CentOS SFTP權限設置技巧
1. 創建專用SFTP用戶組與用戶
為提升管理效率���,建議創建專門的SFTP用戶組(如sftpusers)��,并將用戶添加至該組���。創建用戶時�,需指定主目錄并設置不可登錄shell(/sbin/nologin)��,防止用戶通過SSH登錄系統:
groupadd sftpusers
useradd -m -g sftpusers -s /sbin/nologin sftpuser
passwd sftpuser
2. 配置SSH限制SFTP訪問
編輯/etc/ssh/sshd_config文件��,通過Match指令針對SFTP用戶組進行限制�。關鍵配置包括:
- 啟用內部SFTP子系統(
ForceCommand internal-sftp)��;
- 限制用戶根目錄(
ChrootDirectory %h��,%h代表用戶主目錄)��;
- 禁用TCP轉發和X11轉發(增強安全性)�����。
示例配置:
Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
3. 正確設置目錄權限
4. 使用SGID位保持組一致性
為避免用戶在上傳目錄中創建的文件繼承用戶自身組(而非sftpusers組)���,可設置SGID位�����。這樣�����,目錄內新文件和子目錄將自動繼承父目錄的組所有權:
chown root:sftpusers /home/sftpuser
chmod 2775 /home/sftpuser
5. 處理SELinux上下文(若啟用SELinux)
若SELinux處于Enforcing模式�����,需調整上傳目錄的安全上下文���,允許SFTP訪問�。使用semanage和restorecon命令:
semanage fcontext -a -t ssh_home_t "/home/sftpuser/uploads(/.*)?"
restorecon -Rv /home/sftpuser/uploads
6. 重啟SSH服務應用配置
完成所有配置后�,重啟SSH服務使更改生效:
systemctl restart sshd
systemctl enable sshd
7. 測試SFTP連接
使用SFTP客戶端(如FileZilla或命令行)連接服務器����,驗證權限設置:
sftp sftpuser@your_server_ip
ls ..
put local_file.txt
8. 可選:使用密鑰認證增強安全性
替換密碼認證為SSH密鑰認證�����,提升賬戶安全性���。生成密鑰對并將公鑰上傳至用戶家目錄的.ssh文件夾:
ssh-keygen -t rsa
ssh-copy-id sftpuser@your_server_ip
修改/etc/ssh/sshd_config啟用密鑰認證:
PubkeyAuthentication yes
PasswordAuthentication no
