sftp添加chroot功能.docx

Sftp若想支持chroot功能需升级到4.8p1以上版本 一、安装高版本ssh 1. 下载 [ HYPERLINK /pub/OpenBSD/OpenSSH/portable/openssh-5.4p1.tar.gz \t _blank openssh-5.4p1.tar.gz]: wget /pub/OpenBSD/OpenSSH/portable/openssh-5.4p1.tar.gz 2. 解压缩 / 配置 / 编译 / 安装: 编译?--with-ssl-dir?参数选择: openssl version -a RHEL 4.x OPENSSLDIR:?/usr/share/sslRHEL 5.x OPENSSLDIR:?/etc/pki/tls tar zxvf openssh-5.4p1.tar.gz ? ./configure --prefix=/usr \ --sysconfdir=/etc/ssh \ --with-ssl-dir=/etc/pki/tls \ --with-zlib \ --with-pam \ --with-md5-passwords \ --with-kerberos5 \ ? # 编译 make ? # 编译安装 make install 3. 检查 openssh 版本: ssh -V OpenSSH_5.4p1, OpenSSL 0.9.7a Feb 19 2003 4. 重新启动 sshd 服务: 启动脚本在源码目录openssh-5.5p1/contrib/redhat/sshd.initcp sshd.init /etc/init.d/sshchmod 755 /etc/init.d/ssh /etc/init.d/sshd restart 二、 配置chroot 1. 添加用户 useradd?-u?502?-d?/data/sftp?-s?/sbin/nologin?-M?sftp? -d /data/sftp：指定用户的主目录为/data/sftp -s /sbin/nologin：指定用户不能登录 -M：不创建主目录 -u 502：指定uid为502 2. 配置sshd_config vi?/etc/ssh/sshd_config ? #?将以下行注释，更换成internal-sftp ? #?Subsystem?sftp?/usr/libexec/openssh/sftp-server ? Subsystem?sftp?internal-sftp ? #?添加以下行 ? Match?User?sftp ? ChrootDirectory?/data/sftp ? AllowTcpForwarding?no ? ForceCommand?internal-sftp?? 3. 配置目录权限 chown?-R?root:root?/data/sftp ? chmod?0755?/data/sftp? 目录权限需要注意：a. 由ChrootDirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是rootb. 由ChrootDirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限 mkdir?/data/sftp/upload ? chown?-R?sftp:sftp?/data/sftp/upload? 这个目录为sftp用户拥有权限的子目录 4. 配置密钥登录 mkdir?.ssh ? #?产生密钥 ? ssh-keygen?-t?rsa ? Generating?public/private?rsa?key?pair. ? Enter?file?in?which?to?save?the?key?(/root/.ssh/id_rsa):?/data/sftp/.ssh/sftp?#?密钥保存的位置，因为sftp用户的主目录为/data/sftp，所以选择在此位置 ? Enter?passphrase?(empty?for?no?passphrase):?#?输入短语密码 ? Enter?same?passphrase?again:?#?再次???入短语密码 ? Your?identification?has?been?saved?in?/data/sftp/.ssh/sftp. ? Your?public?key?has?been?saved?in?/data/sftp/.ssh/sftp.pub. ? cd?/data/sftp/.ssh ? #?创建允许登录的公钥 ? mv?sftp.pub?authorized_keys2 ? #?修改权限 ? chown?-R?sftp:sftp?/data/sf