Sftp服务器搭建知识.pdfVIP

一 用途及应用场景 提供 sftp 服务， scp 服务，可以精确控制权限。 不提供给用户 shell，chroot 用户在主目录 用于和外部之间的文件交换，防止安全事件。同时也可以结合 sshterm，来实现 对文件的操作记录。 目前广泛应用在运营上传下载文件，和银行物流公司等外部实体进行对账文件 交换等 二 chroot 的方法： Sftp 有个缺点，默认用户可以四处转悠，同时可以下载权限为 022 的文件，比 较不安全。 实现 chroot 的方法很多。 方法 1： Openssh 在 4.8 之前，是不提供 chroot 的功能的，有通过给代码打补 丁的做法，使 sftp-server 支持 chroot，不过不是很方便。 方法 2：4.8 之后，代码加入了 chroot 支持，可以通过在配置文件里定义规则： Match group sftponly ChrootDirectory /home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 但是升级和配置起来有点繁琐，同时， openssh 新版本也可能面临一些安全问 题。 方法 3 ：第三方工具 rssh 等 三 通过 rssh 工具来实现限制： Rssh 的功能：限制 shell 登录，对 scp 和 sftp 实现帐号规则控制。 已知的绕过 rssh 限制执行系统命令的安全问题，在 2.3.2 的版本中已经得到修 复 1 下载 wget /sourceforge/rssh/rssh-2.3.2.tar.gz 2 安装 ./configure --prefix=/usr --sysconfdir=/etc 缺省的几个比较重要的文件应该是安装在 /usr/bin/rssh /etc/rssh.conf /etc/shells 文件里面也应该包含有 /usr/bin/rssh 3 修改用户的 shell 为 /usr/bin/rssh , 这样这个用户就不能 ssh 登录了 usermod -s /usr/bin/rssh test 创建用户 sftp 的 chroot 目录 sh mkchroot.sh /home/test/local test 0755 最后修改 /etc/rssh.conf： 首先确认 allowsftp 被设置 再添加一行配置： user=test:077:00010:/home/rssh_chroot/test 077 是给 sftp 上来的用户分配缺省 umask 00010 是 access bits, 倒数第二个 1 表示给该用户 sftp 权限 mkchroot.sh 这个脚本的作用，主要是通过 ldd 命令，精确定位 sftp 所需要的系 统依赖文件 复制到用户的主目录下，构建一个独立封闭的运行环境，将该用户完全和系统 分离开来。 RHEL 3 的环境下，这个脚本是运行正常的。 RHEL4 和 5 的换将下，会有一个基本依赖的 lib 没有复制过去。 这时，手工执行一下复制即可： cp /lib/ld-linux.so.2 / 用户目录 /lib/ 四 debug 在非 red hat 的 linux 版本上，上述的脚本工作可能会有点问题。 这时，按照下面的做法，手工排查一下依赖关系即可 There are too many possibilities to cause connection closed. Some files you need to check: (Some of them m