使用SFTP密钥进行根目录不受限制的指定（第三部分）

20190127 之前限制 ChrootDirectory 之后&＃xff0c;需要对原有环境改造较多

1. 之前配置的网站都是直接存在在了 /var/www
2、还没有部署网站的新服务器&＃xff0c;完全可行&＃xff01;
3、尝试了使用 ln 软连接 &＃xff0c;如果已经部署的网站较少&＃xff0c;还是可行的&＃xff0c;需要转移的网站代码比较少
4. ChrootDirectory 对于目录要求很严&＃xff0c;必须所有人是 root &＃xff0c;供上传的子目录最好 chmod 777
5. /var/www 之前的来源很杂&＃xff0c;有的所有人是root&＃xff0c;有的是其他用户


1、目标和思路分析

1. 使用密钥方式 SFTP 相对安全
2. 不允许 SFTP 账号 ssh 登录
3. 直接 SFTP 登录直接指向 /var/www
4. 已经有 vsftp 存在&＃xff0c;不能一刀切就停用 vsftp结论&＃xff1a;我们需要一个账户
1. 限制它只能使用 SFTP
2. 不能使用 ssh
3. 他的 home 目录直接指向 /var/www


2、实施

1. 建立新用户&＃xff0c;指定 home 为 /var/wwwuseradd -d /var/www dhbm162
2. 设置密码passwd dhbm162 ** 以下限制登录&＃xff0c;可以在测试完成之后进行禁止登录sudo usermod -s /usr/sbin/nologin dhbm162 或者 禁止shellsudo usermod -s /bin/false dhbm162 恢复登录sudo usermod -s /bin/bash dhbm162 3. 修改 sshd_configsudo vim /etc/ssh/sshd_config添加以下 Match User 规则#################### add by wzh 2019017 only SFTP usersMatch User dhbm162ForceCommand internal-sftp# ChrootDirectory /home/dhbm162/www/** 注释掉之前的 ChrootDirectorysudo systemctl restart sshd4. 复制公钥文件&＃xff0c;并修改 .ssh 权限sudo cp -R /home/dhbm/.ssh /var/wwwsudo chmod -R 755 /var/www/.ssh同时修改 /var/wwwsudo chmod -R 777 /var/www


3、 测试

1. 测试 sshssh dhbm162&＃64;192.168.1.162This service allows sftp connections only.Connection to 192.168.1.162 closed.2. 测试 SFTPsftp dhbm162&＃64;192.168.1.162Connected to dhbm162&＃64;192.168.1.162.sftp> 3. 测试 FileZilla
新建站点


结果

4、 结论

以上方案虽然没有限制 sftp 用户 ChrootDirectory&＃xff0c;但是&＃xff0c;使用密钥方式&＃xff0c;保证了一定的安全
直接指定了 /var/www 目录&＃xff0c;维持了过去 vsftp 的操作习惯


5、后续问题

以上 sudo chmod -R 777 /var/www 应该是不安全的做法&＃xff01;网站文件任何人都可以修改&＃xff1f;还是需要指定拥有人才可以读写&＃xff0c;其他人不可写&＃xff01;
如果有需要写权限的 uplaod 目录&＃xff0c;必须手动单独修改&＃xff01;sudo chmod -R 755 /var/wwwsudo chown -R XXXX162:XXXX162 /var/www** 现在有点儿理解 ChrootDirectory 的根目录为什么最大只能 755 了&＃xff01;