SFTP的安全规划配置

直接说配置方法,上干货:

1、修改/etc/ssh/sshd_config

追加:

#启用internal-sftp

Subsystem       sftp    internal-sftp

Match Group sftp             属于sftp组

ChrootDirectory /app/sftp  -sftp上传目录。

AllowTCPForwarding no

X11Forwarding no

ForceCommand internal-sftp

注释掉原有的:Subsystem      sftp    /usr/libexec/openssh/sftp-server

groupadd -g 20000 sftp

重启ssd服务:service sshd restart。

如此配置原因:系统默认是开启了sftp服务的,与ssh同时占用22端口访问,如果用原有配置,则用户直接可以ssh 登陆到目的主机,对于信息安全讲,存在很大风险。所以要将用户限定在一个特定的目录中访问。所创建的用户,实例:useradd -u 20087 -d /app/sftp/wojinrong/ccb -s /sbin/nologin -g develop -G sftp ccbsftp   登陆用户只能看到wojinrong/ccb目录,而且无权访问其他目录,且因为是/sbin/nologin用户,所以该用户禁止使用ssh登陆。

时间: 2024-10-06 02:08:45

SFTP的安全规划配置的相关文章

sftp多用户不同权限配置过程

mkdir -pv /opt/ftpsite/{admin,user1,user2} groupadd sftpadmins groupadd sftpusers useradd -g sftpadmins -s /sbin/nologin -d /opt/ftpsite/ admin passwd admin 123456 useradd -g sftpusers -s /sbin/nologin -d /opt/ftpsite/ user1 passwd user1 111111 usera

sftp 多用户安装与配置

sftp 是 Secure File Transfer Protocol 的缩写,安全文件传送协议.可以为传输文件提供一种安全的加密方法.SFTP 为 SSH 的一部分,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的 FTP 要低得多,如果您对网络安全性要求更高时,可以使用 SFTP 代替 FTP. 1 | sftp 搭建 1.1 创建 sftp 组 # groupadd sftp # useradd -g sftp -d /data/sftp/sftpuser -s /sbin/n

Ubuntu Server如何配置SFTP

SSH File Transfer Protocol是一个比普通FTP更为安全的文件传输协议.(参考资料:http://en.wikipedia.org/wiki/SSH_File_Transfer_Protocol)它工作在Secure Shell(SSH)上,确保文件被加密传输. 因为工作需要,我研究了一下如何在Ubuntu Server上配置SFTP,记录如下. 需求:在服务器上开通SFTP文件服务,允许某些用户上传及下载文件.但是这些用户只能使用SFTP传输文件,不能使用SSH终端访问服

SFTP信任公钥配置及JSCH库

1.SFTP信用公钥配置 1.1 客户端生成密钥对 以DSA举例: ssh-keygen –t dsa 执行该命令后,在home/用户名/.ssh目录下,会生成id_dsa和id_dsa.pub两个文件 1.2 将id_dsa.pub公钥文件上传至服务端的home/用户名/.ssh目录下 scp id_dsa.pub 用户名@服务端IP:/home/用户名/.ssh 此时还需要输入密码 1.3服务端添加信任公钥 登录服务端,进入到/home/用户名/.ssh目录,将刚刚拷贝的id_dsa.pub

ssh/sftp配置和权限设置

基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录). 1.开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh 到服务器 2.限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置 确定版本 #确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本ssh -V 新建用户和用户组 #添加用户组 sftpgroupadd sftp#添加用户 指定

Juniper-SSG-路由模式的IPSEC-VPN之配置终结篇

这周算是补了上周和上上周脱更的内容了,下周好好继续研究,大家一起学习!!成为一名优秀的网工. 之前的文章里面有介绍过basic-policy-vpn和routing-vpn的区别(SSG系列),同时也列举的basic-policy-vpn的配置思路和配置方法.今天呢算是做一个补充,介绍一下SSG基于tunnel接口的routing-vpn配置方法. 简单介绍下: 基于路由的IPsec VPN: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec VP

linux SFTP用户创建 不允许用户登录,并且连接只允许在制定的目录下进行操作

1.创建用户 groupadd sftp 2.添加用户并设置为sftp组 useradd -g sftp -s /sbin/nologin -M sftp    (/sbin/nologin为禁止登录shell的用户) 3.设置用户密码 passwd sftp 4.创建用户目录.并设置权限. cd /home mkdir sftp chown root:sftp sftp chmod 755 sftp 5.修改SSH配置 /etc/ssh/sshd_config 修改Subsystem Subs

用LVS配置一个简单的web LB集群

知识储备: ipvsadm: 管理集群服务 添加:-A -t|u|f  service-address [-s scheduler] -t: TCP协议的集群 -u: UDP协议的集群 -f: FWM: 防火墙标记 service-address:     IP:PORT 修改:-E 删除:-D -t|u|f service-address 管理集群服务中的RS 添加:-a -t|u|f service-address -r server-address [-g|i|m] [-w weight]

一台CentOS主机上运行多个Tomcat7的配置

环境: CentOS 6.5 x64 JDK8 apache-tomcat-7.0.70 1.规划并配置端口: TOMCAT HTTP端口,默认8080 AJP端口,默认8009 远程停服务端口,默认8005 原版apache-tomcat-7.0.70 71  <Connector port="8080"  protocol="HTTP/1.1"                    connectionTimeout="20000"