一、sftp對比vsftpd的異同
ftp和sftp非常相似,都支持批量傳輸(一次傳輸多個文件),文件夾/目錄導(dǎo)航,文件移動,文件夾/目錄創(chuàng)建,文件刪除等。但還是存在著差異,下面我們來看看ftp和sftp之間的區(qū)別。
1、安全通道ftp不提供任何安全通道來在主機之間傳輸文件;而sftp協(xié)議提供了一個安全通道,用于在網(wǎng)絡(luò)上的主機之間傳輸文件。
2、使用的協(xié)議ftp使用TCP / IP協(xié)議。而,sftp是SSH協(xié)議的一部分,它是一種遠程登錄信息。
3、連接方式ftp使用TCP端口21上的控制連接建立連接。而,sftp是在客戶端和服務(wù)器之間通過SSH協(xié)議(TCP端口22)建立的安全連接來傳輸文件。
4、安全性ftp密碼和數(shù)據(jù)以純文本格式發(fā)送,大多數(shù)情況下是不加密的,安全性不高。而,sftp會在發(fā)送之前加密數(shù)據(jù),二進制的形式傳遞,是無法“按原樣”閱讀的,安全性較高。
二、sftp部署
必要條件:你的openssh-server版本至少得是4.8p1, 因為配置權(quán)限需要版本添加的新配置項ChrootDirectory來完成。如何查看自己服務(wù)器上的ssh版本?大家可以嘗試以下命令:ssh -V#創(chuàng)建sftp的用戶組groupadd sftp#用戶名sftpuser,創(chuàng)建用戶到用戶組,并禁止登錄useradd -g sftp -s /bin/false sftpuser -d /data/sftpuser#為sftpuser設(shè)置密碼echo "123456" | passwd --stdin sftpuser#修改ssh配置vim /etc/ssh/sshd_config#注釋Subsystem sftp /usr/libexec/openssh/sftp-server(若不注釋,可以通過"cd / "看到系統(tǒng)所有文件)#定義了 OpenSSH 服務(wù)器對 sftp(SSH 文件傳輸協(xié)議)的處理方式Subsystem sftp internal-sftp#匹配sftp組的用戶,如果有多個組,用逗號分隔。也可以使用"Match User mysftp"匹配用戶,多個用戶之間也是用逗號分隔。Match Group sftp#將用戶的根目錄指定到/data/sftpuser(%u 是一個通配符,表示當前連接用戶的用戶名。在 ChrootDirectory 指令中使用 %u,可以實現(xiàn)將不同的用戶限制在他們各自的家目錄下)ChrootDirectory /data/sftpuser/%U#指定sftp命令(限制用戶只能通過 sftp 上傳、下載或管理文件,而不允許他們執(zhí)行其他任意命令)ForceCommand internal-sftp#禁止用戶在 SSH 連接中進行 TCP 轉(zhuǎn)發(fā)。AllowTcpForwarding no#是否允許用戶可以使用端口轉(zhuǎn)發(fā)。X11Forwarding no#修改用戶的根目錄,讓它屬于rootchown -R root:sftp /data/sftpuserchmod -R 755 /data/sftpuser#創(chuàng)建sftpuser用戶可寫入的目錄,并授權(quán)#由于sshd_config配置中指定了根目錄,根目錄無法寫入,因此要創(chuàng)建一個用于上傳文件的目錄。#目錄所有者為sftpuser,有寫入權(quán)限;所有組為sftp,無寫入權(quán)限。mkdir /data/sftpuser/sftpdatachown -R sftpuser:sftp /data/sftpuser/sftpdatachmod -R 755 /data/sftpuser/sftpdata#重啟sshd服務(wù)systemctl restart sshd連接:sftp [email protected]#備注:如果要將某個用戶訪問的根目錄指定到某個固定的目錄下的訪問用戶名下,并且看不到別人的目錄則例如:user1要訪問的目錄為/data/sftpuser/user1、user2要訪問的目錄為/data/sftpuser/user2ChrootDirectory /data/sftpuser/%U如果要將某個用戶的家目錄指定指定為根目錄ChrootDirectory %h
踩坑:
常見問題:如果你鏈接服務(wù)器的時候出現(xiàn)下面的提示:Write fAIled: Broken pipeCouldn't read packet: Connection reset by peer這個問題的原因是ChrootDirectory的權(quán)限問題,你設(shè)定的目錄必須是root用戶所有,否則就會出現(xiàn)問題。所以請確保sftp用戶根目錄的所有人是root, 權(quán)限是 750 或者 755。
三、如果需要sftp的端口和sshd的端口不同
cp -rp /etc/ssh/sshd_config /etc/ssh/sftp_config修改配置文件時sshd_config不動,修改/etc/ssh/sftp_configvim /etc/ssh/sftp_configPort 2222Subsystem sftp internal-sftpMatch Group sftpChrootDirectory %hForceCommand internal-sftpAllowTcpForwarding noX11Forwarding no#軟連接sshd的啟動方式ln -s /usr/sbin/sshd /usr/sbin/sftpd#啟動/usr/sbin/sftpd -f /etc/ssh/sftp_config#停止kill -9 `ps aux | grep /usr/sbin/sftpd | grep -v 'grep' | awk '{print $2}'`
