在Ubuntu 14上设置仅SFTP用户帐户

介绍

某些方案要求您仅通过FTP创建具有对单个目录的读写访问权限的用户。本文将向您展示如何创建此类用户。他们将无法导航到其主目录之外，无法通过SSH登录到服务器或执行Shell命令。

设置SFTP组和服务

1. 创建sftpusers组。

   sudo groupadd sftpusers
   

2. 注释掉从sshd配置文件禁用SFTP访问的设置。

   sudo sed -i "s/Subsystem sftp \/usr\/lib\/openssh\/sftp-server/#Subsystem sftp \/usr\/lib\/openssh\/sftp-server/" /etc/ssh/sshd_config
   

3. 打开sshd配置文件sudo nano /etc/ssh/sshd_config，在下面的代码段中添加，然后退出（Ctrl + X-> Y-> Hit Enter）。

   #enable sftp
   Subsystem sftp internal-sftp
   
   Match Group sftpusers
      ChrootDirectory %h #set the home directory
      ForceCommand internal-sftp
      X11Forwarding no
      AllowTCPForwarding no
      PasswordAuthentication yes
   

4. 重新启动ssh。

   sudo service ssh restart
   

创建用户

对您要添加到服务器的每个仅SFTP用户重复以下过程。

# create user
sudo adduser sftpuser1

# prevent ssh login & assign SFTP group
sudo usermod -g sftpusers sftpuser1
sudo usermod -s /bin/nologin sftpuser1

# chroot user (so they only see their directory after login)
sudo chown root:sftpuser1 /home/sftpuser1
sudo chmod 755 /home/sftpuser1

sudo mkdir /home/sftpuser1/uploads
sudo chown sftpuser1:sftpuser1 /home/sftpuser1/uploads
sudo chmod 755 /home/sftpuser1/uploads

您可以通过将以上内容包装到一个函数中并通过（1）运行将其添加到您的bashprofile中，来更快地创建用户sudo nano ~/.bash_profile。（2）在其下方添加代码段；（3）运行source ~/.bash_profile。

之后，创建新的SFTP用户变得非常容易，就像运行命令create_sftp_user以及用户名作为其参数一样。

# usage: create_sftp_user <username>
function create_sftp_user() {
    # create user
    sudo adduser $1

    # prevent ssh login & assign SFTP group
    sudo usermod -g sftpusers $1
    sudo usermod -s /bin/nologin $1

    # chroot user (so they only see their directory after login)
    sudo chown root:$1 /home/$1
    sudo chmod 755 /home/$1

    sudo mkdir /home/$1/uploads
    sudo chown $1:$1 /home/$1/uploads
    sudo chmod 755 /home/$1/uploads
}

测试以确保您创建的用户可以通过SFTP连接到服务器（注意：使用SFTP而不是FTP 连接）。

由Lami Adabonyan撰写