Linux教程之配置权限受限制的SFTP

Linux教程之配置权限受限制的SFTP
SFTP 在Linux下是⼀个很⽅便很安全的⽂件传输⼯具，我常常⽤它在Linux服务器上替代传统的ftp来传输⽂件。

众所周知SFTP账号是基于SSH账号的，默认情况下访问服务器的权限很⼤，下⾯的教程就是教你像ftp那样限制SFTP账号相关的访问权限。

具体实施步骤
1. 我们需要创建⼀个⽤户组，专门⽤于sftp⽤户
$ groupadd sftpusers
2. 我们创建⼀个⽤户test
$ useradd -s /bin/false -G sftpuser test
注意这⾥我们将test⽤户的shell设置为/bin/false使他没有登陆shell的权限
3. 编辑 /etc/ssh/sshd_config
找到Subsystem这个配置项，将其修改为
Subsystem sftp internal-sftp
然后再到⽂件最尾处增加配置设定属于⽤户组sftpusers的⽤户都只能访问他们⾃⼰的home⽂件夹
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
保存并关闭⽂件
4. 修改test⽤户home⽂件夹的权限，让其属于root⽤户
chown root ~test
5. 重启sshd服务
$ service sshd restart
6. 测试⽤户账号
$ ssh test@localhost
连接会被拒绝或者⽆法登陆
$ sftp tesst@localhost
登陆后你会发现你的账号⽆法切换到除⾃⼰home⽬录之外的地⽅的
常见问题：
如果你链接服务器的时候出现下⾯的提⽰：
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer
这个问题的原因是ChrootDirectory的权限问题，你设定的⽬录必须是root⽤户所有，否则就会出现问题。

所以请确保sftp⽤户根⽬录的所有⼈是root, 权限是 750 或者 755。