# 開啟sftp日志并限制sftp訪問目錄 [TOC] ## 1. 開啟sftp日志 ### 1.1 修改sshd_config ``` vim /etc/ssh/sshd_config ``` 注釋掉Subsystem行,然后寫入新Subsystem,信息如下 ``` Subsystem sftp internal-sftp -l INFO -f local5 LogLevel INFO ``` 效果如下:  ### 1.2 修改syslogs ``` vim /etc/rsyslog.conf ``` 在最后增加如下配置 ``` auth,authpriv.*,local5.* /var/log/sftp.log ``` ###1.3 重啟服務查看日志 ``` /etc/init.d/rsyslog restart /etc/init.d/sshd restart tailf /var/log/sftp.log ``` ## 2 限制sftp用戶操作目錄 ### 2.1 前提說明 如果要讓sftp用戶只能使用規定的目錄,則需要再配置文件中開啟**ChrootDirectory**,并限定目錄作為sftp用戶登錄的根目錄. 但這里規定的根目錄,屬主必須是root,文件夾權限只能是755,因此sftp用戶對此根目錄只有讀取權限,需要再在根目錄下創建一個屬主為改sftp用戶的文件夾,用于該用戶上傳數據 由此規則,可以產生兩種sftp方案 ### 2.2 home目錄做根目錄 創建用戶時,不指定-M參數,默認會在home目錄下生產該用戶的家目錄,用戶對該目錄具有完全操作權限,且不能訪問其他用戶的家目錄,因此適合作為sftp目錄 - ChrootDirectory寫法 - ChrootDirectory /home/ ### 2.3 單獨創建目錄做根目錄 單獨創建一個目錄做根目錄,然后再創建下級的操作目錄,此方法需要按要求配置主目錄及下級目錄的權限和屬主等信息 - 用戶 - 創建用戶 加-M參數 - 主目錄 - 創建主目錄 /data/sftp - 授權 755 - 屬主 root.root - 下級目錄 - 創建下級目錄 /data/sftp/test_sftp - 授權 755 - 屬主 test_sftp.test_sftp - ChrootDirectory寫法 - ChrootDirectory /data/sftp/ ## 3 實操 ### 3.1方法1實操 - 創建用戶 ``` useradd test_sftp && echo "123456"|passwd --stdin test_sftp ``` - 修改sshd_conf ``` vim /etc/ssh/sshd_config # 在最后增加以下關鍵字 Match User test_sftp ChrootDirectory /home X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp ``` **重要說明:配置在Match User字段中的用戶,會被禁止使用ssh方式登錄系統** - 重啟sshd服務 ``` /etc/init.d/sshd restart ``` ### 3.2 方法2實操 - 創建用戶 ``` useradd test_sftp && echo "123456"|passwd --stdin test_sftp ``` - 創建主目錄并授權 ``` mkdir -p /data/sftp/ #chown -R root.root /data/sftp/ #chmod 755 /data/sftp/ ``` **說明:注釋掉的命令默認不用執行,寫出來是為了避免亂做其他授權** - 創建操作目錄并操作 ``` mkdir -p /data/sftp/test_sftp chown -R test_sftp.test_sftp /data/sftp/test_sftp #chmod 755 /data/sftp/test_sftp ``` **說明:注釋掉的命令默認不用執行,寫出來是為了避免亂做其他授權** - 修改sshd_conf ``` vim /etc/ssh/sshd_config # 在最后增加以下關鍵字 Match User test_sftp ChrootDirectory /data/sftp X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp ``` - 重啟sshd服務 ``` /etc/init.d/sshd restart ```