SUSE Linux SFTP服务器配置

公司某应用系统与合作伙伴对接时，对方需要使用应用程序通过SFTP免输入密码到我公司服务器上传下载文件。之前其他合作伙伴都是通地FTP交换文件的。

在网上查了些资料大部分基于CenterOS RedHat配置的SFTP，在昨天在SUSE 11.1上配置了下SFTP，特记录备忘。

1.实现目标：

（1）SUSE 11.1环境下 SFTP通过RSA密钥配对免密码访问

（2）限制SFTP用户只在自己根目录下访问

2.SFTP 服务配置

sftp服务复用ssh服务，sftp的配置即修改/etc/ssh/sshd_config配置

【a】注释下面这几条

#Subsystem      sftp    /usr/lib64/ssh/sftp-server

下面这几条一定要注释要不然sshd启不来，暂时不知道以下几条是做什么用的，注释后没任何异常

#This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5).

#AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES 

#AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT 

#AcceptEnv LC_IDENTIFICATION LC_ALL

【b】添加下面这几条

Subsystem sftp internal-sftp

Match group sftp     #指定以下的行仅匹配sftp用户组的用户

ChrootDirectory %h   #指定用户验证后用于chroot环境的路径 %h是指用户根目录

ForceCommand internal-sftp  #执行内部sftp，并忽略任何~/.ssh/rc文件中的命令

X11Forwarding no    

AllowTcpForwarding no

【c】增加支持RSA密钥认证

AuthorizedKeysFile .ssh/authorized_keys   #此参数用于说明公钥文件位置，指用户根目录.ssh文夹authorized_keys文件作为SRA公钥

PasswordAuthentication no   #设置成no强制使用密钥访问，而不能用户名及密码；如果设置成yes表示两种方式都可以访问，一般建议用yes

至此，SFTP服务器端配置完成，然后重启sshd服务

3.SFTP服务器上增加sftp用户

【a】rman:/usr/sftp-dir # useradd  -G sftp  -d /usr/sftp-dir/test1  -s /sbin/nologin   test1

     //-s /sbin/nologin 禁止test1用户登陆操作系统

【b】rman:/usr/sftp-dir # mkdir /usr/sftp-dir/test1     //用root用户为test1账户建目录

检查test1目录权限，必须是root用户755权限

rman:/usr/sftp-dir # ll

drwxr-xr-x 2 root root 4096 Oct 18 09:25 test1

rman:/usr/sftp-dir # 

【c】在用户目录下建上传下载目录

rman:/usr/sftp-dir/test1 # mkdir upload

rman:/usr/sftp-dir/test1 # mkdir download

rman:/usr/sftp-dir/test1 # chown test1. upload/       //upload目录属主test1 

rman:/usr/sftp-dir/test1 # ll

total 8

drwxr-xr-x 2 root  root  4096 Oct 18 09:40 download    //经过测试下载文件夹一定要755权限

drwxr-xr-x 2 test1 sftp 4096 Oct 18 09:40 upload

4.客户端服务器制作SRA密钥并上传至目标服务器

【a】制作RSA证书

test-lvm:~/.ssh # ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): 

Enter passphrase (empty for no passphrase):              //免密码认码此处直接回车

Enter same passphrase again:                            //免密码认码此处直接回车

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

f2:25:e6:5a:3d:2c:4f:d2:19:bf:3c:46:52:15:4f:db root@test-lvm

The key‘s randomart image is:

+--[ RSA 2048]----+

|              ...|

|              .oo|

|             . .E|

|            .    |

|      . S o.     |

|       = *.+.    |

|        * Bo.    |

|       o = oo.   |

|      .   ..o.   |

+-----------------+

【b】将RSA公钥（x.pub）上传到目标服务器sftp用户.ssh目录下
test-lvm:~/.ssh # ls

id_rsa  id_rsa.pub

test-lvm:~/.ssh # scp id_rsa.pub  [email protected]:/usr/sftp-dir/test1/.ssh

【c】目标服务器.ssh目录下修改RSA公钥文件名

 因当时在目标服务器sshd_config 指定证书名为authorized_keys

 AuthorizedKeysFile.ssh/authorized_keys

 所以，需要将修改公钥名

rman:/usr/sftp-dir/test1/.ssh # ls

id_rsa.pub

rman:/usr/sftp-dir/test1/.ssh # mv id_rsa.pub  authorized_keys

rman:/usr/sftp-dir/test1/.ssh # ll

total 4

-rw-r--r-- 1 root root 395 Oct 18 10:23 authorized_keys

rman:/usr/sftp-dir/test1/.ssh # 

至此，SFTP RSA公钥配对完成

5.客户端服务器测试

使用 sftp sftp-user@sftp-ip 登陆不需要输入密码即表示成功

test-lvm:~/.ssh # sftp [email protected]

Connecting to 172.22.2.228...

sftp> ls

download  upload    

sftp>

切换目录失败，只能在用户根目录下

sftp> cd /home

Couldn‘t canonicalise: No such file or directory

sftp> 

6.需要注意的几点

SUSE Linux 与其他的不同之处

【a】配置sshd_config时， 一定要注释下面几条，否则sshd有务启不来

#This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5).

#AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES 

#AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT 

#AcceptEnv LC_IDENTIFICATION LC_ALL

【b】配置下载文件夹的时候权限一定要如下示，否则使用root用户放在download文件夹的文件，sftp用户看不到，在suse 11.1 64bit 上反复测试过，也许是一个bug

rman:/usr/sftp-dir/test1 # ll

total 8

drwxr-xr-x 2 root  root  4096 Oct 18 09:40 download  

drwxr-xr-x 2 test1 sftp 4096 Oct 18 09:40 upload

本文出自 “晨歌牧牛” 博客，请务必保留此出处http://168ok8.blog.51cto.com/73394/1565367