如何在 Debian 10 中配置 Chroot 环境的 SFTP 服务
SFTP 意思是“ 安全文件传输协议(Secure File Transfer Protocol)” 或 “ SSH 文件传输协议(SSH File Transfer Protocol)”,它是最常用的用于通过 ssh
将文件从本地系统安全地传输到远程服务器的方法,反之亦然。sftp
的主要优点是,除 openssh-server
之外,我们不需要安装任何额外的软件包,在大多数的 Linux 发行版中,openssh-server
软件包是默认安装的一部分。sftp
的另外一个好处是,我们可以允许用户使用 sftp
,而不允许使用 ssh
。
当前发布的 Debian 10 代号为 ‘Buster’,在这篇文章中,我们将演示如何在 Debian 10 系统中在 “监狱式的” Chroot 环境中配置 sftp
。在这里,Chroot 监狱式环境意味着,用户不能超出各自的家目录,或者用户不能从各自的家目录更改目录。下面实验的详细情况:
- OS = Debian 10
- IP 地址 = 192.168.56.151
让我们跳转到 SFTP 配置步骤,
步骤 1、使用 groupadd 命令给 sftp 创建一个组
打开终端,使用下面的 groupadd
命令创建一个名为的 sftp_users
组:
groupadd sftp_users
步骤 2、添加用户到组 sftp_users 并设置权限
假设你想创建新的用户,并且想添加该用户到 sftp_users
组中,那么运行下面的命令,
useradd -m -G sftp_users <用户名>
让我们假设用户名是 jonathan
:
useradd -m -G sftp_users jonathan
使用下面的 chpasswd
命令设置密码:
echo "jonathan:<输入密码>" | chpasswd
假设你想添加现有的用户到 sftp_users
组中,那么运行下面的 usermod
命令,让我们假设已经存在的用户名称是 chris
:
usermod -G sftp_users chris
现在设置用户所需的权限:
chown root /home/jonathan /home/chris/
在各用户的家目录中都创建一个上传目录,并设置正确地所有权:
mkdir /home/jonathan/upload
mkdir /home/chris/upload
chown jonathan /home/jonathan/upload
chown chris /home/chris/upload
注意: 像 Jonathan 和 Chris 之类的用户可以从他们的本地系统上传文件和目录。
步骤 3、编辑 sftp 配置文件 /etc/ssh/sshd_config
正如我们已经陈述的,sftp
操作是通过 ssh
完成的,所以它的配置文件是 /etc/ssh/sshd_config
,在做任何更改前,我建议首先备份文件,然后再编辑该文件,接下来添加下面的内容:
cp /etc/ssh/sshd_config /etc/ssh/sshd_config-org
vim /etc/ssh/sshd_config
......
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp
Match Group sftp_users
ChrootDirectory /home/%u
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
......
保存并退出文件。
为使上述更改生效,使用下面的 systemctl
命令来重新启动 ssh
服务:
systemctl restart sshd
在上面的 sshd_config
文件中,我们已经注释掉了以 Subsystem
开头的行,并添加了新的条目 Subsystem sftp internal-sftp
和新的行。而
Match Group sftp_users
–> 它意味着如果用户是 sftp_users
组中的一员,那么将应用下面提到的规则到这个条目。
ChrootDierctory %h
–> 它意味着用户只能在他们自己各自的家目录中更改目录,而不能超出他们各自的家目录。或者换句话说,我们可以说用户是不允许更改目录的。他们将在他们的目录中获得监狱一样的环境,并且不能访问其他用户的目录和系统的目录。
ForceCommand internal-sftp
–> 它意味着用户仅被限制到只能使用 sftp
命令。
步骤4、测试和验证sftp
sftp -P ssh端口 username@ip
评论 (0)