ubuntu 14.04搭建SFTP服务器

前言

• sftp是Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。
• SFTP 为 SSH的其中一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。
• SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。

目录

正文

需求：

在服务器上开通SFTP文件服务，允许某些用户上传及下载文件。但是这些用户只能使用SFTP传输文件，不能使用SSH终端访问服务器，并且SFTP不能访问系统文件（即所谓的“Jail（监狱）”）。系统管理员则既能使用SFTP传输文件，也能使用SSH远程管理服务器。

第一步：安装ssh和openssh-sftp-server

其实Linux发行版基本都是安装了OpenSSH的，不过我们这里还是确认一下是否安装，
一般我们需要安装openssh-server、openssh-sftp-server，所以我们检查是否安装了SSH。

• Ubuntu检查是否安装了OpenSSH

  dpkg –get-selections | grep openssh

• CentOS检查是否安装了OpenSSH
  ​

  以yum方式安装的：

  yum list installed openssh

  以rpm包安装的：

  rpm -qa | grep openssh

  以deb包安装的：

  dpkg -l | grep openssh

如果都是安装的，我们需要保证OpenSSH的版本不得低于4.8，因为我们要用ChrootDirectory配置用户访问目录，所以检查下SSH的版本，执行命令ssh -V会打印出如下版本信息：

OpenSSH_6.6.1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f...

如果SSH的版本低于4.8，需要升级。

• Ubuntu升级SSH

  sudo apt-get update
  sudo apt-get install openssh-server

• CentOS升级SSH
  ​
  sudo yum update -y openssh-server

第二步：创建用户组和用户

我们要建立一个专门管理sftp用户的用户组，方便我们管理权限。

• 1、建立一个名为sftp-users的sftp用户组

  sudo groupadd sftp-users

• 2、在该组建立几个需要登录sftp的用户

  • 新建用户名为admin的用户：

    sudo useradd -g sftp-users -m admin

  • 修改admin的密码：

    passwd admin

  • 然后连续两次输入你要给该用户设置的密码即可。

• 3、如果该用户已存在，但是不在sftp-users组中，可以移动用户到改组

  usermod –g sftp_users admin

第三步：配置ssh和权限

• 1、打开/etc/ssh/sshd_config文件

  sudo vim /etc/ssh/sshd_config

• 2、修改X11Forwarding值为no

  原来可能是：
  X11Forwarding yes

  现在修改为：
  X11Forwarding no

  如果X11Forwarding不存在，就在文件最后添加上面的代码。

• 3、修改Subsystem sftp为internal-sftp

  Subsystem sftp /usr/libexec/openssh/sftp-server

  或者

  Subsystem sftp /usr/lib/openssh/sftp-server

  现在修改为：

  Subsystem sftp internal-sftp

• 4、在文件末尾增加内容

  Match Group sftp-users
  AllowTcpForwarding no
  ChrootDirectory %h
  ForceCommand internal-sftp

  • Match Group sftp-users这一行是指定以下的子行配置是匹配sftp-users用户组的。
  • ChrootDirectory %h该行指定Match Group行指定的用户组验证后用于chroot环境的路径，也就是默认的用户目录，比如/home/admin。
  • ForceCommand internal-sftp该行强制执行内部sftp，并忽略任何~/.ssh/rc文件中的命令。

这里要特别注意，因为ChrootDirectory %h模式，所以我们等下要设置sftp-users中的所有用户的用户目录权限为root拥有，否则sftp-users组中的用户无法用sftp登录。

第四步：修改sftp-users用户组用户目录权限

因为使用了ChrootDirectory %h，现在来修改权限。

• 1、修改权限为root用户拥有

  chown root /home/admin

• 2、修改权限为root可读写执行，其它用户可读

  chmod 755 /home/admin

• 3、重启ssh，登录sftp

  sudo service ssh restart

现在就可以使用sftp登录了，但是我们发现，我们不能上传文件，那是因为登录后默认是用户目录，比如/home/admin，但是该目录是root用户拥有，因此我们还要修改权限。

• 4、在用户目录下建立子目录
  让sftp-users中的用户可读写文件
  我们现在在/home/admin目录下新建一个upload文件夹：

  cd /home/admin/
  mkdir upload

• 5.给upload文件夹权限

  chown admin /home/admin/upload

但是执行后我们发现，/home/admin/upload文件夹是可以上传下载完文件了，但是upload的子文件夹还是不能读写，那么我们应该加个-R参数执行：

chown -R admin /home/admin/upload

第五步：重启ssh，登录sftp

现在全部都配置完了，如果在上面第三步没有重启ssh的话，现在重启后既可以登录使用了。

sudo service ssh restart

结语

Windows登录sftp推荐使用WinScp，Linux用命令即可，Mac推荐使用yummy FTP.