介绍
SFTP代表S SH F ile T转移协议。 顾名思义,它是使用加密的SSH连接将文件传输到服务器的安全方式。 尽管如此,它与FTP (传输协议)完全不同,尽管现在的FTP客户端得到了广泛的支持。
默认情况下,SFTP可用,并且在启用了SSH访问的所有服务器上都没有其他配置。 它的安全性和易用性,但具有缺点:在标准配置中,SSH服务器通过系统上的帐户授予所有用户的文件传输访问和终端shell访问权限。
在某些情况下,您可能只希望允许某些用户进行文件传输,也不需要SSH访问。 在本教程中,我们将设置SSH守护进程,限制SFTP访问到一个目录,每个用户不允许SSH访问。
先决条件
要遵循本教程,您将需要:
- 一个Ubuntu 16.04服务器设置了此初始服务器设置教程 ,包括sudo非root用户和防火墙。
第1步 - 创建新用户
首先,创建一个新的用户,仅授予对服务器的文件传输访问权限。 在这里,我们使用用户名sammyfiles ,但您可以使用任何您喜欢的用户名。
sudo adduser sammyfiles
系统将提示您为该帐户创建密码,然后提供有关该用户的一些信息。 用户信息是可选的,因此您可以按ENTER将这些字段留空。
您现在已经创建了一个新用户,该用户将被授予对受限目录的访问权限。 在下一步中,我们将创建文件传输目录并设置必要的权限。
第2步 - 创建文件传输目录
为了限制SFTP访问到一个目录,我们首先必须确保目录符合SSH服务器的权限要求,这是非常特别的。
具体来说,文件系统树中的目录本身和它上面的所有目录必须由root拥有,而不能由任何其他人写。 因此,不可能简单地对用户的主目录进行受限访问,因为主目录由用户拥有而不是root 。
注意:某些版本的OpenSSH对目录结构和所有权没有这样严格的要求,但大多数现代Linux发行版(包括Ubuntu 16.04)都是这样做的。
有多种方法来解决这个所有权问题。 在本教程中,我们将创建并使用/var/sftp/uploads作为目标上传目录。 /var/sftp将由root拥有,其他用户将不可写; 子目录/var/sftp/uploads将由sammyfiles拥有,以便用户能够将文件上传到它。
首先,创建目录。
sudo mkdir -p /var/sftp/uploads
将/var/sftp的所有者设置为root 。
sudo chown root:root /var/sftp
给同一目录下的root写入权限,并给其他用户只读和执行权限。
sudo chmod 755 /var/sftp
将uploads目录的所有权更改为sammyfiles 。
sudo chown sammyfiles:sammyfiles /var/sftp/uploads
现在目录结构到位,我们可以配置SSH服务器本身。
第3步 - 限制访问一个目录
在此步骤中,我们将修改SSH服务器配置以禁止sammyfiles的终端访问,但允许文件传输访问。
使用nano或您喜欢的文本编辑器打开SSH服务器配置文件。
sudo nano /etc/ssh/sshd_config
滚动到文件的最底部,并附加以下配置代码段:
. . .
Match User sammyfiles
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/sftp
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
然后保存并关闭文件。
以下是这些指令中的每一个:
-
Match User告诉SSH服务器仅对指定的用户应用以下命令。 在这里,我们指定sammyfiles 。 -
ForceCommand internal-sftp强制SSH服务器在登录时运行SFTP服务器,不允许shell访问。 -
PasswordAuthentication yes允许该用户进行密码验证。 -
ChrootDirectory /var/sftp/确保不允许用户访问/var/sftp目录之外的任何内容。 您可以在此chroot教程中了解有关chroot的更多信息。 -
AllowAgentForwarding no,AllowTcpForwarding no。 并且X11Forwarding no禁用此用户的端口转发,隧道和X11转发。
可以为不同的用户复制和重复这个命令,从Match User开始。 确保相应地修改Match User行中的Match User名。
注意 :您可以省略PasswordAuthentication yes行,而是设置SSH密钥访问以提高安全性。 按照SSH Essentials 复制公共SSH密钥部分:使用SSH服务器,客户端和密钥教程执行此操作。 在禁用用户的shell访问之前,请确保执行此操作。
在接下来的步骤中,我们将通过本地SSH访问密码来测试配置,但是如果您设置了SSH密钥,则需要使用用户密钥对来访问计算机。
要应用配置更改,请重新启动服务。
sudo systemctl restart sshd
您现在已将SSH服务器配置为限制仅对sammyfiles进行文件传输的访问 。 最后一步是测试配置,以确保其按预期工作。
第4步 - 验证配置
让我们确保我们的新sammyfiles用户只能传输文件。
使用正常的shell访问作为sammyfiles登录到服务器应该不再可能。 我们来试试吧
ssh sammyfiles@localhost
在返回原始提示之前,您将看到以下消息:
Error messageThis service allows sftp connections only.
Connection to localhost closed.
这意味着sammyfiles无法再使用SSH访问服务器shell。
接下来,我们来验证用户是否可以成功访问SFTP进行文件传输。
sftp sammyfiles@localhost
而不是错误消息,此命令将显示一个成功的登录消息与交互式提示。
SFTP promptConnected to localhost.
sftp>
您可以在提示符中使用ls列出目录内容:
ls
这将显示在uploads一步中创建的uploads目录,并返回到sftp>提示符。
SFTP file list outputuploads
为了验证用户确实受限于此目录,无法访问其上的任何目录,您可以尝试将目录更改为上述目录。
cd ..
此命令不会发出错误,但是如前所述列出目录内容将不显示任何更改,从而证明用户无法切换到父目录。
您现在已经验证了受限配置是否正常工作。 新创建的sammyfiles用户只能使用SFTP协议访问服务器进行文件传输,无法访问完整的shell。
结论
您已将用户限制在仅SFTP访问服务器上的单个目录,而无需完全shell访问。 虽然本教程仅使用一个目录和一个用户来简化,但您可以将此示例扩展到多个用户和多个目录。
SSH服务器允许更复杂的配置方案,包括一次限制对组或多个用户的访问或限制对某些IP地址的访问。 您可以在OpenSSH Cookbook中找到其他配置选项和可能的指令说明。 如果您遇到任何SSH问题,您可以使用此故障排除SSH系列进行调试和修复。
