SFTP的安全规划配置
直接说配置方法,上干货: 1、修改/etc/ssh/sshd_config追加:
#启用internal-sftp
Subsystem sftp internal-sftp
Match Group sftp 属于sftp组
ChrootDirectory /app/sftp-sftp上传目录。
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
注释掉原有的:Subsystem sftp /usr/libexec/openssh/sftp-server
groupadd -g 20000 sftp
重启ssd服务:service sshd restart。
如此配置原因:系统默认是开启了sftp服务的,与ssh同时占用22端口访问,如果用原有配置,则用户直接可以ssh 登陆到目的主机,对于信息安全讲,存在很大风险。所以要将用户限定在一个特定的目录中访问。所创建的用户,实例:useradd -u 20087 -d /app/sftp/wojinrong/ccb -s /sbin/nologin -g develop -G sftp ccbsftp 登陆用户只能看到wojinrong/ccb目录,而且无权访问其他目录,且因为是/sbin/nologin用户,所以该用户禁止使用ssh登陆。
页:
[1]