注意两点:
一是禁止该用户通过ssh登录,二是不需要创建家目录。家目录简单来说,就是在/home下的用户命令,默认每个用户在/home中都是有与用户名一样的文件夹。
1.创建组
groupadd sftp2. 创建用户
useradd -g sftp -s /sbin/nologin sftpuser3. 设置密码
passwd sftpuser4. 创建成功
提示:passwd :all authentication tokens updated successfully。
5. 创建目录
mkdir /home/sftp6. 目录用户
chown root:sftp /home/sftp7. 目录权限(注:该目录权限最大为755,设置成777会报错)
chmod 755 /home/sftp8. 创建用户sftpuser根目录,目录名为用户名
mkdir /home/sftp/sftpuser9. 设置sftpuser目录权限
chown -R sftpuser:sftp /home/sftp/sftpuser(注:设置用户sftpuser,如果设置拥有者为root,表示该目录sftpuser没有权限读写,在该目录下建立其它目录,赋权给sftpuser用户读写权限;
chmod -R 755 /home/sftp/sftpuser注:这里的目录sftpuser 权限也只能是755,否则无法限制目录。
配置sshd_config:
vi /etc/ssh/sshd_config修改如下内容,并保存退出
#注释掉这行
#Subsystem sftp /usr/libexec/openssh/sftp-server
#添加
Subsystem sftp internal-sftp #指定使用sftp服务使用系统自带的internal-sftp
Match User sftpuser #匹配用户,如果要匹配多个组,多个组之间用逗号分割
ChrootDirectory /home/sftp #指定sftpuser用户只能ftp到本目录
Match User test2#设置两个账号
ChrootDirectory /home/aa
X11Forwarding no #这两行,如果不希望该用户能使用端口转发的话就加上,否则删掉
AllowTcpForwarding no
ForceCommand internal-sftp #指定sftp命令重启sshd服务器:
systemctl restart sshd.service
查询sshd启动状态命令
systemctl status sshd.service
sftpuser用户登录测试:
sftp -oPort=22 sftpuser@127.0.0.1补充:
在使用中遇到的问题:(我的用户是xwcs)
1. ftp连接不上
查看vsftpd配置文件,查看日志打印文件位置,然而该日志中并未保存ftp的登录验证日志。因此,重新使用无法正常登录的账号登陆ftp,同时查看/var/log/secure。
# tail -f secure
发现登录打印信息: 过期用户密码(密码过期)
pam_unix(vsftpd:account): expired password for user xwcs(password aged) 即:用于vsftpd的系统用户的密码授权过期
解决办法:
chage -M 99999 xwcs
