Sftp服务限制用户访问权限

1、Sftp 服务限制用户访问权限Sftp 服务要想限制用户的访问权限（即 sftp 服务用户只能访问特定的文件目录），那么系统的OpenSSH 服务软件的版本必须是 4.8p1 及以上版本才支持， 如果低于该版本， 就要首先升级 OpenSSH 版本。第一步：查看OpenSSH软件版rootOracle-2 # rpm -qa | grep ssh openssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5 openssh-server-4.3p2-36.el5 openssh-askpass-4.3p2-36.el5 或者：rootOracle-2 # s

2、sh -VOpenSSH_4.3p2, OpenSSL发现操作系统的 OpenSSH软件是4.3p2，低于4.8p1版本，所以需要做升级。第二步：下载最新的Ope nSSH软件Ope nSSH是免费的，可以到官网上进行下载： 当前最高版本是OpenSSH6.Q我们就可以下载该版本： 下载的时候，我们需要看一看官方安装指导文档 Installation instructions ，里面有安装该版本的注意 事项和安装步骤说明，最好仔细阅读一下。第三步：确认OpenSSH软件安装条件在官方安装指导文档中提到，安装Ope nSSH6.0需要具备两个条件：You will need working in

3、stallations of Zlib and OpenSSL.Zlibealier 1.2.x versions have problems）:OpenSSL 0.9.6 or greater:上面指出了，OpenSSH6.0安装所依赖的两款软件Zlib和OpenSSL的最低版本，如果服务器的软件版本不符合要求，就要先升级该两款软件。首先我们需要确认服务器上Zlib和OpenSSL软件的版本：rootOracle-2 # rpm -qa | grep -i zlibperl-Compress-Zlib-1.42-1.fc6 perl-IO-Zlib-1.04-4.2.1rootOracle-

4、2 # rpm -qa | grep -i openssl可以看到，Zlib的版本是1.42，OpenSSL的版本是0.9.8，满足OpenSSH6.0安装的要求。第四步：卸载OpenSSH软件安装之前，有下面几个工作需要完成：（1 ）停 sshd 服务 rootOracle-2 # service sshd stop Stopping sshd: OK （2）备份 sshd 文件说明：在卸载之前需要将 /etc/init.d/sshd 文件做个备份，安装完成后，需要再将备份的 sshd 文件拷 贝到 /etc/init.d/ 目录中， 这样可以保证升级完成后可以继续使用service ssh

5、d start/stop/restart 的方式管理 sshd 服务，否则将不可使用。rootOracle-2 # cp /etc/init.d/sshd /root/sshd(3)卸载服务器上已经存在的Ope nSSH软件卸载OpenSSH通过rpm -qa命名查询出需要卸载的rpm软件包，再用rpm -e命令卸载：查询：rootOracle-2 # rpm -qa | grep -i openssh openssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5 openssh-askpass-4.3p

6、2-36.el5 卸载：rootOracle-2 # rpm -e openssh-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-clients-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-server-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-askpass-4.3p2-36.el5 -deps( 4)删除 /etc/ssh/ 目录下的 ssh 文件rm -rf /etc/ssh/*第五步：安装OpenSSH软件解压下载的软件包rootO

7、racle-2 # tar -zxvf安装OpenSSH软件： 进入解压出的文件夹，按照顺序执行下面的编译和安装命令：rootOracle-2 # ./c on figure prefix=/usr sysc on fdir=/etc/ssh with-pam with-md5-passwords-mandir=/usr/share/manrootOracle-2 # makerootOracle-2 # make install 执行完成后，就可以用 ssh -V 命名查看 openssh 的版本，验证安装结果：rootOracle-2 # ssh -VOpenSSH_6.0p1, Open

8、SSL 可以看到版本已经变成6.0p1 了，说明安装没有问题。接下来，恢复 sshd 文件，将备份的 sshd 文件复制到 /etc/init.d/ 目录下：rootOracle-2 # cp /root/sshd /etc/init.d/sshd测试 sshd 服务的启动和停止：rootOracle-2 # service sshd restartStopping sshd: OK Starting sshd: OK OK,到这里，OpenSSH的升级就做完了。这样升级完成， 在服务器关机启动后， sshd 服务不会自动启动， 为了使 sshd 服务在开机时自动启动， 我们需要执行下面的命令

9、：rootOracle-2 # chkconfig -add sshdrootOracle-2 # chkconfig -level 123456 sshd on 这样开机后就可以自动启动 sshd 服务了。参考内容： 第六步：配置 sftp 服务用户的访问权限 （ 1）创建 sftp 用户的主根目录 rootOracle-2 # mkdir -p /home/sftp rootOracle-2 # chmod -R 755 /home/sftp （ 2）创建 sftp 用户组和一个 sftp 用户 rootOracle-2 # groupadd sftp rootOracle-2 # use

10、radd -g sftp -d /home/sftp/blog blog rootOracle-2 # passwd blog（3）权限设置设置 /etc/ssh/sshd_config 配置文件，通过 Chroot 限制用户的根目录。 rootOracle-2 # vi /etc/ssh/sshd_config# override default of no subsystems#注释掉原来的 Subsystem 设置#Subsystem sftp /usr/libexec/sftp-server#启用 internal-sftpSubsystem sftp internal-sftp# E

11、xample of overriding settings on a per-user basis #Match User anoncvs#X11Forwarding no#AllowTcpForwarding no#ForceCommand cvs server#限制 blog 用户的根目录Match User payChrootDirectory /home/sftp/blog/X11Forwarding noAllowTcpForwarding no ForceCommand internal-sftp保存退出，重启 sshd 服务：rootOracle-2 # service sshd

12、 restart（ 4）测试 sftp 权限控制使用 blog 用户尝试登录 sftp ，发现无法登陆，给出的提示也很难看懂，什么原因呢？ 原来要使用 Chroot 功能实现用户根目录的控制，目录权限的设置非常重要，否则将会无法登陆。 目录权限设置上要遵循 2 点：ChrootDirectory 设置的目录权限及其所有的上级文件夹权限，属主和属组必须是 root ； ChrootDirectory 设置的目录权限及其所有的上级文件夹权限，只有属主能拥有写权限，也就 是说权限最大设置只能是 755。如果不能遵循以上 2点，即使是该目录仅属于某个用户，也可能会影响到所有的SFTP用户。设置目录的属

13、主和权限：rootOracle-2 # chown root:root /home/sftp /home/sftp/blogrootOracle-2 # chmod 755 /home/sftp /home/sftp/blog由于上面设置了目录的权限是 755，因此所有非 root 用户都无法在目录中写入文件。我们需要在 ChrootDirectory 指定的目录下建立子目录，重新设置属主和权限。以 blog 目录为例： rootOracle-2 # mkdir /home/sftp/blog/webrootOracle-2 # chown blog:sftp /home/sftp/blog/webrootOracle-2 # chown 775 /home/sftp/blog/web 设置完成后，我们再用 blog 用户登录 sftp ，发现这次可以正常登录了，并且可