linux操作系统下配置ssh/sftp和权限设置方法

基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录)。

1、开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh 到服务器

2、限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置

确定版本

#确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本
ssh -V

新建用户和用户组

#添加用户组 sftp
groupadd sftp
#添加用户 指定家目录 指定用户组 不允许shell登录
useradd -d /home/sftp -m -g sftp -s /bin/false sftp
#设置用户密码
passwd sftp

活动目录

#设定你想要限定的活动目录
mkdir -p /var/www/sftp
#配置权限 注意此目录如果用于后续的 chroot 的活动目录 目录所有者必须是 root 必须是!!!
chown root.sftp /var/www/sftp

基本的 ssh 配置

# ssh 服务的配置文件
vi /etc/ssh/sshd_config

#基本的ssh远程登录配置
#开启验证
PasswordAuthentication yes
#禁止空密码登录
PermitEmptyPasswords no
#开启远程登录
PermitRootLogin yes

至此你就可以使用 ssh 远程登录服务器了

配置 sftp

#这里我们使用系统自带的 internal-sftp 服务即可满足需求
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

Subsystem

Subsystem 是说 ssh 的子模块 这里启用的即为 sftp 模块,我们使用系统自带的 internal-sftp 来提供此服务,其实配置到这你即可以使用帐号 ssh 登录,也可以使用 ftp 客户端 sftp 登录。

如果你希望用户只能 sftp 而不能 ssh 登录到服务器,而且要限定用户的活动目录,继续看下面的配置

#对登录用户的限定
Match Group sftp
    ChrootDirectory /var/www/sftp # 还可以用 %h代表用户家目录 %u代表用户名
    ForceCommand    internal-sftp # 强制使用系统自带的 internal-sftp 服务 这样用户只能使用ftp模式登录
    AllowTcpForwarding no
    X11Forwarding no

Match [User|Group] userName|groupName

Match [User|Group] sftp    这里是对登录用户的权限限定配置 Match 会对匹配到的用户或用户组起作用 且高于 ssh 的通项配置

ChrootDirectory    用户的可活动目录 可以用 %h 标识用户家目录 %u 代表用户名 当 Match 匹配的用户登录后 会话的根目录会切换至此目录 这里要尤其注意两个问题

1、 chroot 路径上的所有目录,所有者必须是 root,权限最大为 0755,这一点必须要注意而且符合 所以如果以非 root 用户登录时,我们需要在 chroot 下新建一个登录用户有权限操作的目录

2、chroot 一旦设定 则相应的用户登录时会话的根目录 "/" 切换为此目录,如果你此时使用 ssh 而非 sftp 协议登录,则很有可能会被提示:

/bin/bash: No such file or directory

这则提示非常的正确,对于此时登录的用户,会话中的根目录 "/" 已经切换为你所设置的 chroot 目录,除非你的 chroot 就是系统的 "/" 目录,否则此时的 chroot/bin 下是不会有 bash 命令的,这就类似添加用户时设定的 -s /bin/false 参数,shell 的初始命令式 /bin/false 自然就无法远程 ssh 登录了

ForceCommand    强制用户登录会话时使用的初始命令 如果如上配置了此项 则 Match 到的用户只能使用 sftp 协议登录,而无法使用 ssh 登录 会被提示
This service allows sftp connections only.

配置完成 重启 sshd 服务

service sshd restart

注意:

1、chroot 可能带来的问题,因为 chroot 会将会话的根目录切换至此,所以 ssh 登录很可能会提示 /bin/bash: No such file or directory 的错误,因为此会话的路径会为 chroot/bin/bash

2、ForceCommand 为会话开始时的初始命令 如果指定了比如 internal-sftp,则会提示 This service allows sftp connections only. 这就如同 usermod -s /bin/false 命令一样,用户登录会话时无法调用 /bin/bash 命令,自然无法 ssh 登录服务器

总结

以上所述是小编给大家介绍的linux操作系统下配置ssh/sftp和权限设置方法,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!

(0)

相关推荐

  • linux中ssh免密通信的实现

    什么是ssh 管理员可以通过远程登陆的方式,对通过网相连的分散于各处的多台主机进行管理操作. 管理员可以对远程主机进行如下操作: 远程登陆 远程命令执行 远程文件传输 遗憾的事情是:这些操作不安全! 使用纯文本口令,并用明文发送 信息可能会被截取,口令可能会被检索 未经授权的人员使用截取的口令登陆系统而对系统造成危害 在日常操作练习时,用ssh登录其他主机时,可能会每次都需要输入登录密码,哪怕用scp复制东西也需要. 为了更方便快捷的切换主机,ssh免密通信不失为更好的选择: 用ssh-keyg

