显得更加方便、安全,一般系统安装了 ssh 后,默认就安装了这个服务,我们只要简单的配置一下就可以了。 但是 SFTP 账号是基于 SSH 账号的(也就是系统账户),默认情况下访问服务器的...
vb.net SSH SFTP客户端源代码
ssh链接工具 sftp图形化链接工具 linux操作界面链接工具,不要升级
sftp二次开发库,基于ssh开源库进行封装,二次开发库包含sftp封装接口模块,以及openssl、ssh库源码以及交叉编译方法,直接编译调用模块即可,方便使用 sftp.c、sftp.h、openssl-3.0.2.tar.gz、libssh2-1.10.0.tar....
linux脚本sftp上传文件
sftp, 对 go/ssh包的SFTP支持 sftpsftp 包提供了使用SFTP子系统对远程ssh服务器上的文件系统操作的支持。 它还实现了一个用于从 文件系统 服务文件的SFTP服务器。 的用法和示例请参阅 godoc.org/github.com/pkg/sf
$3 :用户密码 $4 : 本地文件路径 $5 :FTP服务器文件路径 $6 :mput/mget 命令 $7 :要操作的文件名称 cmdsftp.sh $1 : 主机IP $2 :用户名 $4 : 本地文件路径 $5 :FTP服务器文件路径 $6 :mput/mget 命令 $7 :...
WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。.winscp也可以链接其他系统,比如linux系统
详细的介绍了如何在Ubuntu系统下开启ssh以及sftp服务,以及实现ssh链接以及sftp文件传送的过程。
Centos下配置ssh以及Vsftp
使用FREESSHD配置SFTP服务器说明 背景:最近在公司做的项目需要传输文件,要求是文件加密传输,这里需要用加密 证书来认证后才能访问服务器,因为使用服务器是Windows 2008 R2 ,所以折腾后选择FREESSHD作为SFTP...
grunt-ssh, SSH,Grunt的SFTP任务 新主人 启动 12 -23-2015,我正站在两个巨人( @chuckmo和 @andrewrjones) 作为这个项目维护者的肩膀上) 。 欢迎捐赠,如往常。 ( 这里消息也将在下一次发布时删除) 。静音 ssh
由于项目开发需要使用到QSSh,但是网站上的资源很少,所以自己找了源码进行编译出了库文件进行使用,QSsh源码已编译含有库文件,可直接用于程序链接,需要QSsh开发不要错过哦