Sftp 服務(wù)限制用戶訪問權(quán)限

Sftp服務(wù)限制用戶訪問權(quán)限之歐侯瑞魂創(chuàng)作Sftp服務(wù)要想限制用戶的訪問權(quán)限（即sftp那么系統(tǒng)的OpenSSH服務(wù)軟件的版本必須是4.8p1第一步：檢查OpenSSH或者：[root@Oracle2~]#sshVOpenSSH_4.3p2,OpenSSL0.9.8efipsrhel501JulOpenSSH4.3p24.8p1需要做升級。第二步：下載最新的OpenSSH軟件下載的時候，我們需要看一看官方裝置指導(dǎo)文檔Installationinstructions，里面有裝置該版本的注意事項和裝置步調(diào)說明，最好仔細閱讀一下。第三步：確認OpenSSH軟件裝置條件在官方裝置指導(dǎo)文檔中提到，裝置OpenSSH6.0需要具備兩個條件：YouwillneedworkinginstallationsofZlibandOpenSSL.上面指出了，OpenSSH6.0裝置所依賴的兩款軟件Zlib和OpenSSL的最低版本，如果服務(wù)器的軟件版本不符合要求，就要先升級該兩款軟件。首先我們需要確認服務(wù)器上Zlib和OpenSSL軟件的版本：[root@Oracle2~]#rpmqa|grepizlib[root@Oracle2~]#rpmqa|grepiopenssl可以看到，Zlib1.42，OpenSSL0.9.8足OpenSSH6.0第四步：卸載OpenSSH軟件裝置之前，有下面幾個工作需要完成：停sshd[root@Oracle2~]#servicesshdstopStoppingsshd:[OK]備份sshd說明：在卸載之前需要將/etc/init.d/sshd文件做個備份，裝置完成后，需要再將備份的sshd文件拷貝到/etc/init.d/目錄中，這樣可以包管升級完成后可以繼續(xù)使用servicesshdstart/stop/restart的方式管理sshd服務(wù)，否則將不成使用。卸載服務(wù)器上已經(jīng)存在的OpenSSH卸載OpenSSH，通過rpmqa命名查詢出需要卸載的rpm再用rpme命令卸載：查詢：[root@Oracle2~]#rpmqa|grepiopenssh卸載：[root@Oracle2~]#rpmeopenssh4.3p236.el5deps[root@Oracle2~]#rpmeopensshclients4.3p236.el5deps[root@Oracle2~]#rpmeopensshserver4.3p236.el5deps[root@Oracle2~]#rpmeopensshaskpass4.3p236.el5deps刪除/etc/ssh/目錄下的sshrmrf/etc/ssh/*第五步：裝置OpenSSH軟件裝置OpenSSH進入解壓出的文件夾，依照順序執(zhí)行下面的編譯和裝置命令：[root@Oracle2~]#./configure–prefix=/usr–sysconfdir=/etc/ssh–withpam–withmd5passwords–mandir=/usr/share/man[root@Oracle2~]#make[root@Oracle2~]#makeinstall執(zhí)行完成后，就可以用sshV命名檢查openssh的版本，驗證裝置結(jié)果：[root@Oracle2~]#sshVOpenSSH_6.0p1,OpenSSL0.9.8efipsrhel501Jul6.0p1接下來，恢復(fù)sshd文件，將備份的sshd/etc/init.d/目錄下：測試sshd服務(wù)的啟動和停止：[root@Oracle2~]#servicesshdrestartStoppingsshd:[OK]Startingsshd:[OK]OK，到這里，OpenSSH的升級就做完了。注意：這樣升級完成，在服務(wù)器關(guān)機啟動后，sshd服務(wù)不會自動啟動，為了使sshd服務(wù)在開機時自動啟動，我們需要執(zhí)行下面的命令：[root@Oracle2~]#chkconfigaddsshd[root@Oracle2~]#chkconfiglevel123456sshdon這樣開機后就可以自動啟動sshd服務(wù)了。第六步：配置sftp服務(wù)用戶的訪問權(quán)限創(chuàng)建sftp/home/sftp創(chuàng)建sftpsftp[root@Oracle2~]#groupaddsftp[root@Oracle2~]#useraddgsftpd/home/sftp/blogblog[root@Oracle2（3）權(quán)限設(shè)置~]#passwdblog設(shè)置/etc/ssh/sshd_config配置文件，通過Chroot限制用戶的根目錄。[root@Oracle2~]#vi/etc/ssh/sshd_config#overridedefaultofnosubsystems#注釋掉原來的Subsystem設(shè)置#Subsystem sftp #啟用internalsftpSubsystemsftpinternalsftp#Exampleofoverridingsettingsonaperuserbasis#MatchUseranoncvs# X11Forwardingno# AllowTcpForwardingno# ForceCommandcvs#限制blogMatchUserpayChrootDirectory/home/sftp/blog/X11ForwardingnoAllowTcpForwardingnoForceCommandinternalsftp保管退出，重啟sshd服務(wù)：[root@Oracle2~]#servicesshdrestart（4）測試sftp使用blog用戶測驗考試登錄sftp，發(fā)現(xiàn)無法登陸，給出的提示也很難看懂，什么原因呢？原來要使用Chroot功能實現(xiàn)用戶根目錄的控制，目錄權(quán)限的設(shè)置非常重要，否則將會無法登陸。目錄權(quán)限設(shè)置上要遵循2點：ChrootDirectory設(shè)置的目錄權(quán)限及其所有的上級文件夾權(quán)限，屬主和屬組必須是root；ChrootDirectory設(shè)置的目錄權(quán)限及其所有的上級文件夾權(quán)限，只有屬主能擁有寫權(quán)限，也就是說權(quán)限最大設(shè)置只能是755。2可能會影響到所有的SFTP設(shè)置目錄的屬主和權(quán)限：[root@Oracle2~]#chownroot:root/home/sftp/home/sftp/blog[root@Oracle2~]#chmod755/home/sftp/home/sftp/blog755，因此所有非root在目錄中寫入文件。我們需要在ChrootDirectory建立子目錄，重新設(shè)置屬主和權(quán)限。以blog/home/sftp/blog/web設(shè)置完成后，我們再用blog用戶登錄sftp，發(fā)現(xiàn)這次可以正常登錄了，而且可以訪問的根目錄控制在了/home/sftp/blog/下，達到了我們的要求。彌補