Настройка учетных записей пользователей только для SFTP в CentOS 7

• Предпосылки
• Шаг 1. Создайте выделенную группу sFTP и выделенного пользователя sFTP.
• Шаг 2: Изменить конфигурацию службы sshd
• Шаг 3. Создайте выделенный каталог для пользователя только sFTP
• Шаг 4. Создайте больше пользователей только для sFTP

В некоторых случаях системному администратору может потребоваться создать учетную запись пользователя и ограничить его доступ, чтобы управлять только своими собственными файлами через sFTP, но не иметь возможности войти в систему, используя любые другие средства. Решение, представленное в этой статье, покажет вам, как выполнить эту задачу.

Предпосылки

Чтобы получить практический опыт, вам необходимо развернуть экземпляр сервера Vultr CentOS 7 x64. Обратите внимание, что инструкции для других дистрибутивов Linux могут отличаться.

Кроме того, все команды в этой статье подходят для root; как таковой, вам понадобится, sudo privilegesесли вы используете не-root пользователя.

Шаг 1. Создайте выделенную группу sFTP и выделенного пользователя sFTP.

groupadd sftpusers
useradd -g sftpusers -s /sbin/nologin user1
passwd user1

Здесь группа sftpusersпредставляет собой выделенную группу sFTP, а пользователь user1- выделенный пользователь sFTP, которому запрещено входить в систему с использованием SSH.

Шаг 2: Изменить конфигурацию службы sshd

Откройте файл конфигурации службы sshd:

vi /etc/ssh/sshd_config

Найдите строку:

Subsystem sftp /usr/libexec/openssh/sftp-server

Заменить его на:

Subsystem sftp internal-sftp

Добавьте следующие строки в конец файла. Имя группы sftpusersдолжно совпадать с тем, которое вы указали ранее.

Match Group sftpusers
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory %h
ForceCommand internal-sftp

Сохранить и выйти:

:wq

Перезапустите службу sshd, чтобы изменения вступили в силу.

systemctl restart sshd.service

Шаг 3. Создайте выделенный каталог для пользователя только sFTP

Вам необходимо указать каталог для пользователя, использующего только sFTP, и убедиться, что этот пользователь может работать только в этом каталоге:

chown -R root /home/user1
chmod -R 755 /home/user1
mkdir /home/user1/files
chown user1. /home/user1/files

Теперь пользователь user1может только загружать и / или скачивать файлы в каталоге /home/user1/files, он никогда не может трогать файлы других пользователей.

Шаг 4. Создайте больше пользователей только для sFTP

Если вам нужно больше пользователей, использующих только sFTP, вы можете создать их таким же образом:

useradd -g sftpusers -s /sbin/nologin user2
passwd user2
chown -R root /home/user2
chmod -R 755 /home/user2
mkdir /home/user2/files
chown user2. /home/user2/files

Вот и все. Каждой учетной записи, созданной таким образом, будет отказано, если вы используете ее для входа в систему. Эти учетные записи пользователей могут использоваться только в программах sFTP.