操作前需先開啟telnet服務,防止修改sshd_config後,sshd服務啟不了
systemctl start telnet.socket
建立sftpusers使用者組,專門用於sftp使用者
groupadd sftpusers
建立test使用者,將test使用者的shell設定為/sbin/nologin禁止ssh登陸,且不建立使用者家目錄
useradd -g sftpusers -s /sbin/nologin -m test
設定使用者密碼
passwd test
注釋subsystem sftp /usr/libexec/openssh/sftp-server
新增如下內容:
# override default of no subsystems
#subsystem sftp /usr/libexec/openssh/sftp-server
subsystem sftp internal-sftp
match
user zjjkzc
chrootdirectory /gfsdata/jkzc
forcecommand internal-sftp
allowtcpforwarding no
x11forwarding no
多個使用者,每個使用者需要設定不同目錄,可用以下方法:
# override default of no subsystems
#subsystem sftp /usr/libexec/openssh/sftp-server
subsystem sftp internal-sftp -l info -f local5
match
user zjjkzc
chrootdirectory /gfsdata/jkzc
match
user zhizhen_wz
chrootdirectory /gfsdata/zhizhen_wz
match
user jt_wz
chrootdirectory /gfsdata/zhizhen_wz
forcecommand internal-sftp
x11forwarding no
allowtcpforwarding no
修改後重啟sshd服務,
systemctl restart sshd
如果重啟報錯,可以通過以下命令進行測試
/usr/sbin/sshd -t
建立sftp根目錄,使sftp使用者在該目錄下活動
目錄許可權設定上要遵循2點:(需要格外注意)
chrootdirectory設定的目錄許可權及其所有的上級資料夾許可權,屬主和屬組必須是root;
chrootdirectory設定的目錄許可權及其所有的上級資料夾許可權,只有屬主能擁有寫許可權,也就是說許可權最大設定只能是755。
sftp test@ip
目標端a通過sftp採集目錄a下的a1和a2中的檔案;
源端a和源端b通過ftp上傳檔案到目錄a1和目錄a2中。
1 賬號建立
分別建立sftp賬號test; ftp虛賬號 vtest1、vtest2(歸屬於賬號vtest)
2 賬號許可權
sftp賬號許可權設定:
若需要讓test賬號採集到vtest1和vtest2上傳的檔案,可將使用者組vtest加到test上
usermod -a -g vtest test
設定vtest1和vtest2賬號許可權,增加anon_umask引數,讓檔案上傳後的許可權為644許可權
# vi /etc/vsftpd/v-conf/vtest1
local_root=
/gfsdata/jkzc/jtkd
anon_world_readable_only=
nowrite_enable=yes
anon_mkdir_write_enable=yes
anon_upload_enable=yes
anon_other_write_enable=yes
anon_umask=
022
linux建立sftp賬號及訪問許可權
首先 你的openssh server版本至少得是4.8p1,因為配置許可權需要版本新增的新配置項chrootdirectory來完成。如何檢視自己伺服器上的ssh版本?大家可以嘗試以下命令 ssh v 步驟 1.我們需要建立乙個使用者組,專門用於sftp使用者 groupadd sftpusers...
linux建立sftp賬號
提供sftp服務的有vsftpd和internal sftp,這裡用的是系統自帶的internal sftp,操作步驟如下 1.建立使用者yssftp,禁止ssh登入 useradd s sbin nologinyssftp 2.設定使用者密碼 passwd yssftp3.建立使用者的根目錄 mk...
Mysql建立子賬號以及許可權設定
命令 建立乙個使用者名為test,密碼為123456的子賬號。命令 create user test localhost identified by 123456 這種建立方式只能本地登入 create user test identified by 123456 這種建立方式可以遠端登入,即別的地...