Linux下为不使用SSH的用户提供SFTP服务环境

  SFTP

  sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP。

  PS:FTP与SFTP的区别

  FTP是文件传输协议。在网站上,如果你想把文件和人共享,最便捷的方式莫过于把文件上传到FTP服务器上,其他人通过FTP客户端程序来下载所需要的文件。

  FTP进行文件传输需要通过端口进行。一般所需端口为:

  1.控制链路—TCP端口21。控制器端。用于发送指令给服务器以及等待服务器响应。

  2.数据链路---TCP端口20。数据传输端口。用来建立数据传输通道的。主要用来从客户向服务器发送一个文件、从服务器向客户发送一个文件、从服务器向客户发送文件或目录列表。

  FTP为了适应不同的网络环境,支持主动连接和被动连接两种模式。这两种模式都主要针对数据链路进行的,跟控制链路无关。

  FTP的安全隐患:

  一、FTP服务器软件漏洞。

  二、明文口令。

  三、FTP旗标。

  四、通过FTP服务器进行端口扫描。

  五、数据劫持。

  FTP的安全策略:

  一、使用较比安全的系统和FTP服务软件。

  二、使用密文传输用户名和口令。

  三、更改服务软件的旗标。

  四、加强协议安全性。

  为非SSH用户配置SFTP环境

  SFTP是Secure File Transfer Protocol的缩写,是安全文件传送协议。可以为传输文件提供一种安全的加密方法。跟ftp几乎语法功能一样。

  步骤:1 创建组

  代码如下:

  [root@localhost ~]# groupadd sftp_users

  步骤:2 分配附属组(sftp_users)给用户

  如果用户在系统上不存在,使用以下命令创建( LCTT 译注:这里给用户指定了一个不能登录的 shell,以防止通过 ssh 登录):

  代码如下:

  [root@localhost ~]# useradd -G sftp_users -s /sbin/nologin jack

< p>[root@localhost ~]# passwd jack

  对于已经存在的用户,使用以下usermod命令进行修改:

  代码如下:

  [root@localhost ~]# usermod –G sftp_users -s /sbin/nologin jack

  注意:如果你想要修改用户的默认家目录,那么可以在useradd和usermod命令中使用‘-d’选项,并设置合适的权限。

  步骤:3 现在编辑配置文件 “/etc/ssh/sshd_config”

  代码如下:

  # vi /etc/ssh/sshd_config

< p>#comment out the below line and add a line like below

< p>#Subsystem sftp /usr/libexec/openssh/sftp-server

< p>Subsystem sftp internal-sftp

< p># add Below lines at the end of file

< p>Match Group sftp_users

< p>X11Forwarding no

< p>AllowTcpForwarding no

< p>ChrootDirectory %h

< p>ForceCommand internal-sftp

  此处:

  Match Group sftp_users – 该参数指定以下的行将仅仅匹配sftp_users组中的用户

  ChrootDirectory %h – 该参数指定用户验证后用于chroot环境的路径(默认的用户家目录)。对于用户 Jack,该路径就是/home/jack。

  ForceCommand internal-sftp – 该参数强制执行内部sftp,并忽略任何~/.ssh/rc文件中的命令。

  重启ssh服务

  代码如下:

  # service sshd restart

  步骤:4 设置权限:

  代码如下:

  [root@localhost ~]# chmod 755 /home/jack

< p>[root@localhost ~]# chown root /home/jack

< p>[root@localhost ~]# chgrp -R sftp_users /home/jack

  如果你想要允许jack用户上传文件,那么创建一个上传文件夹,设置权限如下:

  代码如下:

  [root@localhost jack]# mkdir /home/jack/upload

< p>[root@localhost jack]# chown jack. /home/jack upload/

  步骤:5 现在尝试访问系统并进行测试

  尝试通过ssh访问系统



  正如下图所示,用户jack通过SFTP登录,而且因为chroot环境不能切换目录。



  现在进行上传和下载测试,如下图:



  正如上图所示,jack用户的上传下载功能都工作得很好。

(0)

相关推荐

  • 如何在Linux下设置访问控制列表(ACL)来控制用户的权限

    Linux下的访问控制列表(ACL)主要用来控制用户的权限,可以做到不同用户对同一文件有不同的权限,那么具体要如何操作呢?下面小编就教你如何在Linux下设置访问控制列表(ACL)来控制用户的权限。 ...

  • Linux下的用户管理总结(含禁止用户和IP登录的方法)

    在Linux中,用户的管理分为组和用户两种。这个Windows下也是这个样子,组是一类用户的统称。组和用户的关系是:多对多的关系。即用户可以存在于多个组中,组中也可以有多个用户。组的权限会被赋予组中的 ...

  • linux下如何开通ssh,允许远程登录?

    ssh是可以代替telnet的一种远程管理的方式.并且具有安全\快捷等优点的一种服务. 方法一:进入Xwindows, 在shell窗口执行setup命令,选择system service启动sshd ...

  • Linux下出现断网但用户并没有退出登录的解决方法

    当我们在进行Linux系统操作的时候,有时会出现断网但用户并没有退出登录的情况,这时就需要使用注销来处理了,下面小编就给大家介绍下Linux下注销用户的方法,一起来了解下吧。 经常在操作Linux的时 ...

  • Linux下使用函数获取用户空间ns级时间

    在进行Linux系统操作的时候,因为测试程序性能的需要,必须将获得的时间精确到ns级,那么具体要如何实现呢?下面小编就教你如何使用函数实现Linux用户空间ns级时间的获取,一起来学习下吧。 一、引言 ...

  • Linux下SSH Session复制功能实现方法

    特别感谢阿干同学的邮件分享。 详细方法 复制代码 代码如下: Linux/mac下,在$HOME/.ssh/config中加入 Host * ControlMaster auto ControlPat ...

  • Centos(Linux)下用户权限委派配置介绍

    Centos(Linux)下用户权限委派配置介绍 说到权限委派,对于一个服务的正常运行至关重要,对于企业中经常说到的一句话就是,权限越大,责任越大,当然危害也是最大的,当权限比较的时候误操作会给应用造 ...

  • Linux下如何修改用户默认目录

    Linux下默认的用户目录一般为/home/xxx(root用户除外),有些时候我们可能需要修改这个目录,下面我就给大家分享2中修改的方法 操作方法 01 1.切换到root用户,直接修改/etc/p ...

  • Linux下SSH命令使用方法详解

    操作方法 01 1.查看SSH客户端版本 有的时候需要确认一下SSH客户端及其相应的版本号.使用ssh -V命令可以得到版本号.需要注意的是,Linux一般自带的是OpenSSH: 下面的例子即表明该 ...