SFTP配置公钥至受信任列表,提供外部访问

最新推荐文章于 2025-06-19 17:30:36 发布
最新推荐文章于 2025-06-19 17:30:36 发布
阅读量8.6k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: sftp 文章标签: sftp 受信任列表 公钥配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dwyane__wade/article/details/79223135
本文详细介绍如何通过公钥认证方式配置SFTP服务,实现外部系统的无密码登录。包括服务端用户组创建、用户及目录权限配置、客户端密钥生成等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

需求:搭建SFTP,提供外部系统访问,基于公钥配置到受信任列表实现无密码登录.

环境规划

  • 服务端拟订创建sftp和用户组
  • 用户1 sftp用户 user1 密码user1 客户端公钥文件 client_public_key1
  • 用户2 sftp用户 user2 密码user2 客户端公钥文件 client_public_key2

客户端生成公钥

  • 客户端需要生成密钥对,分发公钥,进入系统家目录:
首先需要在家目录创建.ssh文件夹

查看隐藏目录,默认此目录里如果没有.ssh隐藏目录,则需要手动创建

ll –a   --> 查看隐藏目录     

新建.ssh文件夹

mkdir .ssh 

进入.ssh目录

cd .ssh             

执行创建密钥对命令

ssh-keygen -t rsa   

================================================================
提示信息如下:

Generating public/private rsa key pair.

Please be patient....   Key generation may take a few minutes

Enter file in which to save the key (/home/ap/appnms/.ssh/id_rsa):

# 按回车保存为: //.ssh/id_rsa,即当前用户的私钥

Enter passphrase (empty for no passphrase):

# 按回车,表示读取密钥时不需要密钥的密码

Enter same passphrase again:

# 确认密钥的密码,必须和上面的输入相同

Your identification has been saved in /home/ap/appnms/.ssh/id_rsa.

# 私钥保存信息

Your public key has been saved in /home/ap/appnms/.ssh/id_rsa.pub.

服务端

# 创建sftp用户组
groupadd sftp  

# user1
# 新建用户user1
useradd -s /sbin/nologin -g sftp user1   
# 为user1设置密码
passwd user1     
# 为user1创建自己上传目录
mkdir -p /data/sftp/user1/upload
# 为上传目录授权
chown user1:sftp /data/sftp/user1/upload

# 在user1家目录下创建.ssh文件夹
mkdir -p /home/user1/.ssh
# 将客户端公钥内容拷贝至.ssh文件夹下的authorized_keys文件中
cat client_public_key1 > /home/user1/.ssh/authorized_keys
chown -R user1:sftp  /home/user1/.ssh/
chmod 644 /home/user1/.ssh/authorized_keys
chmod 755 /home/user1/.ssh/

# user2
useradd -s /sbin/nologin -g sftp user2
passwd user2 
mkdir -p /data/sftp/user2/upload
chown user2:sftp /data/sftp/user2/upload

mkdir -p /home/user2/.ssh
cat client_public_key2 > /home/user2/.ssh/authorized_keys
chown -R user2:sftp  /home/user2/.ssh/
chmod 644 /home/user2/.ssh/authorized_keys
chmod 755 /home/user2/.ssh/
sftp服务
  • 编辑文件 /etc/ssh/sshd_config 
vi /etc/ssh/sshd_config

注释掉如下行:

#  Subsystem      sftp    /usr/libexec/openssh/sftp-server

查看文件末尾是否有: Subsystem      sftp    internal-sftp   没有一定补上去
  • 末尾新增
Match User user1
ChrootDirectory /data/sftp/user1
ForceCommand    internal-sftp
AllowTcpForwarding no
X11Forwarding no

Match User user2
ChrootDirectory /data/sftp/user2
ForceCommand    internal-sftp
AllowTcpForwarding no
X11Forwarding no
  • 重启服务
service sshd restart
  • 注意
需要关闭SELINUX,vi /etc/selinux/config,SELINUX=disabled

测试

服务端数据准备
# touch somefile /data/sftp/user1/dirdir1
# echo "abc" > /data/sftp/user1/upload/abc.txt
# touch somefile /data/sftp/user2/dirdir2
# echo "abc" > /data/sftp/user2/upload/abc.txt
客户端访问
echo "client" > client.txt
sftp user1@ip #应不需输入密码
pwd #应显示根目录/
ls ##应显示 upload dirdir1

cd upload
put client.txt #应可以正产上送
cd ../dirdir1
put client.txt #应提示无权限

sftp 上传下载命令示例(方便测试)

sftp> get /usr/local/index.php  /home/fuyatao/
将从远程主机的  /usr/local/目录下将 index.php 下载到本地  /home/fuyatao/目录下

sftp> put /usr/local/Linuxgl.pdf /var/www/fuyatao/
把本地 /usr/local/目录下的 linuxgl.pdf文件上传至远程主机/var/www/fuyatao/ 目录下