  • bash脚本中将密码传递给ssh/scp命令方法详解

    安装SSHPASS 对于大多数最新的操作系统,sshpass软件包在默认软件包存储库中可用.可以使用以下命令在系统上安装它. 在Debian上: $ sudo apt install sshpass 在CentOS上: $ yum --enablerepo = epel -y install sshpass 使用SSHPASS sshspass使用sshspass环境变量存储用户密码.需要首先使用sshspass变量和密码,然后使用此命令.下面是一个使用sshspass的简单shell脚本. e

  • Mac通过不同终端SSH连接远程服务器的讲解

    Mac使用Shell(终端)SSH连接远程服务器 前提:要有你需要连接的服务器的ip,端口号,服务器上的账户和密码 1.首先打开终端,然后输入sudo su - 回车进入根目录 2.然后输入:ssh -p 端口号 服务器用户名@ip (例如ssh -p 22 userkunyu@119.29.37.63)回车,到这会让你输入yes或者no来确认是否连接,输入yes回车 3.然后输入在服务器上的用户密码回车 4.到此进入的是你在服务器上的账户的目录,即为连接成功,最后输入sudo su -进入服务

  • 在CentOS VPS上通过SSH安装 MySQL的方法图解

    输入yum install mysql-server 按Y继续 安装完成,设置开机启动Mysql,输入 chkconfig --levels 235 mysqld on 然后启动tomcat,输入service mysqld start 启动完毕,然后登录MYsql设置密码 输入set password for 'root'@'localhost' = password('12345678');来设置密码 至此,mysql安装完毕!然后创建数据库,首先用show databases;查看数据库

  • Ubuntu基础设定:openssh-server的安装和使用介绍

    记录一下Ubuntu17.10的openssh-server的安装和使用.安装之后就可以使用ssh登陆Ubuntu了,所以是Ubuntu的基础设定之一. 事前准备 Ubuntu版本:17.10 devops@ubuntu:~$ cat /etc/issue Ubuntu 17.10 \n \l devops@ubuntu:~$ devops@ubuntu:~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu

  • Linux上通过SSH挂载远程文件系统方法详解

    SSHFS的特点: 基于FUSE(Linux的最佳用户空间文件系统框架) 多线程:在服务器上可以有多个请求 允许大读取(最大64k) 缓存目录内容 步骤1:安装fuse-sshfs 对于centos/rhel用户,fuse sshfs在epel repository下可用,因此请确保在系统中安装了epel repository.现在执行以下命令安装它 在CENTOS/RHELL上: #yum install fuse-sshfs 在Ubuntu和Dabian上: $ sudo apt-get u

  • centos6.5配置ssh免秘钥登陆执行pssh命令的讲解

    1.检查并安装pssh,yum list pssh 2.因为没有配置免秘钥登陆,pssh命令执行失败. [root@bogon ]# pssh -H root@192.168.245.129 -i uptime [1] 11:00:36 [FAILURE] root@192.168.245.129 Exited with error code 255 Stderr: The authenticity of host '192.168.245.129 (192.168.245.129)' can'

  • jenkins中通过Publish Over SSH插件将项目部署到远程机器上的讲解说明

    Publish Over SSH插件使用 在使用Publish Over SSH之前,需要制作SSH私钥.机器间做免密登录配置.假设机器A,ip为192.168.AA.AAA,机器B: 192.168.BB.BBB,机器A能够免密登录机器B,机器B能够免密登录机器A,制作方式是: 进入A机器,执行: cd ~ ssh-keygen -t rsa 通过下面的命令,表示可以通过机器192.168.AA.AAA免密登录到机器192.168.BB.BBB ssh-copy-id 192.168.BB.B

  • centos 修改ssh默认端口号的方法示例

    linux服务器一般默认的ssh端口号都为22,所以在大部分的使用者手中出于安全考虑就需要修改ssh的默认端口号,下面为为修改ssh默认端口号方法 一:修改/etc/ssh/sshd_config配置文件(注意:这里是sshd_config,而不是ssh_config) 1:查看ssh的默认端口号 netstat -anp|grep ssh 2:修改/etc/ssh/sshd_config配置文件 在sshd_config文件中添加一个端口号10011(这里保留22端口,是为了放置假如配置失败的

  • Ubuntu环境下SSH的安装及使用详解

    SSH是指Secure Shell,是一种安全的传输协议,Ubuntu客户端可以通过SSH访问远程服务器 . SSH的简介和工作机制 SSH简介 传统的网络服务程序,如:ftp.POP和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据.而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到"中间人"(man-in-the-middle)这种方式的攻击.所谓"中间人"的攻击方式,就是"

随机推荐