安装OpenSSH服务器
Ubuntu通常已经预装了OpenSSH客户端,但如果您还没有OpenSSH服务器,请在终端中执行以下命令来安装:
sudo apt update
sudo apt install openssh-server
创建SFTP用户和组
创建一个新的用户组(例如 sftp_users),用于管理SFTP用户:
sudo groupadd sftp_users
创建一个新的SFTP用户(例如 sftpuser),并将其添加到新创建的组。同时设置该用户的密码:
sudo useradd -m sftpuser -g sftp_users
sudo passwd sftpuser
设置SFTP目录和权限
修改sftp_users用户组用户目录权限
因为使用了ChrootDirectory /data/sftp 作为sftp_users的sftp根目录,现在来修改权限
为sftp选择/新建一个工作目录,目录的所有上级目录属主必须为root,且不能为777的权限
- 创建一个新目录,用作SFTP用户的根目录(例如 /mysftp):
sudo mkdir /root/mysftp
- 为新创建的SFTP用户创建一个子目录,作为其个人目录:
sudo mkdir /root/mysftp/one
- 更改SFTP根目录和个人目录的所有者和权限:
例子:将档案 file1.txt 的拥有者设为 users,群体的使用者 jessie :
1 |
|
例子:将目录下的所有档案与子目录的拥有者皆设为 users 群体的使用者 lamport :
1 |
|
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755
sudo chown root:root /root/mysftp
sudo chmod 755 /root/mysftp
chown sftpuser:sftp_users /root/mysftp/one/
chmod 700 /root/mysftp/one
配置OpenSSH以限制SFTP用户的访问
编辑 /etc/ssh/sshd_config 文件以限制SFTP用户对其根目录的访问:
sudo nano /etc/ssh/sshd_config
在文件末尾添加以下内容:
Match Group sftp_users #新建的用户组
ChrootDirectory /root/mysftp #新建的sftp根目录
ForceCommand internal-sftp #指定sftp命令,不能ssh连接
AllowTcpForwarding no #禁止tcp转发
X11Forwarding no #禁止X11转发
保存文件并退出编辑器。
重新启动OpenSSH服务器
sudo systemctl restart sshd
测试连接
使用sftp连接工具