Sftp_服务限制用户访问权限控制

1、配置sftp服务用户的访问权限Sftp 服务要想限制用户的访问权限（即sftp服务用户只能访问特定的文件目录），那么系统的OpenSSH 服务软件的版本必须是4.8p1及以上版本才支持，如果低于该版本，就要首先升级OpenSSH版本。准备工作如下：1.查看OpenSSH版本rootclass # rpm -qa | grep sshopenssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5openssh-askpass-4.3p2-36.el5或者：rootclass # ssh -VOpenSSH_4

2、.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008发现操作系统的OpenSSH软件是4.3p2，低于4.8p1版本，所以需要做升级。2.下载最新的OpenSSH软件OpenSSH是免费的，可以到官网上进行下载 。当前最高版本是OpenSSH6.0，我们就可以下载该版本：openssh-6.0p1.tar.gz下载的时候，我们需要看一看官方安装指导文档Installation instructions ，里面有安装该版本的注意事项和安装步骤说明，最好仔细阅读一下。3. 确认OpenSSH软件安装条件在官方安装指导文档中提到，安装OpenSSH6.0需要具备两个

3、条件：You will need working installations of Zlib and OpenSSL.Zlib 1.1.4 or or greater (ealier 1.2.x versions have problems): OpenSSL 0.9.6 or greater:上面指出了，OpenSSH6.0安装所依赖的两款软件Zlib和OpenSSL的最低版本，如果服务器的软件版本不符合要求，就要先升级该两款软件。首先我们需要确认服务器上Zlib和OpenSSL软件的版本：rootclass # rpm -qa | grep -i zlibzlib-deve

4、l-1.2.3-3perl-Compress-Zlib-1.42-1.fc6zlib-1.2.3-3perl-IO-Zlib-1.04-4.2.1rootclass # rpm -qa | grep -i opensslpyOpenSSL-0.6-1.popenssl-devel-0.9.8e-12.el5openssl-0.9.8e-12.el5可以看到，Zlib 的版本是1.42 ，OpenSSL的版本是0.9.8，满足OpenSSH6.0安装的要求。1. 升级OpenSSH软件如果需要升级，那么升级之前先卸载旧版本，卸载前先进行sshd备份。1.1备份sshdrootcl

5、ass # service sshd stop停止 sshd： 确定rootclass # cp /etc/init.d/sshd /root/sshd1.2卸载旧版本rootclass # rpm -e openssh-server-4.3p2-41.el5warning: /etc/ssh/sshd_config saved as /etc/ssh/sshd_config.rpmsaverootclass # rpm -e openssh-clients-4.3p2-41.el5rootclass # rpm -e openssh-askpass-4.3p2-41.el5rootclass

6、 # rpm -e openssh-4.3p2-41.el5删除 /etc/ssh/ 目录下的ssh文件rootclass # rm -rf /etc/ssh/*1.3升级版本解压下载的软件包 openssh-6.0p1.tar.gz，解压之后进入openssh-6.0p1目录rootclass # tar -zxvf openssh-6.0p1.tar.gzrootclass # cd openssh-6.0p1rootclass openssh-6.0p1#./configure -prefix=/usr -sysconfdir=/etc/ssh -with-pam -with-md5-p

7、asswords -mandir=/usr/share/manrootclass openssh-6.0p1# makerootclass openssh-6.0p1# make install1.4验证是否升级成功rootclass openssh-6.0p1# ssh -VOpenSSH_6.0p1, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008rootclass openssh-6.0p1# cp /root/sshd /etc/init.d/sshdrootclass openssh-6.0p1# service sshd restart停止 sshd：

8、确定启动 sshd： 确定1.5设置sshd服务在开机时自动启动rootclass openssh-6.0p1# chkconfig -add sshdrootclass openssh-6.0p1# chkconfig -level sshd onrootclass openssh-6.0p1# chkconfig -list|grep sshdsshd 0:关闭 1:启用 2:启用 3:启用 4:启用 5:启用 6:启用2. 配置sftp服务用户的访问权限2.1创建sftp用户的主根目录rootclass # mkdir -p /home/sftprootclass # chmod -R

9、755 /home/sftp2.2创建sftp用户组和一个sftp用户rootclass # groupadd sftprootclass # useradd -g sftp -d /home/sftp/blog blogrootclass # passwd blogChanging password for user blog.New UNIX password:BAD PASSWORD: it is too simplistic/systematicRetype new UNIX password:passwd: all authentication tokens updated succ

10、essfully.rootclass #2.3权限设置设置 /etc/ssh/sshd_config配置文件，通过Chroot限制用户的根目录rootclass # vi /etc/ssh/sshd_config# override default of no subsystems#Subsystem sftp /usr/libexec/sftp-server#启用internal-sftpSubsystem sftp internal-sftp# Example of overriding settings on a per-user basis#Match User anoncvs# X1

11、1Forwarding no# AllowTcpForwarding no# ForceCommand cvs server#限制blog用户的根目录Match User blog ChrootDirectory /home/sftp/blog/ X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp2.4设置目录的属主和权限要使用Chroot功能实现用户根目录的控制，目录权限的设置非常重要，否则将会无法登陆。目录权限设置上要遵循2点：ChrootDirectory设置的目录权限及其所有的上级文件夹权限，属主和属组必须

12、是root；ChrootDirectory设置的目录权限及其所有的上级文件夹权限，只有属主能拥有写权限，也就是说权限最大设置只能是755。如果不能遵循以上2点，即使是该目录仅属于某个用户，也可能会影响到所有的SFTP用户。rootclass # chown root:root /home/sftp /home/sftp/blogrootclass # chmod 755 /home/sftp /home/sftp/blog由于上面设置了目录的权限是755，因此所有非root用户都无法在目录中写入文件。我们需要在ChrootDirectory指定的目录下建立子目录，重新设置属主和权限。以blog目录为例：rootclass # mkdir /home/sftp/blog/webrootclass # chown blog:sftp /home/sftp/blog/webrootclass # chmod 775 /home/sftp/blog/web3 blog用户登录测试用blog用户访问被控制了的根目录/home/sftp/blog/ roottest # sftp blog29Connecting to 29.blog29s password:sftp lswebsftp cd /sftp ls