wreqwrqw 发表于 2015-7-6 09:41:03

SFTP的安全规划配置

直接说配置方法,上干货:   1、修改/etc/ssh/sshd_config
   追加:
   #启用internal-sftp
      Subsystem       sftp    internal-sftp   


      Match Group sftp             属于sftp组
         ChrootDirectory /app/sftp-sftp上传目录。
         AllowTCPForwarding no
         X11Forwarding no
         ForceCommand internal-sftp
    注释掉原有的:Subsystem      sftp    /usr/libexec/openssh/sftp-server

   groupadd -g 20000 sftp

   重启ssd服务:service sshd restart。
   如此配置原因:系统默认是开启了sftp服务的,与ssh同时占用22端口访问,如果用原有配置,则用户直接可以ssh 登陆到目的主机,对于信息安全讲,存在很大风险。所以要将用户限定在一个特定的目录中访问。所创建的用户,实例:useradd -u 20087 -d /app/sftp/wojinrong/ccb -s /sbin/nologin -g develop -G sftp ccbsftp   登陆用户只能看到wojinrong/ccb目录,而且无权访问其他目录,且因为是/sbin/nologin用户,所以该用户禁止使用ssh登陆。

页: [1]
查看完整版本: SFTP的安全规划配置