如何设置SFTP Chroot

在本教程中,我们将说明如何设置SFTP Chroot Jail环境,该环境将限制用户访问其主目录。用户将仅具有SFTP访问,SSH访问将被禁用。这些说明适用于任何现代Linux发行版,包括Ubuntu,CentOS,Debian和Fedora。

5 min read
By myfreax
如何设置SFTP Chroot

如果您是管理Linux服务器的系统管理员,则可能需要向某些用户授予SFTP访问权限,才能将文件上传到其主目录。默认情况下,可以通过SSH,SFTP和 SCP 登录到系统的用户可以浏览整个文件系统,包括其他用户的目录。如果这些用户是受信任的,那么这可能不是问题,但是如果您不希望已登录的用户在系统中导航,则需要限制用户对其主目录的访问。这增加了一层额外的安全性,尤其是在具有多个用户的系统上。

在本教程中,我们将说明如何设置SFTP Chroot Jail环境,该环境将限制用户访问其主目录。用户将仅具有SFTP访问,SSH访问将被禁用。这些说明适用于任何现代Linux发行版,包括Ubuntu,CentOS,Debian和Fedora。

创建SFTP组

代替为每个用户分别配置OpenSSH服务器,我们将创建一个新组并将所有chroot用户添加到该组中。

运行以下 groupadd 命令创建sftponly用户组:

sudo groupadd sftponly

您可以根据需要命名群组。

将用户添加到SFTP组

下一步是将您要限制的用户添加到sftponly组。

如果这是一个新设置,但该用户不存在,则可以通过输入以下内容创建新的用户帐户

sudo useradd -g sftponly -s /bin/false -m -d /home/username username
  • -g sftponly选项会将用户添加到sftponly组。
  • -s /bin/false选项设置用户的登录shell。将登录外壳设置为/bin/false,用户将无法通过SSH登录服务器。
  • -m -d /home/username选项告诉useradd创建用户主目录。

为新创建的用户设置强密码

sudo passwd username

否则,如果您要限制的用户已经存在,请将该用户添加到sftponly,然后更改用户的外壳:

sudo usermod -G sftponly -s /bin/false username2

用户主目录必须由root拥有,并具有 755权限

sudo chown root: /home/username
sudo chmod 755 /home/username

由于用户的主目录归root用户所有,因此这些用户将无法在其主目录中创建文件和目录。如果用户家中没有目录,则需要创建用户将拥有完全访问权限的新目录。例如,您可以创建以下目录:

sudo mkdir /home/username/{public_html,uploads}
sudo chmod 755 /home/username/{public_html,uploads}
sudo chown username:sftponly /home/username/{public_html,uploads}

如果Web应用程序使用用户的public_html目录作为文档根目录,则这些更改可能会导致权限问题。例如,如果您正在运行WordPress,则需要创建一个PHP池,该池将以拥有这些文件的用户身份运行,并将站点erver添加到sftponly组。

配置SSH

SFTP是SSH的子系统,并支持所有SSH身份验证机制。

使用文本编辑器打开SSH配置文件/etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

通常在文件末尾搜索以Subsystem sftp开头的行。如果该行以哈希#开头,则删除哈希#并将其修改为如下所示:

/ etc / ssh / sshd_config

Subsystem sftp internal-sftp

在文件末尾,以下设置块:

/ etc / ssh / sshd_config

Match Group sftponly
  ChrootDirectory %h
  ForceCommand internal-sftp
  AllowTcpForwarding no
  X11Forwarding no

ChrootDirectory指令指定chroot目录的路径。 %h表示用户主目录。此目录必须由root用户拥有,并且不能由任何其他用户或组写入。

修改SSH配置文件时要格外小心。错误的配置可能会导致SSH服务无法启动。

完成操作后,保存文件并重新启动SSH服务以应用更改:

sudo systemctl restart ssh

在CentOS和Fedora中,ssh服务的名称为sshd

sudo systemctl restart sshd

测试配置

现在,您已经配置了SFTP chroot,您可以尝试使用chroot用户的凭据通过SFTP登录到远程计算机。在大多数情况下,您将使用桌面SFTP客户端,例如 FileZilla ,但在此示例中,我们将使用 sftp命令

使用sftp命令打开SFTP连接,后跟远程服务器用户名和服务器IP地址或域名:

sftp username@192.168.121.30

系统将提示您输入用户密码。连接后,远程服务器将显示确认消息和sftp>提示:

username@192.168.121.30's password:
sftp>

运行pwd命令,如下所示,如果一切正常,该命令应返回/

sftp> pwd
Remote working directory: /

您还可以使用ls命令列出远程文件和目录,并且应该看到我们先前创建的目录:

sftp> ls
public_html  uploads  

结论

在本教程中,您学习了如何在Linux服务器上设置SFTP Chroot Jail环境以及如何限制用户对其主目录的访问。

默认情况下,SSH侦听端口22。更改默认SSH端口可通过降低自动攻击的风险为服务器增加一层安全保护。您可能还需要设置基于 SSH密钥的身份验证,然后不输入密码即可连接到服务器。

如果您有任何问题或反馈,请随时发表评论。