- 切換到root用戶
sudo su
- 創(chuàng)建用戶vmax_user痹扇,并禁止ssh登錄斑鸦,不創(chuàng)建家目錄
useradd -s /sbin/nologin -M vmax_user
- 修改密碼刻帚,密碼安全級別要求很高
vmax_zTe.CN_2019_MD
passwd vmax_user
- 創(chuàng)建sftp根目錄勺择,所有sftp用戶都將在該目錄下活動创南。(如果以后不會在新增新用戶的話,可跳過此目錄)
mkdir /home/sftp
- 設(shè)置目錄權(quán)限省核,目錄的權(quán)限設(shè)定有兩個要點:
- 目錄開始一直往上到系統(tǒng)根目錄為止的目錄擁有者都只能是root
- 目錄開始一直往上到系統(tǒng)根目錄為止都不可以具有群組寫入權(quán)限
chown root:root /home/sftp
chmod 755 /home/sftp
- 創(chuàng)建用戶vmax_user根目錄稿辙,目錄名為用戶名
cd /home/sftp
mkdir vmax_user
- 設(shè)置vmax_user目錄權(quán)限
chown root:vmax_user /home/sftp/vmax_user # 設(shè)置用戶sftpuser,如果設(shè)置擁有者為root气忠,表示該目錄sftpuser沒有權(quán)限讀寫邻储,在該目錄下建立其它目錄赋咽,賦權(quán)給sftpuser用戶讀寫權(quán)限
chown vmax_user:vmax_user /home/sftp/vmax_user # 對該目錄擁有讀寫權(quán)限,設(shè)置權(quán)限
chmod 755 /home/sftp/vmax_user # 這里的目錄sftpuser 權(quán)限也只能是755吨娜,否則無法限制目錄
- 配置sshd_config
vi /etc/ssh/sshd_config
# 注釋掉如下這一行脓匿,如下:
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
# 多個用戶/組制定不同路徑配置方式
Match Group vmax_user
ChrootDirectory /home/sftp/%u # 同一個用戶組下通過用戶名匹配對應(yīng)的路徑
ForceCommand internal-sftp
AllowTcpForwarding no
Match Group vmax_pms
ChrootDirectory /pmsapp/pms/ums-server/works/global/erf
ForceCommand internal-sftp
AllowTcpForwarding no
- 重啟sshd服務(wù)器
systemctl restart sshd.service
- 查詢sshd啟動狀態(tài)命令
systemctl status sshd.service
- vmax_user用戶登錄測試:
sftp -oPort=22 vmax_user@127.0.0.1