快速构建

===============================================================================
用户: wf01

快速构建:

--  第一部分: 用户名 密码设置
useradd -s /sbin/nologin -g sftp wf01
passwd  wf01


-- 第二部分: 配置目录,并给用户授权
mkdir -p /data/sftp/wf01/upload
mkdir -p /data/sftp/wf01/download

chown wf01:sftp /data/sftp/wf01/upload

-- 第三部分: 公钥配置,操作权限配置
mkdir -p /home/wf01/.ssh

#配置公钥信息(ssh-keygen -t rsa)
cat client_public_key1 > /home/user1/.ssh/authorized_keys  

chown -R wf01:sftp  /home/wf01/.ssh/

chmod 644 /home/wf01/.ssh/authorized_keys

chmod 755 /home/wf01/.ssh/


-- 第四部分: 配置文件配置(sshd_config)

vi /etc/ssh/sshd_config

注释掉  : Subsystem      sftp    /usr/libexec/openssh/sftp-server

查看是否有: Subsystem      sftp    internal-sftp   没有一定补上去

末尾新增:

Match User wf01
ChrootDirectory /data/sftp/wf01
ForceCommand    internal-sftp
AllowTcpForwarding no
X11Forwarding no


-- 第五部分: 重启sshd_config,测试.
重启ssh服务

service sshd restart

测试命令:

sftp wf01@IP  

sftp> get /usr/local/index.php  /home/fuyatao/
将从远程主机的  /usr/local/目录下将 index.php 下载到本地  /home/fuyatao/目录下

sftp> put /usr/local/Linuxgl.pdf /var/www/fuyatao/
把本地 /usr/local/目录下的 linuxgl.pdf文件上传至远程主机/var/www/fuyatao/ 目录下

