65
CentOS7 configuration uses the SFTP server
source link: https://www.linuxprobe.com/centos7-sftp-server.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
导读
SFTP,即 SSH 文件传输协议( SSH File Transfer Protocol ),或者说是安全文件传输协议( Secure File Transfer Protocol )。SFTP 是一个独立的 SSH 封装协议包,通过安全连接以相似的方式工作。它的优势在于可以利用安全的连接传输文件,还能浏览本地和远程系统上的文件系统。
在很多情况下,SFTP都比FTP更可取,因为它具有最基本的安全特性和能利用 SSH 连接的能力,FTP是一种不安全的协议,只能在有限的情况下或在您信任的网络上使用。
先决条件:
服务器 OpenSSH-Server 版本最低4.8p1,因为配置权限需要版本添加的新配置项 ChrootDirectory 来完成。
如何查看OpenSSH版本,命令如下:
$ ssh -V OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013
创建用户信息
添加用户组: $ groupadd sftp 添加用户: $ useradd -g sftp -s /sbin/nologin -M userrenwolecom 参数注解: -g # 加入用户组 -s # 指定用户登入后所使用的shell /sbin/nologin # 用户不允许登录 -M # 不要自动建立用户的登入目录 设置用户密码: $ passwd userrenwolecom
创建用户目录并设置权限
创建sftp主目录: $ mkdir /data/sftp 设置sftp主目录权限: $ chown root:sftp /data/sftp 文件夹所有者必须是root,用户组可以不是root。 $ chmod 744 /data/sftp 权限不能超过755但不包括755,否则会导致登录报错。
创建上传目录并设置权限
在/data/sftp/主目录下创建uploads资料夹,并设置所有者是:userrenwolecom,用户组隶属:sftp,这样新增的帐号才能有上传编辑的权限。
$ mkdir -p /data/sftp/uploads $ chown userrenwolecom:sftp /data/sftp/uploads
修改sshd_config配置文件
$ vim /etc/ssh/sshd_config 将此行注释掉,例如: #Subsystem sftp /usr/libexec/openssh/sftp-server 在此行下面添加如下内容: Subsystem sftp internal-sftp # 指定使用sftp服务使用系统自带的internal-sftp Match Group sftp # 匹配sftp组的用户,若要匹配多个组,可用逗号分开 ChrootDirectory /data/sftp/ # 限制用户的根目录 ForceCommand internal-sftp # 只能用于sftp登录 AllowTcpForwarding no # 禁止用户使用端口转发 X11Forwarding no # 禁止用户使用端口转发
重启SSH服务
$ systemctl restart sshd
测试是否能够登录、上传、下载等操作
在10.28.204.61服务器执行以下命令登录:
$ sftp -P 12012 [email protected] [email protected]'s password: packet_write_wait: Connection to 10.28.204.62 port 12012: Broken pipe Couldn't read packet: Connection reset by peer
报错,此问题是由于/data/sftp 目录权限分配不当所致,将此目录的所有者更改为root即可,用户组可root/sftp。
再次测试连接:
$ sftp -P 12012 [email protected] The authenticity of host '[10.28.204.62]:12012 ([10.28.204.62]:12012)' can't be established. ECDSA key fingerprint is SHA256:/YI/L4RT1QH7lkfxMCAkKnvniQslyUl15mOUKUo8K3k. ECDSA key fingerprint is MD5:6d:b6:f3:93:8e:48:53:24:9d:5d:c2:2a:5f:28:f4:d2. Are you sure you want to continue connecting (yes/no)? YES Warning: Permanently added '[10.28.204.62]:12012' (ECDSA) to the list of known hosts. [email protected]'s password:【输入userrenwolecom用户密码回车】 Connected to 10.28.204.62. sftp>
连接成功,现在测试上传一个文件到10.28.204.62服务器
上传 sftp> put /tmp/nginx_log_stat /uploads Uploading /tmp/nginx_log_stat to /uploads/nginx_log_stat /tmp/nginx_log_stat 下载 sftp> get uploads/nginx_log_stat /mnt Fetching /uploads/nginx_log_stat to /mnt/nginx_log_stat /uploads/nginx_log_stat 100% 7 1.1KB/s 00:00 sftp> 删除 sftp> rm /uploads/nginx_log_stat Removing /uploads/nginx_log_stat 更多命令请参阅: sftp> help
小结:
在配置过程中遇到比较奇怪的问题,我将 sshd_config 配置文件中的 Match Group sftp 修改为 Match User userrenwolecom ,重启sshd后,当前终端不会断开,新建终端输入正确密码后会出现SSH登录闪退(自动关闭终端)问题,不管是用PUTTY还是Xshell均是如此,后来我将用户修改成组后就正常了,具体原因尚未可知,不过修改为组效果是一样的。如果你知道什么原因还请指教。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK