Sftp-服务限制用户访问权限

Sftp 服务限制顾客访问权限 Sftp 服务要想限制顾客的访问权限（即sftp服务顾客只能访问特定的文献目录），那么系统的OpenSSH 服务软件的版本必须是4.8p1及以上版本才支持，如果低于该版本，就要一方面升级OpenSSH版本。第一步：查看OpenSSH软件版rootOracle-2 # rpm -qa | grep sshopenssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5openssh-askpass-4.3p2-36.el5或者：rootOracle-2 # ssh -VOpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 发现操作系统的OpenSSH软件是4.3p2，低于4.8p1版本，因此需要做升级。第二步：下载最新的OpenSSH软件OpenSSH是免费的，可以到官网上进行下载： .com目前最高版本是OpenSSH6.0，我们就可如下载该版本：openssh-6.0p1.tar.gz下载的时候，我们需要看一看官方安装指引文档Installation instructions ，里面有安装该版本的注意事项和安装环节阐明，最佳仔细阅读一下。第三步：确认OpenSSH软件安装条件在官方安装指引文档中提到，安装OpenSSH6.0需要具有两个条件：You will need working installations of Zlib and OpenSSL.Zlib 1.1.4 or 1.2.1.2 or greater (ealier 1.2.x versions have problems): OpenSSL 0.9.6 or greater:上面指出了，OpenSSH6.0安装所依赖的两款软件Zlib和OpenSSL的最低版本，如果服务器的软件版本不符合规定，就要先升级该两款软件。一方面我们需要确认服务器上Zlib和OpenSSL软件的版本：rootOracle-2 # rpm -qa | grep -i zlibzlib-devel-1.2.3-3perl-Compress-Zlib-1.42-1.fc6zlib-1.2.3-3perl-IO-Zlib-1.04-4.2.1rootOracle-2 # rpm -qa | grep -i opensslpyOpenSSL-0.6-1.p24.7.2.2openssl-devel-0.9.8e-12.el5openssl-0.9.8e-12.el5可以看到，Zlib 的版本是1.42 ，OpenSSL的版本是0.9.8，满足OpenSSH6.0安装的规定。第四步：卸载OpenSSH软件安装之前，有下面几种工作需要完毕：（1）停sshd服务rootOracle-2 # service sshd stopStopping sshd: OK （2）备份sshd文献阐明：在卸载之前需要将 /etc/init.d/sshd 文献做个备份，安装完毕后，需要再将备份的sshd文献拷贝到/etc/init.d/目录中，这样可以保证升级完毕后可以继续使用service sshd start/stop/restart 的方式管理sshd服务，否则将不可使用。rootOracle-2 # cp /etc/init.d/sshd /root/sshd（3）卸载服务器上已经存在的OpenSSH软件卸载OpenSSH，通过rpm -qa 命名查询出需要卸载的rpm软件包， 再用 rpm -e 命令卸载：查询：rootOracle-2 # rpm -qa | grep -i opensshopenssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5openssh-askpass-4.3p2-36.el5卸载：rootOracle-2 # rpm -e openssh-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-clients-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-server-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-askpass-4.3p2-36.el5 -deps（4）删除 /etc/ssh/ 目录下的ssh文献rm -rf /etc/ssh/*第五步：安装OpenSSH软件解压下载的软件包 openssh-6.0p1.tar.gzrootOracle-2 # tar -zxvf openssh-6.0p1.tar.gz安装OpenSSH软件：进入解压出的文献夹，按照顺序执行下面的编译和安装命令：rootOracle-2 # ./configure prefix=/usr sysconfdir=/etc/ssh with-pam with-md5-passwords mandir=/usr/share/manrootOracle-2 # makerootOracle-2 # make install执行完毕后，就可以用 ssh -V 命名查看openssh的版本，验证安装成果：rootOracle-2 # ssh -VOpenSSH_6.0p1, OpenSSL 0.9.8e-fips-rhel5 01 Jul 可以看到版本已经变成6.0p1了，阐明安装没有问题。接下来，恢复sshd文献，将备份的sshd文献复制到 /etc/init.d/ 目录下：rootOracle-2 # cp /root/sshd /etc/init.d/sshd 测试sshd服务的启动和停止：rootOracle-2 # service sshd restartStopping sshd: OK Starting sshd: OK OK，到这里，OpenSSH 的升级就做完了。注意：这样升级完毕，在服务器关机启动后，sshd服务不会自动启动，为了使sshd服务在开机时自动启动，我们需要执行下面的命令：rootOracle-2 # chkconfig -add sshdrootOracle-2 # chkconfig -level 123456 sshd on这样开机后就可以自动启动sshd服务了。参照内容：第六步：配备sftp服务顾客的访问权限（1）创立sftp顾客的主根目录rootOracle-2 # mkdir -p /home/sftprootOracle-2 # chmod -R 755 /home/sftp（2）创立sftp顾客组和一种sftp顾客rootOracle-2 # groupadd sftprootOracle-2 # useradd -g sftp -d /home/sftp/blog blogrootOracle-2 # passwd blog（3）权限设立设立 /etc/ssh/sshd_config配备文献，通过Chroot限制顾客的根目录。rootOracle-2 # vi /etc/ssh/sshd_config# override default of no subsystems#注释掉本来的Subsystem设立#Subsystem sftp /usr/libexec/sftp-server#启用internal-sftpSubsystem sftp internal-sftp # Example of overriding settings on a per-user basis#Match User anoncvs# X11Forwarding no# AllowTcpForwarding no# ForceCommand cvs server#限制blog顾客的根目录Match User pay ChrootDirectory /home/sftp/blog/ X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp保存退出，重启sshd服务：rootOracle-2 # service sshd restart（4）测试sftp权限控制使用blog顾客尝试登录sftp ，发现无法登陆，给出的提示也很难看懂，什么因素呢？本来要使用Chroot功能实现顾客根目录的控制，目录权限的设立非常重要，否则将会无法登陆。目录权限设立上要遵循2点：ChrootDirectory设立的目录权限及其所有的上级文献夹权限，属主和属组必须是root；ChrootDirectory设立的目录权限及其所有的上级文献夹权限，只有属主能拥有写权限，也就是说权限最大设立只能是755。如果不能遵循以上2点，虽然是该目录仅属于某个顾客，也也许会影响到所有的SFTP顾客。设立目录的属主和权限：rootOracle-2 # chown root:root /home/sftp /home/sftp/blogrootOracle-2 # chmod 755 /home/sftp /home/sftp/blog由于上面设立了目录的权限是755，因此所有非root顾客都无法在目录中写入文献。我们需要在ChrootDirectory指定的目录下建立子目录，重新设立属主和权限。以blog目录为例：rootOracle-2 # mkdir /home/sftp/blog/webrootOracle-2 # chown blog:sftp /home/sftp/blog/webrootOracle-2 # chown 775 /home/sftp/blog/web设立完毕后，我们再用blog顾客登录sftp，发现这次可以正常登录了，并且可以访问的根目录控制在了/home/sftp/blog/下，达到了我们的规定。补充：上面是设立某一种sftp顾客的访问权限，我们可以通过下面的配备，来设立某一种sftp组的顾客访问权限：Match group sftp ChrootDirectory /home/sftp/ X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp