UOS1060e分离ssh与sftp服务

文章目录

原理

SFTP是SSH的一部分,SFTP没有单独的守护进程,它必须使用SSHD守护进程(端口号默认是22)来完成相应的连接操作。

通过新建另一个'sshd'进程,作为sftp服务的deamon,完成服务分离。

一、sftp 用户与目录

步骤一、创建sftp 用户

用户创建示例如下(以下为创建 sftpuser1 示例):

powershell 复制代码
# groupadd sftpgrp
# useradd -s /sbin/nologin -G sftpgrp sftpuser1
# passwd sftpuser1
Changing password for user sftpuser1.
New password:1qaz@WSX                                              #输入密码
Retype new password:1qaz@WSX                                   #确认密码

步骤二、创建 sftpuser1 用户目录

powershell 复制代码
# mkdir /sftp/sftpuser1 -p
# chown root:root /sftp
# chown root:root /sftp/sftpuser1
# chmod 755 /sftp
# chmod 755 /sftp/sftpuser1

二、ssh 和 sftp 服务分离

ssh 和 sftp 都有单独的服务,并且 ssh 监听 22 号端口,sftp 监听 10001 端

生成 sftp_config 文件

powershell 复制代码
# cp -p /etc/ssh/sshd_config /etc/ssh/sftpd_config

编辑/etc/ssh/sftpd_config,修改 sftp 的监听端口和 pid 文件等

powershell 复制代码
开启如下两个配置
Port 10001
PidFile /var/run/sftp.pid
修改如下配置
#Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH
Subsystem sftp internal-sftp -l INFO -f AUTH
文件尾增加如下配置
AllowGroups sftpgrp
Match Group sftpgr
             ChrootDirectory /sftp/%u
              AllowTcpForwarding no
             ForceCommand internal-sftp
             X11Forwarding no

编辑/etc/ssh/sshd_config,修改 sftp 的监听端口和 pid 文件

powershell 复制代码
vi /etc/ssh/sshd_config
增加一行内容
DenyGroups sftpgrp

拷贝 sshd 服务的 systemd unit file

powershell 复制代码
cp -p /usr/lib/systemd/system/sshd.service /etc/systemd/system/sftpd.service

修改/etc/systemd/system/sftpd.service 文件配置

powershell 复制代码
[Unit]
Description=OpenSSH sftp server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=***.target ***.target auditd.service sshd.service
Wants=***.target
[Service]
Type=simple
EnvironmentFile=/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sftpd_config $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s
[Install]
WantedBy=***.target

生成认证配置文件

powershell 复制代码
cp -p /etc/pam.d/sshd /etc/pam.d/sftpd

三、启动与停止

powershell 复制代码
#  systemctl restart sshd.service
#  systemctl restart sftpd.service

四、验证

验证:使用 sftpuser1 用户的通过 sftp 登陆系统

查看当前目录,当前空间大小

本地登陆

远程登陆

从ftp服务器下载文件到本地

将本地目录上传到ftp服务器

这个是ftp服务器

其他验证方式就是windows环境来验证,前提是本地需要开放端口,理论上来说是可用的。

相关推荐
梦想的颜色3 小时前
【Docker原理】Docker 容器一文打尽:生命周期、环境管控、迁移备份、日志进程排查、垃圾清理
运维·docker·容器·容器生命周期·容器日志排查·容器迁移备份·容器进程管理
欢呼的太阳4 小时前
数据库设计Step by Step (10)——范式化
服务器·数据库·oracle
夜雪一千5 小时前
Python enumerate() 函数完整详解:遍历同时获取索引,告别手动计数
服务器·windows·python
donoot5 小时前
Linux系统下图书馆级电子书全自动标准化分类整理完整实施方案
大数据·linux·运维·电子书管理
ITKEY_6 小时前
macOS brew 安装的nginx 文件在哪里?
运维·nginx·macos
Elastic 中国社区官方博客6 小时前
如何比较两个 Elasticsearch 索引并找出缺失的文档
大数据·运维·数据库·elasticsearch·搜索引擎
大E帝国子民17 小时前
MacOS 安装Seismic Unix
服务器·macos·unix
Tim_Van7 小时前
在 CentOS 7 中安装 Chromium 的完整步骤
linux·运维·chrome·centos
德福危险7 小时前
富有想象力的XSS盲打:靶机练习之Tempus_fugit5
服务器·网络·xss
孫治AllenSun8 小时前
【Nginx】配置参数和使用案例
运维·nginx