SFTP用戶權限設置步驟
SFTP(SSH File Transfer Protocol)權限設置的核心目標是限制用戶僅能通過SFTP傳輸文件���,無法通過SSH登錄��,并通過Chroot Jail(目錄隔離)約束其訪問范圍��。以下是詳細操作流程:
1. 創建專用SFTP用戶
首先創建一個專門用于SFTP的用戶(如sftpuser)����,并設置密碼:
sudo adduser sftpuser
sudo passwd sftpuser
2. 限制用戶Shell訪問(防止SSH登錄)
將用戶的默認Shell更改為/sbin/nologin或/bin/false�����,禁止其通過SSH登錄:
sudo usermod -s /sbin/nologin sftpuser
3. 創建用戶組并添加用戶(可選但推薦)
為便于批量管理���,創建一個SFTP用戶組(如sftpusers)�����,并將用戶加入該組:
sudo groupadd sftpusers
sudo usermod -aG sftpusers sftpuser
4. 配置SSH服務器(關鍵步驟)
編輯SSH配置文件/etc/ssh/sshd_config��,添加以下內容以啟用SFTP并限制用戶權限:
sudo nano /etc/ssh/sshd_config
在文件末尾添加(若已有Subsystem sftp行����,需注釋原行并替換):
Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
說明:
Match Group sftpusers:匹配sftpusers組內的所有用戶���;ChrootDirectory %h:將用戶限制在其家目錄(如/home/sftpuser)��,無法訪問上級目錄����;ForceCommand internal-sftp:強制用戶只能使用SFTP����,無法執行SSH命令���。
5. 設置目錄權限(核心安全配置)
SFTP用戶的家目錄及子目錄權限需嚴格遵循以下規則:
6. 重啟SSH服務(應用配置)
保存配置文件后����,重啟SSH服務使更改生效:
sudo systemctl restart sshd
7. 驗證配置(測試權限)
使用SFTP客戶端(如FileZilla或命令行)連接服務器��,驗證用戶權限:
sftp sftpuser@your_server_ip
- 測試Chroot限制:嘗試
cd ..(切換至上層目錄)��,應提示Permission denied�;
- 測試上傳功能:進入
uploads目錄�,嘗試上傳文件(如put localfile.txt)���,應成功����;
- 測試Shell登錄:嘗試
ssh sftpuser@your_server_ip����,應提示This service allows sftp connections only.(或類似信息)����。
8. 可選:配置SELinux(若系統啟用)
若服務器啟用了SELinux��,需調整上下文以允許SFTP訪問:
sudo setsebool -P sftp_home_dir on
sudo chcon -Rv --reference=/home/sftpuser /home/sftpuser/uploads
通過以上步驟�����,即可完成SFTP用戶權限的設置����,確保用戶只能通過SFTP傳輸文件����,且訪問范圍被嚴格限制在其家目錄內��。
