Linux (Debian)安装sftp服务器

最近需要在服务器上远程部署项目,鉴于几乎所有的linux服务器都安装了ssh,使用sftp可以更省资源,不需要开启额外的进程和端口。接下来记录sftp的设置过程,系统环境基于debian 9。整理一下搭建sftp服务器的过程,供参考;

需求:设置一个sftp目录,可以通过sftp上传/下载,同时nginx也需要能够读写,以方便我上传/更新web程序,以及下载web服务器的日志。

 

操作流程如下:

1、建立sftp目录

#mkdir  /var/stft

2、创建sftp的用户和用户组

#groupadd sftp

#useradd -g sftp -d /var/sftp -s /bin/false sftp 

#passwd sftp

#j设置密码

3、编辑ssh的配置文件,设置chroot目录,把sftp限制在他的用户目录下(%h代表用户目录),并且禁止掉其他不需要的ssh权限

vi /etc/ssh/sshd_config
# 找到Subsystem,注释掉原来的那行
#Subsystem sftp /usr/lib/openssh/sftp-server
# 再添加下面的新行
Subsystem sftp internal-sftp
# 限制sftp的目录,让他看不到不应该看到的东西
Match Group sftp
    ChrootDirectory %h
    AllowTcpForwarding no
    X11Forwarding no
    ForceCommand internal-sftp

4、创建上传目录并设置权限,ChrootDirectory的目录和其所有上层目录的所有者必须是root,并且权限不能大于755

#cd /var/sftp
#mkdir www
#chmod 770 www
#chown sftp:sftp www
#cd ..
#chmod 755 sftp
#chown root:root sftp

5、设置掩码,以便外部程序能够使用

sftp上传过程中创建的目录和文件所有者固定为sftp:sftp,权限默认为755,其他用户只能读不能写。这里我们需要修改为可以被组成员读写(当然了解原理后你也可以图省事,直接允许所有用户读写)

#vi /etc/pam.d/sshd
* 在文件最末尾添加
session optional pam_umask.so umask=0007 # 也可以是0002

6、还原shell中的默认umask,避免被sftp覆盖

#nano /etc/profile
* 在文件最末尾添加
umask 022

 

Nginx访问设置

参考https://blog.csdn.net/feifuzeng/article/details/78468428

 

 

 

 

你可能感兴趣的:(Linux (Debian)安装sftp服务器)