限制User使用sftp在家目錄,並加入log file
一、環境說明:
Red Hat Enterprise Linux Server release 6.7 (Santiago)
# sshd -v
sshd: illegal option -- v
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
rsyslog-5.8.10
二、設置ssh 設定
1.針對user設置:
# vi /etc/ssh/sshd_config
Subsystem sftp internal-sftp -f AUTHPRIV -l VERBOSE -u 0002 -f LOCAL6
Match user schuang
ChrootDirectory /home/sftpuser
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -u 0002 -l VERBOSE -f LOCAL6
設置(針對Group設置):
# vi /etc/ssh/sshd_config
Subsystem sftp internal-sftp -f AUTHPRIV -l VERBOSE -u 0002 -f LOCAL6
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
三、修正使用者帳戶的家目錄權限
家目錄必需是要root,且最大的權限為755(為了不給user切換到另一目錄)
#chown root.root /home/sftpuser
#chmod 755 /home/sftpuser
四. 在使用者目錄下建立允許上傳檔案的目錄
建立可上傳目錄,並賦予適當的目錄權限
#cd /home/sftpuser
#mkdir upload
#chown sftpuser.sftpuser upload
五、建立登入log file
#cd /home/sftpuser
#mkdir dev
# vi /etc/rsyslog.conf
local6.* /var/log/sftp.log
$AddUnixListenSocket /home/sftpuser/dev/log
# service rsyslog restart
#service sshd restart
#tail -f /var/log/sftp.log
Error message:
fatal: bad ownership or modes for chroot directory
因沒有加入到root群組
請做第三步驟。
參考檔案:
Sftp Install 1:
Sftp Install 2:
Sftp log:
http://gdcsy.blog.163.com/blog/static/12734360920145632946993/