Linux 搭建Sftp服務並進行使用權限設定

標籤：linux 搭建sftp服務並進行使用權限設定

一、最近接到一個項目組的需求搭建檔案伺服器，需求如下

1、使用者：amovs、upload、download

2、組：amovs、dataload、download

3、具體需求是upload和download的家目錄都為同一個目錄dataload

4、upload能上傳也就是能讀能寫、download使用者只能下載

5、amovs因需要進行批量自動化刪除日誌等操作，所以對於dataload目錄許可權需要讀、寫入權限

6、並且upload和download只能使用sftp軟體上傳和下載檔案使用，不能作為登入使用者

詳細規划了一下使用者和組的關係如下：

amovs屬於dataload組，家目錄為/amovs

upload為屬於dataload組 /data/dataload

download屬於download組 /data/dataload

二、搭建環境如下：

Red Hat Enterprise Linux Server release 6.7 (Santiago)

具體搭建步驟：

1、查看ssh相關版本

[[email protected] /]# rpm -qa | grep ssh

openssh-clients-5.3p1-111.el6.x86_64

openssh-server-5.3p1-111.el6.x86_64

ksshaskpass-0.5.1-4.1.el6.x86_64

libssh2-1.4.2-1.el6_6.1.x86_64

openssh-5.3p1-111.el6.x86_64

2、建立相關組和使用者

[[email protected] /]# groupadd  -g 601 amovs

[[email protected] /]# groupadd  -g 602 dataload

[[email protected] /]# groupadd  -g 603 download

[[email protected] /]# useradd  -u 601  -g amovs  -G dataload  -d /amovs  amovs

[[email protected] /]# useradd  -u 602  -s /bin/false  -g dataload  -d  /data/dataload upload

[[email protected] /]# useradd  -u 603  -s /bin/false  -g download  -d  /data/dataload download

3、編輯/etc/ssh/sshd_config 更為為如下：

#注釋掉這行

#Subsystem      sftp    /usr/libexec/openssh/sftp-server

添加如下配置

Subsystem sftp internal-sftp  #指定使用sftp服務使用系統內建的internal-sftp

#Match Group  dataload        #如何限制組就改成這樣  這裡也可以使用使用者Match User，用逗號隔開

Match User upload、download   #我這裡的需求是控制使用者所以就配置成這樣

ChrootDirectory /data    #此目錄實際上傳目錄的上級目錄，例如這裡實際隱藏檔位置是/data/dataload

#用chroot將指定使用者的根目錄，chroot的詳細含義請參考如下連結：

http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/

ForceCommand internal-sftp    #指定sftp命令

X11Forwarding no             #這兩行，如果不希望該使用者能使用連接埠轉寄的話就加上，否則刪掉

AllowTcpForwarding no

注意：

要實現Chroot功能，目錄許可權的設定非常重要。否則無法登入，給出的錯誤提示也讓人無語。

基本上報錯都是這樣的

# sftp [email protected]

Connecting to 192.168.56.102...

[email protected]‘s password: 

Write failed: Broken pipe

Couldn‘t read packet: Connection reset by peer

 

目錄使用權限設定這裡從網上找到了3條總結測試如下：

1、ChrootDirectory設定的目錄許可權及其所有的上級檔案夾許可權，屬主和屬組必須是root:root

這裡我的/data 屬組為root:root  而/data/dataload 屬組為upload:dataload  ，具體如下

[[email protected] ~]# ls -ld /data

drwxr-xr-x 3 root root 4096 5月  23 17:27 /data

[[email protected] data]# ls -ld /data/dataload/

drwxrwxr-x 4 upload dataload 4096 5月  23 18:11 /data/dataload/

2、ChrootDirectory設定的目錄許可權及其所有的上級檔案夾許可權，只有屬主能擁有寫入權限，也就是說許可權最大設定只能是755

這條沒試出來

3、ChrootDirectory %h 如果選擇了這種模式，使用者的home目錄必須是root:root 許可權，它的上級目錄頁必須是root:root，否則就會報錯。

[[email protected] /]# ls -ld /amovs/

drwxr-xr-x 3 amovs amovs 4096 5月  23 16:00 /amovs/

[[email protected] /]# chown root:root /amovs

[[email protected] /]# ls -l /amovs/

drwxr-xr-x 3 root root 4096 5月  23 16:39 data

這裡設定完了以後還出現了一個問題就是通過sftp軟體上傳後的檔案屬性是644的，也就是amovs使用者刪除不了upload 使用者的上傳的檔案，這說明上傳檔案的許可權並沒有走系統使用者umask，通過查了一些資料修改PAM值並測試成功了。

一，查看並開啟ssh的PAM功能，

運行命令看看 ldd  /usr/sbin/sshd | grep libpam.so支援PAM

[[email protected] 20170523]$ ldd /usr/sbin/sshd | grep libpam.so

libpam.so.0 => /lib64/libpam.so.0 (0x00007fce94f79000)

編輯/etc/ssh/sshd_config

UsePAM yes  #這預設是開啟的，沒有開的話開啟了

二，編輯/etc/pam.d/sshd,（具體說明參照PAM），加上umask那一行。

#%PAM-1.0

auth       required     pam_sepermit.so

auth       include      password-auth

account    required     pam_nologin.so

account    include      password-auth

password   include      password-auth

# pam_selinux.so close should be the first session rule

session    required     pam_selinux.so close

session    required     pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session    required     pam_selinux.so open env_params

session    optional     pam_keyinit.so force revoke

session    include      password-auth

session     optional     pam_umask.so umask=0002

重啟sshd服務就可以了

測試如下：

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/96/C1/wKioL1klKRPBgxn6AAB3jrxQWUo344.jpg" title="QQ20170524140344.jpg" alt="wKioL1klKRPBgxn6AAB3jrxQWUo344.jpg" />

本文出自 “記錄點滴學習” 部落格，請務必保留此出處http://laobaiv1.blog.51cto.com/2893832/1928973

Linux 搭建Sftp服務並進行使用權限設定