SUSE Linux SFTP服务器配置

w2ewe

公司某应用系统与合作伙伴对接时，对方需要使用应用程序通过SFTP免输入密码到我公司服务器上传下载文件。之前其他合作伙伴都是通地FTP交换文件的。
在网上查了些资料大部分基于CenterOS RedHat配置的SFTP，在昨天在SUSE 11.1上配置了下SFTP，特记录备忘。
1.实现目标：
（1）SUSE 11.1环境下 SFTP通过RSA密钥配对免密码访问
（2）限制SFTP用户只在自己根目录下访问

2.SFTP 服务配置
sftp服务复用ssh服务，sftp的配置即修改/etc/ssh/sshd_config配置
【a】注释下面这几条

#Subsystem      sftp    /usr/lib64/ssh/sftp-server
下面这几条一定要注释要不然sshd启不来，暂时不知道以下几条是做什么用的，注释后没任何异常
#This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5).
#AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
#AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
#AcceptEnv LC_IDENTIFICATION LC_ALL

【b】添加下面这几条
Subsystem sftp internal-sftp
Match group sftp     #指定以下的行仅匹配sftp用户组的用户
ChrootDirectory %h   #指定用户验证后用于chroot环境的路径 %h是指用户根目录
ForceCommand internal-sftp  #执行内部sftp，并忽略任何~/.ssh/rc文件中的命令
X11Forwarding no   
AllowTcpForwarding no


【c】增加支持RSA密钥认证
AuthorizedKeysFile .ssh/authorized_keys   #此参数用于说明公钥文件位置，指用户根目录.ssh文夹authorized_keys文件作为SRA公钥
PasswordAuthentication no   #设置成no强制使用密钥访问，而不能用户名及密码；如果设置成yes表示两种方式都可以访问，一般建议用yes

至此，SFTP服务器端配置完成，然后重启sshd服务


3.SFTP服务器上增加sftp用户
【a】rman:/usr/sftp-dir # useradd  -G sftp  -d /usr/sftp-dir/test1  -s /sbin/nologin   test1
     //-s /sbin/nologin 禁止test1用户登陆操作系统
【b】rman:/usr/sftp-dir # mkdir /usr/sftp-dir/test1     //用root用户为test1账户建目录
检查test1目录权限，必须是root用户755权限
rman:/usr/sftp-dir # ll
drwxr-xr-x 2 root root 4096 Oct 18 09:25 test1

rman:/usr/sftp-dir #
【c】在用户目录下建上传下载目录
rman:/usr/sftp-dir/test1 # mkdir upload
rman:/usr/sftp-dir/test1 # mkdir download
rman:/usr/sftp-dir/test1 # chown test1. upload/       //upload目录属主test1
rman:/usr/sftp-dir/test1 # ll
total 8
drwxr-xr-x 2 root  root  4096 Oct 18 09:40 download    //经过测试下载文件夹一定要755权限
drwxr-xr-x 2 test1 sftp 4096 Oct 18 09:40 upload

4.客户端服务器制作SRA密钥并上传至目标服务器
【a】制作RSA证书

test-lvm:~/.ssh # ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):             //免密码认码此处直接回车
Enter same passphrase again:                            //免密码认码此处直接回车
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
f2:25:e6:5a:3d:2c:4f:d2:19:bf:3c:46:52:15:4f:db root@test-lvm
The key's randomart image is:
+--[ RSA 2048]----+
|              ...|
|              .oo|
|             . .E|
|            .    |
|      . S o.     |
|       = *.+.    |
|        * Bo.    |
|       o = oo.   |
|      .   ..o.   |
+-----------------+
【b】将RSA公钥（x.pub）上传到目标服务器sftp用户.ssh目录下test-lvm:~/.ssh # ls
id_rsa  id_rsa.pub
test-lvm:~/.ssh # scp id_rsa.pub  root@172.22.2.228:/usr/sftp-dir/test1/.ssh

【c】目标服务器.ssh目录下修改RSA公钥文件名
因当时在目标服务器sshd_config 指定证书名为authorized_keys
AuthorizedKeysFile.ssh/authorized_keys
所以，需要将修改公钥名

rman:/usr/sftp-dir/test1/.ssh # ls
id_rsa.pub
rman:/usr/sftp-dir/test1/.ssh # mv id_rsa.pub  authorized_keys
rman:/usr/sftp-dir/test1/.ssh # ll
total 4
-rw-r--r-- 1 root root 395 Oct 18 10:23 authorized_keys
rman:/usr/sftp-dir/test1/.ssh #
至此，SFTP RSA公钥配对完成



5.客户端服务器测试
使用 sftp sftp-user@sftp-ip 登陆不需要输入密码即表示成功

test-lvm:~/.ssh # sftp test1@172.22.2.228
Connecting to 172.22.2.228...
sftp> ls
download  upload   
sftp>

切换目录失败，只能在用户根目录下

sftp> cd /home
Couldn't canonicalise: No such file or directory
sftp>


6.需要注意的几点
SUSE Linux 与其他的不同之处
【a】配置sshd_config时， 一定要注释下面几条，否则sshd有务启不来

#This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5).

#AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

#AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

#AcceptEnv LC_IDENTIFICATION LC_ALL

【b】配置下载文件夹的时候权限一定要如下示，否则使用root用户放在download文件夹的文件，sftp用户看不到，在suse 11.1 64bit 上反复测试过，也许是一个bug

rman:/usr/sftp-dir/test1 # ll

total 8

drwxr-xr-x 2 root  root  4096 Oct 18 09:40 download

drwxr-xr-x 2 test1 sftp 4096 Oct 18 09:40 upload