第一步:创建sftp服务用户组,创建sftp服务根目录
#创建用户组 groupadd sftp #创建目录 mkdir /srv/sftp #修改此目录的所有者为root,用户组为sftp chown -R root:sftp /srv/sftp #修改此目录的权限为755 chmod -R 0755 /srv/sftp
第二步:备份sshd配置文件然后编辑
#进入配置目录 cd /etc/ssh/ #备份配置文件 cp sshd_config sshd_config.back #编辑配置文件 vim sshd_config
将sshd_config文件中的此行代码: Subsystem sftp /usr/libexec/openssh/sftp-server 修改为: Subsystem sftp internal-sftp
在文件的末尾处添加如下代码:
Match Group sftp
ChrootDirectory /srv/sftp/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
功能可简述为: 凡是在用户组sftp里的用户,都可以使用sftp服务 使用sftp服务连接上之后,可访问目录为/srv/sftp/username
举个例子: 用户test是一个sftp组的用户,那么他通过sftp连接服务器上之后,只能看到/srv/sftp/test目录下的内容 用户test2也是一个sftp组的用户,那么他通过sftp连接服务器之后,只能看到/srv/sftp/test2目录下的内容
第三步:添加有效的sftp用户,且给予用户写权限
#此例将创建一个名称为test的sftp帐号
#创建test的家目录:test目录的所有者必须是root,组最好设定为sftp,权限不高于755 mkdir /srv/sftp/test chmod 0755 /srv/sftp/test chown root:sftp /srv/sftp/test #添加用户 #使用参数 -s /sbin/nologin 禁止用户通过命令行登录 useradd -g sftp -d /srv/sftp/test -s /sbin/nologin test
#关于写权限,如下解决方案并不是很完美
#在test目录下创建一个可以写的目录 mkdir /srv/sftp/test/write chown -R test:sftp /srv/sftp/test/write 这样test用户就可以在自己家目录里的write目录下拥有写入权限了
最后再强调一下,sftp服务的根目录的所有者必须是root,权限不能超过755(上级目录也必须遵循此规则),sftp的用户目录所有者也必须是root,且最高权限不能超过755.
参考链接: