SFTP限定目录与账号权限

最新推荐文章于 2026-06-17 16:56:38 发布
原创 最新推荐文章于 2026-06-17 16:56:38 发布 · 144 阅读 · 3
标签
#linux

目录

手动配置SFTP

第一步:准备统一的根目录与权限

OpenSSH 对 Chroot 的上级路径有极其严格的安全要求:从系统根目录 / 一直到 Chroot 目录本身,每一级目录的所有者必须是 root,且权限不能超过 755

# 1. 创建公共根目录
mkdir -p /dayudata/dataupload

# 2. 设置严格的属主和权限(确保其上级目录 /dayudata 也满足此条件)
chown root:root /dayudata/dataupload
chmod 755 /dayudata/dataupload

第二步:修改 SSH 配置文件

编辑 /etc/ssh/sshd_config,配置全局使用内部 SFTP,并在文件最末尾添加针对该组的匹配规则。这里我们使用 %u 变量来自动匹配当前登录的用户名

# 替换原有的 Subsystem sftp 行
# Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH
Subsystem sftp internal-sftp -l INFO -f AUTH

######### 在文件最末尾添加以下配置块 #########

# ChrootDirectory目录配置755权限,ForceCommand不带目录
Match Group sftpusers
    ChrootDirectory /dayudata/dataupload/%u
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

### 或 ###

# ChrootDirectory目录配置755权限,%u目录配置700权限,防止越狱
Match Group sftp
最低0.47元/天 解锁文章
Centos新建用户并且限制用户只能通过 SFTP 访问服务器指定文件夹,禁止通过 SSH 客户端访问
xuelangqingkong的专栏
12-01 4036
1. 需求: 新建一个新的用户,并且为了保证系统的安全性,指定该用户在指定的目录内进行访问 2. 第一步:新建用户组 groupadd visitors 3. 第二步:新建用户并将用户添加到分组中 使用root权限建立新用户的主目录,注意这里必须是root权限,否则后续的sftp不能连接 useradd -d /home/fangke -g visitors fangke 这里因为上...
通过密钥 SFTP(二)限定用户根目录
哈哈虎的博客
02-21 1014
目标 授权网站开发人员使用 sftp 上传项目文件 必须使用密钥方式,去掉密码验证方式 简单起见,全部放在 /var/www 目录下 熟练之后,可以在继续修改 sshd 配置文件指定到具体的子目录下 我们的人员不多,采用对每一个账号分别设置的方法 是否使用组策略方式更方便,目前不熟练!以后再处理 大概思路和步骤 创建 sftp 账户 (假设名字:sftp123) 复制管理员的 .ss...
linux限制用户只能访问sftp,同一台 Centos (Linux)服务器设置多个sftp 账号,并限制用户只能访问指定文件路径...
weixin_36359075的博客
05-16 528
备注:本资源部份来源网络,本文章只是作为优化,整理,方便自己需要的朋友查看。#===================================================================0. 我们需要创建一个用户组,专门用于sftp用户,每台Linux服务器建立一次sftp 用户组即可。groupadd sftpusers //这里表示创建 sftpuser...
linux创建sftp用户并指定访问目录,Linux 下创建 sftp 用户并限定目录
weixin_42415036的博客
04-28 1785
Linux 下创建 sftp 用户并限定目录###1、创建 sftpUser 用户组[root@XXX ~]# groupadd sftpUser###2、创建 sftpUser 用户并指定目录[root@XXX ~]# useradd -d /home/sftpUser -s /sbin/nologin -g sftpUser sftpUser###3、为新用户添加密码[root@XXX ~]#...
centos7 安装mysql 出现 libnuma.so.1 问题解决
离风的博客
01-02 8797
使用tar包安装mysql时出现:  error while loading shared libraries: libaio.so.1 : cannot open shared object file: No such file or directory  error while loading shared libraries: libnuma.so.1: cannot open shar...
Linux 序列号
离风的博客
11-18 5581
Linux 主板序列号,硬盘序列号查看
Linux-getopt命令详解
离风的博客
07-22 3394
LInux getopt命令使用要点记录
k8s 二进制安装过程错误日志记录(持续更新)
离风的博客
11-25 2592
解决方案:修改docker,只需在/etc/docker/daemon.json中,添加"exec-opts": [“native.cgroupdriver=systemd”]即可,本文最初的docker配置可供参考。解决方案:apiserver中指定的etcd服务配置错误,检查配置修改即可。解决方案:kubectl config 配置错误,检查修改。解决方案:这是因为kube-apiserver的RBAC。解决方案:在kubelet中追加配置。controller日志。apiserver日志。
maven私服 nexus-3.14.0-04在CentOS7搭建
离风的博客
12-10 1485
Nexus介绍: Nexus 是Maven仓库管理器,如果你使用Maven,你可以从Maven中央仓库 下载所需要的构件(artifact), 但这通常不是一个好的做法,你应该在本地架设一个Maven仓库服务器,在代理远程仓库的同时维护本地仓库, 以节省带宽和时间,Nexus就可以满足这样的需要。此外,他还提供了强大的仓库管理功能,构件搜索功能, 它基于REST,友...
Linux虚拟机
离风的博客
06-06 1248
本文摘要了KVM和VirtualBox虚拟机的创建管理方法,以及Kickstart配置文件的编写规范。主要内容包括: KVM虚拟机创建命令详解,包含内存、CPU、磁盘等参数配置; 虚拟机基本操作如启动、停止、状态检查等; VirtualBox命令行创建虚拟机的完整流程; Kickstart配置文件的结构编写注意事项,强调命令段、软件包段和脚本段的顺序要求; 生成加密密码的方法。文档提供了完整的命令行示例和参数说明,适用于自动化部署虚拟机的场景。
Linux免密码切换用户
离风的博客
02-28 1162
本文介绍了两种在Linux系统中免密码切换用户的脚本方案。第一种方案使用-c参数避免Here-Document问题,通过expect命令自动输入密码并保持交互。第二种方案解决Here-Document劫持stdin的问题,使用进程替换让interact能获取物理TTY输入。两种方法都实现了无需手动输入密码即可切换用户(root示例),同时保持终端交互能力。文中还展示了一个会失败的Here-Document反面案例,说明stdin被劫持导致interact失效的问题。
Linux 子网掩码转化脚本
离风的博客
04-06 1000
众所周知,子网掩码的表现形式有三种(网络位、十进制、二进制),通过shell脚本实现,三种格式快速转换。二进制:11111111.11111111.11111111.11111100。十进制:255.255.255.252。
k8s 集群一键部署(持续更新)
离风的博客
11-29 994
kubefit k8s(kubernetes)二进制 一键部署安装包。 支持在线/离线部署
linux 整数算术运算操作的几种方式
离风的博客
08-12 898
shell算术运算运算方式exprlet$(())$[]加1操作取模取余区别 运算方式 expr n=`expr a + a` # 'a' 或 'b' 为变量时需要在加‘$’,如:$a、$b # 'a'、'+'、'b'之间需要有空格,否则报错 expr:非整数参数 # 如果'a'或'b'未初始化,报语法错误 # expr 没有乘幂 let let n=a+b # 'a' 或 'b' 为变量时不...
Linux计算文件md5值脚本-多种命令结合使用记录
离风的博客
08-02 864
Linux计算文件md5值脚本-多种命令结合使用记录脚本内容 脚本内容 #!/bin/bash echo "[-] 计算 rpm 软件包 md5 值写入文件中... 目录: ${1:-未指定}" FILE_DIR=${1:?'[x] 请输入需要检车md5值的文件所在的目录'} MD5_FILE=md5file #FILE_LIST=`find ${FILE_DIR} -type f` #for file in $FILE_LIST; do # echo `md5sum $file`|awk ' #{ #
Linux格式化磁盘-自动化脚本执行
离风的博客
07-12 845
Linux parted 格式化磁盘,自动化脚本执行
expect静态编译
离风的博客
09-24 840
摘要: 静态编译的expect在glibc环境下因NSS机制缺失导致pty错误,误报"no more ptys"。解决方案是改用musl静态编译,因其完整支持getpwnam和openpty且不依赖glibc。musl程序通过统一的内核接口访问系统资源(如/dev/ptmx),静态链接后可在任何Linux平台运行,无glibc版本冲突。优势包括真正可移植、无NSS问题、体积更小。编译时需注意完全静态链接、避免混用动态库,并确保系统调用兼容性。文中提供了基于musl-gcc的tcl+exp
内网环境CentOS7安装Hadoop遇到的问题:fuser
离风的博客
11-15 792
版权声明:本文为FromTheWind原创文章,转载请注明出处。https://blog.csdn.net/FromTheWind/article/details/84105907 内网安装的CentOS7系统最小安装默认不会安装psmisc(fuser等命令的rpm包),导致测试namenode高可用时kill掉namenode active后namenode standby不会自主切换为na...
Elasticsearch 数据查询小记(Linux命令行)
离风的博客
08-01 567
【代码】Elasticsearch 数据查询小记(Linux命令行)
记录从0到1制作 Linux To Go
最新发布
kusunoki的博客
06-17 284
本文介绍了如何制作一个便携的 Linux To Go 系统盘,适合计算机专业或有显卡需求的用户使用。通过 Ubuntu 启动盘,将系统完整安装到移动硬盘/U盘中,避免了双系统或虚拟机的复杂设置。文章详细讲解了准备工作、启动盘制作、BIOS 设置、系统安装步骤,以及网卡和显卡驱动的安装方法。这种方案可在不同电脑上即插即用,保留了完整的 Linux 系统功能和性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值