SFTP一般指SSH文件传输协议,在计算机领域,SSH文件传输协议(英语:SSH File Transfer Protocol,也称Secret File Transfer Protocol,中文:安全文件传送协议,英文:Secure FTP或字母缩写:SFTP)是一数据流连接,提供文件访问、传输和管理功能的网络传输协议。
1、SFTP相关命令及配置
1.1SFTP相关命令
1.2配置内容说明
vim /etc/ssh/sshd_config
# Subsystem sftp /usr/libexec/openssh/sftp-server #注释此行
Subsystem sftp internal-sftp #指定使用sftp服务使用系统自带的internal-sftp
Match User xxx #匹配用户,匹配多个用户或组用逗号分割,匹配用户组进用Match Group
ChrootDirectory /var/www/ #指定xxx用户只能sftp到本/var/www/目录,注此目录非用家
Match User yyy #设置第N个账号
ChrootDirectory /var/www/
ForceCommand internal-sftp #限定Match到用户只能使用ftp模式登录,禁用ssh模式
#禁止端口转发
# 如果不希望该用户能使用端口转发的话就加上,否则删掉或注释
X11Forwarding no
AllowTcpForwarding no
注意:ChrootDirectory一旦设定,则相应的用户登录时会话的根目录“/”切换为此目录,如果你此时使用ssh而非sftp协议登录,则很有可能会被提示:/bin/bash: No such file or director,造成被用户无法进行ssh登录。#ForceCommand 强制用户登录会话时使用的初始命令,如果如上配置了此项则 Match到的用户只能使用sftp协议登录,而无法使用ssh登录,会被提示:This service allows sftp connections only错误,请将参数放Match下面,否者会造成所有用户无法ssh登录。
2、SFTP实例
2.1 配置root帐号登录SFTP
2.1.1备份sshd配置文件
[root@lhp336 ~] cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
2.1.2 修改sshd配置文件
[root@lhp336 ~] vim /etc/ssh/sshd_config
# Subsystem sftp /usr/lib/openssh/sftp-server #注释掉
Subsystem sftp internal-sftp #指定使用sftp服务使用系统自带的internal-sftp
# 禁用端口转发,否则删掉或注释
AllowTcpForwarding no
X11Forwarding no
注:root如查使用Match匹配限制,将无法登录,建议不做限制。
2.1.3重启sshd服务
root@tianshl:~# systemctl ssh restart
2.1.4使用其他电脑登录sftp验证
2.2配置限制ssh登录的sftp用户
2.2.1创建活动目录
[root@lhp336 ~]# mkdir /sftp
[root@lhp336 ~]# chown root:root /sftp
注:chroot目录必须是root:root (chroot规则,否则用户无法登录)
2.2.2新建用户
# 创建用户
# -d: 家目录
# -m: 创建家目录
# -g: 组
# -s: shell
[root@lhp336 ~]# useradd -d /sftp/test -m test #创建test指定用户的主目录
[root@lhp336 ~]# chown root:test /sftp/test
[root@lhp336 ~]# passwd ftp-test #为ftp-test设置密码
[root@lhp336 ~]# mkdir /sftp/test/sftp_data #创建test帐号sftp目录
[root@lhp336 ~]# chown test:test /sftp/test/sftp_data
2.3 配置sshd配置文件
[root@lhp336 ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak #备份sshd配置文件
2.3修改sshd配置文件
[root@lhp336 ~]# vim /etc/ssh/sshd_config
# Subsystem sftp /usr/lib/openssh/sftp-server #注释掉
Subsystem sftp internal-sftp #指定使用sftp服务使用系统自带的internal-sftp
Match User test #匹配用户test
ChrootDirectory /sftp/%u #限定test活动目录,此目录所属用户必是root,否则无法登录
ForceCommand internal-sftp #限定test只能使用sftp模式登录,禁用ssh模式
# 禁用端口转发,否则删掉或注释
AllowTcpForwarding no
X11Forwarding no
2.2.4重启sshd服务
[root@lhp336 ~]# systemctl ssh restart
2.2.5使用其他电脑登录sftp验证
