介绍
SFTP代表S SH F ile T ransfer P rotocol。 顾名思义,这是一种使用加密SSH连接在计算机之间传输文件的安全方法。 尽管名称如此,但它与FTP ( F ile T ransfer P rotocol)完全不同,尽管现代FTP客户端广泛支持它。
默认情况下,SFTP可用,并且在启用了SSH访问的所有服务器上没有其他配置。 它安全且易于使用,但缺点是:在标准配置中,SSH服务器授予对系统上具有帐户的所有用户的文件传输访问权限和终端shell访问权限。
在某些情况下,您可能只希望允许某些用户进行文件传输而不允许SSH访问。 在本教程中,我们将设置SSH守护程序,以限制对每个用户不允许SSH访问的一个目录的SFTP访问。
先决条件
要学习本教程,您需要访问Ubuntu 18.04服务器。 此服务器应具有sudo
权限的非root用户,以及启用的防火墙。 有关进行此设置的帮助,请按照我们的Ubuntu 18.04初始服务器设置指南进行操作 。
第1步 - 创建新用户
首先,创建一个只授予服务器文件传输访问权限的新用户。 在这里,我们使用的是用户名sammyfiles ,但您可以使用任何您喜欢的用户名。
sudo adduser sammyfiles
系统将提示您为帐户创建密码,然后提供有关该用户的一些信息。 用户信息是可选的,因此您可以按ENTER
将这些字段留空。
您现在已经创建了一个新用户,该用户将被授予对受限目录的访问权限。 在下一步中,我们将创建文件传输目录并设置必要的权限。
第2步 - 创建文件传输目录
为了限制SFTP访问一个目录,我们首先要确保该目录符合SSH服务器的权限要求,这是非常特殊的。
具体来说,目录本身及文件系统树中它上面的所有目录必须由root拥有,而其他任何人都不可写。 因此,不可能简单地限制访问用户的主目录,因为主目录由用户拥有,而不是root 。
注意:某些版本的OpenSSH对目录结构和所有权没有如此严格的要求,但大多数现代Linux发行版(包括Ubuntu 18.04)都有。
有许多方法可以解决此所有权问题。 在本教程中,我们将创建并使用/var/sftp/uploads
作为目标上载目录。 /var/sftp
将由root拥有,不会被其他用户写入; 子目录/var/sftp/uploads
将归sammyfiles所有 ,这样用户就可以将文件上传到它了。
首先,创建目录。
sudo mkdir -p /var/sftp/uploads
将/var/sftp
的所有者/var/sftp
为root 。
sudo chown root:root /var/sftp
授予同一目录的root写权限,并为其他用户提供只读和执行权限。
sudo chmod 755 /var/sftp
将uploads
目录的所有权更改为sammyfiles 。
sudo chown sammyfiles:sammyfiles /var/sftp/uploads
现在目录结构已就绪,我们可以配置SSH服务器本身。
第3步 - 限制对一个目录的访问
在此步骤中,我们将修改SSH服务器配置以禁止sammy文件的终端访问,但允许文件传输访问。
使用nano
或您喜欢的文本编辑器打开SSH服务器配置文件。
sudo nano /etc/ssh/sshd_config
滚动到文件的最底部并附加以下配置代码段:
. . .
Match User sammyfiles
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/sftp
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
然后保存并关闭该文件。
以下是每个指令的作用:
-
Match User
告诉SSH服务器仅将以下命令应用于指定的用户。 在这里,我们指定sammyfiles 。 -
ForceCommand internal-sftp
强制SSH服务器在登录时运行SFTP服务器,禁止shell访问。 -
PasswordAuthentication yes
允许此用户进行密码验证。 -
ChrootDirectory /var/sftp/
确保不允许用户访问/var/sftp
目录之外的任何内容。 -
AllowAgentForwarding no
,AllowTcpForwarding no
。 和X11Forwarding no
禁用此用户的端口转发,隧道和X11转发。
从Match User
开始的这组命令也可以为不同的用户复制和重复。 确保相应地修改Match User
行中的Match User
名。
注意 :您可以省略PasswordAuthentication yes
行,而是设置SSH密钥访问以提高安全性。 按照SSH Essentials的“ 复制公共SSH密钥”部分:使用SSH服务器,客户端和密钥教程来执行此操作。 在为用户禁用shell访问之前,请确保执行此操作。
在下一步中,我们将通过密码访问本地SSH来测试配置,但是如果设置了SSH密钥,则需要使用用户的密钥对访问计算机。
要应用配置更改,请重新启动该服务。
sudo systemctl restart sshd
您现在已配置SSH服务器以限制仅对sammyfiles访问文件传输。 最后一步是测试配置以确保其按预期工作。
第4步 - 验证配置
让我们确保我们的新sammyfiles用户只能传输文件。
使用正常的shell访问权限登录sammyfiles应该不再可能。 我们来试试吧:
ssh sammyfiles@localhost
在返回到原始提示之前,您将看到以下消息:
Error messageThis service allows sftp connections only.
Connection to localhost closed.
这意味着sammyfiles无法再使用SSH访问服务器shell。
接下来,让我们验证用户是否可以成功访问SFTP进行文件传输。
sftp sammyfiles@localhost
此命令将显示带有交互式提示的成功登录消息,而不是错误消息。
SFTP promptConnected to localhost.
sftp>
您可以在提示符中使用ls
列出目录内容:
ls
这将显示在uploads
一步中创建的uploads
目录,并返回到sftp>
提示符。
SFTP file list outputuploads
要验证用户确实仅限于此目录并且无法访问其上方的任何目录,您可以尝试将目录更改为其上方的目录。
cd ..
此命令不会出错,但是像以前一样列出目录内容将不会显示任何更改,从而证明用户无法切换到父目录。
您现在已验证受限配置是否按预期工作。 新创建的sammyfiles用户只能使用SFTP协议访问服务器进行文件传输,并且无法访问完整的shell。
结论
您已将用户限制为仅访问SFTP,无需完全shell访问即可访问服务器上的单个目录。 虽然本教程仅使用一个目录和一个用户,但您可以将此示例扩展到多个用户和多个目录。
SSH服务器允许更复杂的配置方案,包括一次限制对组或多个用户的访问,甚至限制对某些IP地址的访问。 您可以在OpenSSH Cookbook中找到其他配置选项的示例以及可能的指令说明。 如果您遇到任何SSH问题,可以使用此疑难解答SSH系列调试和修复它们。