在CentOS上限制SFTP用户访问可以通过配置SSH和SFTP服务来实现。以下是一个详细的步骤指南:
如果还没有安装OpenSSH服务器,可以使用以下命令进行安装:
sudo yum install openssh-server
创建一个新的用户,并设置其主目录和shell为受限的shell(例如/sbin/nologin)。
sudo useradd -m -d /home/sftpuser -s /sbin/nologin sftpuser
sudo passwd sftpuser
按照提示输入并确认密码。
编辑SSH配置文件/etc/ssh/sshd_config,添加或修改以下内容:
# 限制SFTP用户的访问
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
# 创建一个组来管理SFTP用户
sudo groupadd sftpusers
sudo usermod -aG sftpusers sftpuser
确保SFTP用户的家目录及其所有父目录的权限设置正确,以便SSH可以chroot到该目录。
sudo chown root:root /home/sftpuser
sudo chmod 755 /home/sftpuser
# 创建一个上传目录,并设置正确的权限
sudo mkdir /home/sftpuser/upload
sudo chown sftpuser:sftpuser /home/sftpuser/upload
sudo chmod 755 /home/sftpuser/upload
应用配置更改后,重启SSH服务以使更改生效:
sudo systemctl restart sshd
使用SFTP客户端连接到服务器,验证是否只能访问指定的目录。
sftp sftpuser@your_server_ip
防火墙配置:确保防火墙允许SFTP端口(默认22)的流量。
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
SELinux配置:如果启用了SELinux,可能需要调整相关策略以允许chroot环境。
sudo setsebool -P ssh_chroot_rw_homedirs on
通过以上步骤,你可以有效地限制SFTP用户的访问,确保他们只能访问指定的目录,并且无法进行SSH登录或其他不受限制的操作。