===============================================================================
46、SSH 安全配置与应用全解析
rum55的博客
07-08 5
本文深入解析了SSH的安全配置与应用,涵盖OpenSSH和Tectia的全局配置、每个账户的配置、密钥管理、客户端配置、远程主目录处理等内容。同时,探讨了无人值守SSH的实现、复杂端口转发与应用集成、安全策略制定与实施,以及常见问题的解决方案。通过合理的配置和管理,帮助用户提升SSH的安全性和功能性,适用于各种企业级应用场景。
SSH服务已关,为何还被扫描出漏洞?
网络技术联盟站
05-06 167
SSH是一种用于远程登录和安全数据传输的加密协议,通常运行在22号端口。由于其重要性,SSH服务往往成为攻击者扫描和利用的首要目标。常见的高危漏洞包括弱口令、过旧的SSH版本(如OpenSSH早期版本)或配置不当导致的权限提升风险。一般来说,当管理员发现SSH服务存在潜在风险时,第一反应是通过防火墙屏蔽22端口,甚至直接停止SSH服务。然而,令人费解的是,即便采取了这些措施,某些安全扫描工具(如Nessus、OpenVAS)依然会在报告中指出“SSH高危漏洞”。
sftp设置public key
weixin_30604651的博客
01-22 1386
Public Key认证是什么 这是一种认证方法,类似于常见的用户名密码认证方法。不同的是需要在客户端机器上保留一个很长很长的加密key,而在服务器端需要做出相应的配置。当客户 端想要访问服务器时,服务器则会检查自身配置并根据客户端所提供的用户名来识别客户端。说白了就是实现了无密码访问,并同时兼有安全保障措施。 认证过程简要说明 Public key对数据进行加密而且只能用于加密,...
SFTP信任公钥配置及JSCH库
weixin_30840573的博客
08-13 204
SFTP信任公钥配置及JSCH库 1、SFTP信用公钥配置 1.1 客户端生成密钥对 以DSA举例: ssh-keygen –t dsa 执行该命令后,在home/用户名/.ssh目录下,会生成id_dsa和id_dsa.pub两个文件 1.2 将id_dsa.pub公钥文件上传至服务端的home/用户名/.ssh目录下 sc...
ssh配置sftp,实现上传下载文件
最新发布
06-19 408
SSH 和 SFTP(SSH 文件传输协议)是紧密相关的。SFTP 是 SSH 协议的一部分,它提供了安全的文件传输功能。配置 SFTP 实际上就是配置 SSH 服务器以允许 SFTP 连接。Subsystem 命令解释。
安装配置SFTP公钥、私钥两种方式免密登录
u011250186的博客
06-26 1883
安装配置SFTP公钥、私钥两种方式免密登录
SFTP最新_安装配置SFTP公钥、私钥_20230915
kailingr的博客
09-15 1642
所以,一般我们会将SSH的端口设置为默认的22以外的端口,或者禁用root账户登录。这样一来,没有私钥,任何人都无法通过SSH暴力破解你的密码来远程登录到系统。今后,当你使用PuTTY登录时,可以在左侧的Connection -> SSH -> Auth中的 Private key file for authentication:处选择你的私钥文件,然后即可登录了,过程中只需输入密钥锁码即可。下面来讲解如何在Linux服务器上制作密钥对,将公钥添加给账户,设置SSH,最后通过客户端登录。
【Nginx代理配置完全指南】:一步到位,高效安全的FTP_SFTP传输
![【Nginx代理配置完全指南】:一步到位,高效安全的FTP_SFTP传输]...接着,详细介绍了Nginx的基础配置方法,包括配置文件结构、常用模块设置以及高效安全的服务器配置。进一步深入探讨了在FTP和SFTP
Linux-远程访问及控制
qq_42520799的博客
08-25 1156
DNS整体的数据流向、SSH远程管理、TCP Wrappers访问控制、补充(对称密钥与非对称密钥)等
【Mint Linux SSH安全配置指南】:远程访问,安全第一的终极解决方案!
提供了加密通信通道,保护网络服务免窃听和中间人攻击。SSH在IT行业中非常重要,被广泛用于远程登录、文件传输以及各种自动化任务。 ## 重要性 SSH协议的重要性体现在其为IT专业人员提供了必要的工具,以安全...
sftpkey下载
07-23
用于带KEY的上传,自带DLL文件ICSharpCode.SharpZipLib.dll
SFTP配置
weixin_34392435的博客
09-12 443
2019独角兽企业重金招聘Python工程师标准>>> ...
sftp配置
weixin_33938733的博客
11-23 230
2019独角兽企业重金招聘Python工程师标准>>> ...
linux配置sftp多密钥,sftp配置多用户权限&& 密钥登录
weixin_29491655的博客
05-17 963
工作需要,用户上传文件到目录下,用ftp不太安全,选择sftp。让用户在自己的home目录下活动,不能ssh到机器进行操作。下面开始干活。 查看ssh版本 ssh -V,我的系统是CentOS6.4 ssh版本是5.3(大于4.8)的没有问题。0, 创建用户目录root权限下创建用户和属组都是rootmkdir -p /opt/sftp/dir1/{upload,public}1,创建 grou...
ssh-keygen(linux 命令) 创建 private key(私钥) , public key (公钥),实现ssh,scp,sftp命令无密码连接
热门推荐
sun0322
08-15 4万+
通过,使用公钥 和私钥 , ServerA 无密码 访问 ServerB 。 原理说明: 可以把密钥 理解成一把钥匙, 公钥 理解成这把钥匙对应的锁头, 把锁头(公钥)放到想要控制的serverB上, 锁住serverB, 只有拥有钥匙(密钥)的人, 才能打开锁头, 进入serverB并控制,.................................
sftp免密登录(生成公钥
进步新青年的博客
11-29 1万+
准备两台服务器: 192.168.189.111(服务器用户名:admin) 192.168.189.112(服务器用户名:admin) 描述:在192.168.189.111服务器上使用sftp命令免密连接到192.168.189.112上 实际操作步骤: 1.在192.168.189.111上执行以下命令,这里使用的是RAS算法 > ssh-keygen -t rsa 这里回车键按两次,第一次是确认密钥的生成路径和文件名,第二次是设置私钥密码(默认即可) 2.(192.16
SFTP搭建(密码认证、密钥认证)、客户端连接、java代码连接
青牛
12-23 1万+
