Налаштування облікових записів користувачів лише для SFTP в Ubuntu 14

Вступ

Деякі сценарії вимагають створення користувачів із доступом для читання та запису до одного каталогу лише через FTP. Цей запис покаже вам, як створити таких користувачів. Вони не зможуть виходити за межі свого домашнього каталогу, входити на сервер через SSH або виконувати команди оболонки.

Налаштуйте групу та службу SFTP

1. Створіть групу sftpusers.

   sudo groupadd sftpusers
   

2. Прокоментуйте налаштування, що відключають доступ до SFTP з файлу конфігурації sshd.

   sudo sed -i "s/Subsystem sftp \/usr\/lib\/openssh\/sftp-server/#Subsystem sftp \/usr\/lib\/openssh\/sftp-server/" /etc/ssh/sshd_config
   

3. Відкрийте файл конфігурації sshd sudo nano /etc/ssh/sshd_config, додайте його фрагмент нижче та вийдіть (Ctrl+X -> Y -> Натисніть Enter) .

   #enable sftp
   Subsystem sftp internal-sftp
   
   Match Group sftpusers
      ChrootDirectory %h #set the home directory
      ForceCommand internal-sftp
      X11Forwarding no
      AllowTCPForwarding no
      PasswordAuthentication yes
   

4. Перезапустіть ssh.

   sudo service ssh restart
   

Створення користувачів

Повторіть наведений нижче процес для кожного користувача лише SFTP, якого ви хочете додати на сервер.

# create user
sudo adduser sftpuser1

# prevent ssh login & assign SFTP group
sudo usermod -g sftpusers sftpuser1
sudo usermod -s /bin/nologin sftpuser1

# chroot user (so they only see their directory after login)
sudo chown root:sftpuser1 /home/sftpuser1
sudo chmod 755 /home/sftpuser1

sudo mkdir /home/sftpuser1/uploads
sudo chown sftpuser1:sftpuser1 /home/sftpuser1/uploads
sudo chmod 755 /home/sftpuser1/uploads

Ви можете пришвидшити створення користувачів, обгорнувши вищевказану функцію і додавши її до свого профілю bash, (1) запустивши sudo nano ~/.bash_profile; (2) додавання до нього фрагмента нижче; (3) біг source ~/.bash_profile.

Після цього створити нового користувача SFTP стає так само легко, як запуск команди create_sftp_userразом із іменем користувача як його параметром.

# usage: create_sftp_user <username>
function create_sftp_user() {
    # create user
    sudo adduser $1

    # prevent ssh login & assign SFTP group
    sudo usermod -g sftpusers $1
    sudo usermod -s /bin/nologin $1

    # chroot user (so they only see their directory after login)
    sudo chown root:$1 /home/$1
    sudo chmod 755 /home/$1

    sudo mkdir /home/$1/uploads
    sudo chown $1:$1 /home/$1/uploads
    sudo chmod 755 /home/$1/uploads
}

Перевірте, щоб переконатися, що створений вами користувач може підключитися до сервера через SFTP ( Примітка : підключитися за допомогою SFTP, а не FTP) .

Автор: Ламі Адабонян