UOS1060e分离ssh与sftp服务

文章目录

原理

SFTP是SSH的一部分,SFTP没有单独的守护进程,它必须使用SSHD守护进程(端口号默认是22)来完成相应的连接操作。

通过新建另一个'sshd'进程,作为sftp服务的deamon,完成服务分离。

一、sftp 用户与目录

步骤一、创建sftp 用户

用户创建示例如下(以下为创建 sftpuser1 示例):

powershell 复制代码
# groupadd sftpgrp
# useradd -s /sbin/nologin -G sftpgrp sftpuser1
# passwd sftpuser1
Changing password for user sftpuser1.
New password:1qaz@WSX                                              #输入密码
Retype new password:1qaz@WSX                                   #确认密码

步骤二、创建 sftpuser1 用户目录

powershell 复制代码
# mkdir /sftp/sftpuser1 -p
# chown root:root /sftp
# chown root:root /sftp/sftpuser1
# chmod 755 /sftp
# chmod 755 /sftp/sftpuser1

二、ssh 和 sftp 服务分离

ssh 和 sftp 都有单独的服务,并且 ssh 监听 22 号端口,sftp 监听 10001 端

生成 sftp_config 文件

powershell 复制代码
# cp -p /etc/ssh/sshd_config /etc/ssh/sftpd_config

编辑/etc/ssh/sftpd_config,修改 sftp 的监听端口和 pid 文件等

powershell 复制代码
开启如下两个配置
Port 10001
PidFile /var/run/sftp.pid
修改如下配置
#Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH
Subsystem sftp internal-sftp -l INFO -f AUTH
文件尾增加如下配置
AllowGroups sftpgrp
Match Group sftpgr
             ChrootDirectory /sftp/%u
              AllowTcpForwarding no
             ForceCommand internal-sftp
             X11Forwarding no

编辑/etc/ssh/sshd_config,修改 sftp 的监听端口和 pid 文件

powershell 复制代码
vi /etc/ssh/sshd_config
增加一行内容
DenyGroups sftpgrp

拷贝 sshd 服务的 systemd unit file

powershell 复制代码
cp -p /usr/lib/systemd/system/sshd.service /etc/systemd/system/sftpd.service

修改/etc/systemd/system/sftpd.service 文件配置

powershell 复制代码
[Unit]
Description=OpenSSH sftp server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=***.target ***.target auditd.service sshd.service
Wants=***.target
[Service]
Type=simple
EnvironmentFile=/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sftpd_config $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s
[Install]
WantedBy=***.target

生成认证配置文件

powershell 复制代码
cp -p /etc/pam.d/sshd /etc/pam.d/sftpd

三、启动与停止

powershell 复制代码
#  systemctl restart sshd.service
#  systemctl restart sftpd.service

四、验证

验证:使用 sftpuser1 用户的通过 sftp 登陆系统

查看当前目录,当前空间大小

本地登陆

远程登陆

从ftp服务器下载文件到本地

将本地目录上传到ftp服务器

这个是ftp服务器

其他验证方式就是windows环境来验证,前提是本地需要开放端口,理论上来说是可用的。

相关推荐
Linux运维技术栈5 分钟前
Ansible(自动化运维)环境搭建及ansible-vault加密配置
运维·自动化·ansible
Bessssss1 小时前
centos权限大集合,覆盖多种权限类型,解惑权限后有“. + t s”问题!
linux·运维·centos
苹果醋31 小时前
Golang的文件加密工具
运维·vue.js·spring boot·nginx·课程设计
jwensh2 小时前
【Jenkins】Declarative和Scripted两种脚本模式有什么具体的区别
运维·前端·jenkins
大熊程序猿3 小时前
xxl-job docker 安装
运维·docker·容器
董健正3 小时前
centos制作离线安装包
linux·运维·centos
shelby_loo3 小时前
使用 Docker 在 Ubuntu 下部署 Cloudflared Tunnel 服务器
服务器·ubuntu·docker
咏颜4 小时前
Ubuntu离线安装Docker容器
linux·运维·服务器·经验分享·ubuntu·docker
DexterLien5 小时前
Debian 12 安装配置 fail2ban 保护 SSH 访问
运维·debian·ssh·fail2ban
爱学习的白杨树5 小时前
什么是MVCC?
java·服务器·数据库