一、SFTP搭建 在一些情况下(如需要为商户提供对账文件),你需要一台文件服务器存放这些文件,并允许用户登陆这台文件服务器传输(上传和下载)文件,但是不允许使用SSH方式(如secureCRT)登录文件服务器,你只允许其访问指定根目录(/home/sftp)下文件,这样SFTP服务就能很好满足这种需求。sftp传输数据(文件)使用的依旧是SSH协议,linux开启了sshd就相当于开启了SFTP...
虚拟机上安装Ubuntu16,安装好了ssh,然后通过网络访问Ubuntu本地文件就没有权限访问了是为啥
04-03
<think>嗯,用户的问题是关于在Ubuntu 16的虚拟机上配置SSH后,通过网络访问本地文件时遇到权限问题。我需要仔细分析可能的原因,并给出解决方案。首先,我应该考虑文件权限、SELinux或AppArmor的设置、SSH配置、用户组权限以及挂载选项这几个方面。 首先,用户提到的是通过网络访问本地文件出现权限问题。这可能意味着SSH用户无法读取或写入特定的文件或目录。常见的解决方法是检查文件和目录的权限是否允许SSH用户访问。比如,用户可能需要使用`chmod`或`chown`来修改权限或所有权。不过,需要注意不要将权限设置得过于宽松,比如777,这会带来安全风险。 其次,SELinux或AppArmor这样的安全模块可能会限制SSH进程的访问。虽然Ubuntu默认使用AppArmor,但用户可能需要检查相关的配置文件或暂时禁用这些模块来测试是否是它们导致的问题。不过,禁用安全模块只是临时的解决方案,长期还是需要正确配置策略。 接下来是SSH配置的问题。sftp-server的配置或Subsystem设置不正确可能会导致权限问题,但用户可能已经正确配置了SSH,所以需要检查sshd_config文件中的相关参数,比如ChrootDirectory或AllowUsers等是否限制了用户的访问。 用户组权限也是一个可能的原因。确保SSH用户属于可以访问目标文件或目录的用户组,比如www-data或者特定的项目组。使用`usermod`将用户添加到相应的组中,并检查目录的组权限是否设置正确。 另外,如果访问的文件位于挂载的分区(比如NTFS或外部硬盘),挂载选项可能会限制权限。需要检查/etc/fstab中的配置,确保使用了正确的选项,如umask、dmask或fmask,以允许用户访问。 最后,用户的问题可能与具体的应用场景有关,比如Web服务器或远程开发。例如,如果用户使用VS Code的Remote-SSH插件,可能需要设置远程目录的写权限,或者配置保持连接参数,如ServerAliveInterval来防止掉线。 在提供解决方案时,需要分步骤指导用户检查每个可能的原因,并给出相应的命令示例。同时,要提醒用户注意安全性,避免使用过于宽松的权限设置。引用相关的资料,比如引用[3]中提到VS Code因权限不足导致无法写入文件,可能需要调整文件权限或使用sudo。此外,引用[2]中关于SSH连接的权限问题,可能需要检查公钥信任配置。 总结来说,解决方案应该涵盖权限调整、安全模块配置、SSH设置检查、用户组管理和挂载选项调整等方面,确保用户能够逐步排查并解决问题。</think>### 分步解决方案:Ubuntu 16 SSH 网络访问本地文件权限问题 #### 1. **检查文件/目录权限** - **问题定位**:SSH 用户对目标文件或目录缺乏读/写权限。 - **解决方案**: 1. 查看文件权限: ```bash ls -l /path/to/file_or_directory ``` 2. 修改权限(例如允许用户组访问): ```bash sudo chmod -R 775 /path/to/directory # 用户组可读写执行 sudo chown -R user:group /path/to/directory # 设置用户和组 ``` - **注意**:避免使用 `777` 权限,建议通过用户组管理权限[^3]。 --- #### 2. **检查 SELinux/AppArmor 限制** - **问题定位**:安全模块阻止 SSH 进程访问文件。 - **解决方案**: 1. 临时禁用 AppArmor 测试: ```bash sudo systemctl stop apparmor sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.sshd # 重新加载配置 ``` 2. 永久修改策略(需谨慎): 编辑 `/etc/apparmor.d/usr.sbin.sshd`,添加允许访问的路径规则。 --- #### 3. **验证 SSH 配置** - **问题定位**:SSH 服务配置限制了用户权限。 - **解决方案**: 1. 检查 `/etc/ssh/sshd_config`: ```bash sudo nano /etc/ssh/sshd_config ``` 2. 确保以下配置未限制访问: ```conf AllowUsers your_username # 允许特定用户 ChrootDirectory none # 禁用目录限制 ``` 3. 重启 SSH 服务: ```bash sudo service ssh restart ``` --- #### 4. **检查用户组权限** - **问题定位**:用户未加入目标文件所属组。 - **解决方案**: 1. 查看文件所属组: ```bash ls -l /path/to/file ``` 2. 将用户加入对应组: ```bash sudo usermod -aG target_group your_username ``` 3. 重新登录或重启会话使组生效。 --- #### 5. **检查挂载选项(适用于外部存储)** - **问题定位**:挂载的分区权限限制。 - **解决方案**: 1. 查看挂载配置: ```bash mount | grep /path/to/mount ``` 2. 修改 `/etc/fstab`,添加 `umask=000` 或 `dmask=000`(示例): ```conf /dev/sda1 /mnt/data ntfs defaults,umask=000 0 0 ``` 3. 重新挂载: ```bash sudo mount -o remount /mnt/data ``` --- #### 6. **应用场景补充** - **远程开发(如 VS Code)**: 配置 `Remote-SSH` 插件时,确保远程目录可写(参考引用[3]): ```bash sudo chown -R $USER:$USER /path/to/project ``` - **保持 SSH 连接**: 在客户端 SSH 配置中添加防掉线参数(参考引用[4]): ```conf Host ubuntu16 HostName 192.168.x.x ServerAliveInterval 60 TCPKeepAlive yes ``` --- ### 引用验证 - 文件权限不足导致写入失败的问题可通过引用[3]的案例验证。 - SSH 配置优化参考引用[4]的保持连接方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值