SFTP的安全规划配置

     直接说配置方法，上干货：

     1、修改/etc/ssh/sshd_config 

     追加:

     #启用internal-sftp

      Subsystem       sftp    internal-sftp     

      Match Group sftp             属于sftp组

         ChrootDirectory /app/sftp  -sftp上传目录。

         AllowTCPForwarding no

         X11Forwarding no

         ForceCommand internal-sftp

    注释掉原有的：Subsystem      sftp    /usr/libexec/openssh/sftp-server

    

   groupadd -g 20000 sftp

   

   重启ssd服务：service sshd restart。

   如此配置原因：系统默认是开启了sftp服务的，与ssh同时占用22端口访问，如果用原有配置，则用户直接可以ssh 登陆到目的主机，对于信息安全讲，存在很大风险。所以要将用户限定在一个特定的目录中访问。所创建的用户，实例：useradd -u 20087 -d /app/sftp/wojinrong/ccb -s /sbin/nologin -g develop -G sftp ccbsftp   登陆用户只能看到wojinrong/ccb目录，而且无权访问其他目录，且因为是/sbin/nologin用户,所以该用户禁止使用ssh登陆。