sftp与ssh分离配置

sftp与ssh分离

 

需求：用于ssh加固，达到ssh与sftp分离，实现只允许用户使用sftp，无法ssh登录。

同时限制用户浏览目录，将浏览范围限制在一个目录下

 

操作步骤：

1、新建用户

#添加用户，设置不可登陆，设置密码，设置家目录权限

useradd -s /sbin/nologin sftpuser

echo qwer123 | passwd –stdin sftpuser

chown -R root.root /home/sftpuser

chmod -R 755 /home/sftpuser

 

2、配置sshd文件

vim /etc/ssh/sshd_config

#行尾起新行，必须行尾添加，添加内容

#第一个sftpuser为组名

Match Group sftpuser

  ChrootDirectory /home/sftpuser

  ForceCommand internal-sftp

3、测试

cp /etc/fstab /home/sftpuser

使用图形工具xftp、winscp，或者sftp命令测试

 

4、效果：

使用sftpuser登录ssh提示

可以使用sftp连接

 

补充：

1、需求：只设置某用户只能使用sftp，其他用户禁止使用

配置方式：

编辑

vim /etc/ssh/sshd_config

#注释行，新增行

#Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH

Subsystem sftp internal-sftp -l INFO -F AUTH

#行尾新行添加，必须行尾添加

Match Group sftpuser

  ChrootDirectory /home/sftpuser

  ForceCommand internal-sftp

 

2、可以使用任意已有账号和目录测试，不需要非得创建用户和目录