OpenSSH下SFTP的配置

OpenSSH網(wǎng)站上那只SSH刺河豚將FTP埋葬

有關(guān)sftp有人推薦www.ssh.com的實現(xiàn)，不過我更喜歡開源的產(chǎn)品，特別是Open系列的安全產(chǎn)品。

需求

首先我們明確我們的目標(biāo)，我們是希望通過SFTP代替FTP，需求是這樣的:

這些用戶只能通過SFT訪問服務(wù)器
用戶要鎖定在相應(yīng)的目錄下

我想通常的思路是這樣的:

打開OpenSSH的SFTP
將這些用戶設(shè)置在一個組中
讓OpenSSH識別這個組，只允許這些用戶使用SFTP
最后系統(tǒng)要自動的將用戶chroot在用戶目錄下

配置

我開始都覺得是不是要求太高，不過OpenSSH可以解決以上所有問題。話說回來，如果不能解決怎么可以把FTP埋葬呢。

SSHD_CONFIG

sshd通常是打開了sftp的，不過我們應(yīng)該使用internal-sftp在sshd_conf中作如下配置:

1 # Subsystem sftp /usr/lib/openssh/sftp-server # 注釋掉
2 Subsystem sftp internal-sftp
3
4 ##
5 Match group sftponly
6     ChrootDirectory /sftphome/%u
7     X11Forwarding no
8     AllowTcpForwarding no
9     ForceCommand internal-sftp
10

解釋一下：當(dāng)sshd匹配到sftponly組中的用戶，就會強制使用sftp(ForceCommand的作用)，并將用戶限定在/sftphome/下相應(yīng)用戶的目錄下(ChrootDirectory的作用)。

創(chuàng)建用戶

我們需要創(chuàng)建相應(yīng)的用戶了：

#useradd -G sftponly -d /sftphome/sftpuser -s /usr/sbin/nologin sftpuser
#tail /etc/password

sftpuser:x:1000:1000::/sftphome/sftpuser:/usr/sbin/nologin
#passwd sftpuser

你可以在其他機器上用sftp登錄試試了。你的連接將會被reset!去看看sshd的日志，你會發(fā)現(xiàn)pam.d的認證是通過了的，但是chroot失敗了。按網(wǎng)絡(luò)上的說法

#chown root /sftphome/sftpuser
#chmod 755 /sftphome/sftpuser

再試，可以登錄。新的問題是不能在此目錄下寫入。對的嘛，755對于組用戶是不能寫啊。再試試775，剛才的問題就來又了，chroot失敗。

以上內(nèi)容網(wǎng)絡(luò)上一google一大把。

可以登錄不能寫這個問題真讓人困惑!后來我想可能應(yīng)該這樣理解：既然要chroot，那個目錄不屬于root肯定是不行的(說錯了，猛拍磚)。那我們就不能為用戶提供完整的sftp服務(wù)了嗎？我想可以這樣

#mkdir /sftphome/sftpuser/space
#chown sftpuser.sftpuser /sftphome/sftpuser/space

由系統(tǒng)管理員為sftp用戶提供一個目錄，并設(shè)置其用戶屬性，用戶在這個目錄下用戶是可寫的。當(dāng)然可以創(chuàng)建很多個。

這樣算不算解決這個問題呢？暫且如此吧。如果您有好方法，一定告知哦。

posted on 2009-12-02 21:04 五點半閱讀(5391) 評論(3) 編輯收藏引用所屬分類: 開發(fā)環(huán)境

只有注冊用戶登錄后才能發(fā)表評論。
【推薦】100%開源！大型工業(yè)跨平臺軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: OpenLDAP啟動與配置 OpenSSH下SFTP的配置應(yīng)用中的MySQL服務(wù)器部署Replication 在Debian下安裝Oracle 10 XE Debian下mrtg的配置

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

# re: OpenSSH下SFTP的配置 2010-09-03 01:50 Holden

# re: OpenSSH下SFTP的配置 2010-09-03 08:54 lambdacpp

# re: OpenSSH下SFTP的配置 2010-09-19 10:34 kangzj

無法遞歸的五點半

導(dǎo)航

統(tǒng)計

常用鏈接

留言簿(4)

隨筆分類

隨筆檔案

文章分類

相冊

收藏夾

C++

Unix/Linux

個人主頁

其他

軟件工程

網(wǎng)絡(luò)管理

綜合

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜

OpenSSH下SFTP的配置

需求

配置

SSHD_CONFIG

創(chuàng)建用戶

評論