配置权限受限制的SFTP用户

SFTP在Linux下是一个很方便很安全的文件传输工具,我常常用它在Linux服务器上替代传统的ftp来传输文件。众所周知SFTP账号是基于SSH账号的,默认情况下访问服务器的权限很大,下面的教程就是教你像ftp那样限制SFTP账号相关的访问权限。
必要条件:
你的openssh-server版本至少得是4.8p1, 因为配置权限需要版本添加的新配置项ChrootDirectory来完成。
如何查看自己服务器上的ssh版本?尝试以下命令

1
#ssh -V

具体实施步骤
1. 我们需要创建一个用户组,专门用于sftp用户

1
#groupadd sftpusers

2. 我们创建一个用户test

1
#useradd -s /bin/false -d /home/test -G sftpuser test

注意这里我们将test用户的shell设置为/bin/false使他没有登陆shell的权限
3. 编辑 /etc/ssh/sshd_config
找到Subsystem这个配置项,将其修改为

1
Subsystem  sftp  internal-sftp

然后再到文件最尾处增加配置设定属于用户组sftpusers的用户都只能访问他们自己的home文件夹

1
2
3
4
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no

保存并关闭文件
4. 修改test用户home文件夹的权限,让其属于root用户

1
#chown root ~test

5. 重启sshd服务

1
#service sshd restart

6. 测试用户账号

1
#ssh test@localhost

连接会被拒绝或者无法登陆

1
#sftp test@localhost

登陆后你会发现你的账号无法切换到除自己home目录之外的地方的
常见问题:
如果你链接服务器的时候出现下面的提示:

1
2
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer

这个问题的原因是ChrootDirectory的权限问题,你设定的目录必须是root用户所有,否则就会出现问题。所以请确保sftp用户根目录的所有人是root, 权限是 750 或者 755。
新建的用户在他自己的home目录中没有写的权限,可以在他自己home目录中再新建一个目录,权限777就可以了。