SFTP最新_安装配置SFTP及公钥、私钥_20230915

最全笔记！！！记录一下，以免忘记

1.添加用户组添加用户组sftp-group

groupadd sftp-group

2.添加用户sftp并禁止通过ssh登录

useradd -d /home/lkl1sftp -m -g sftp-group -s /bin/false lkl1sftp

-d # 指定用户主目录，省略则为"/home/username"

-m # 创建用户主目录

-g # 指定用户所属用户组

/bin/false # 禁止用户通过shell登录

3.为sftp用户设置登录密码

passwd lkl1sftp

4.修改sftp主目录访问权限

必须修改为root权限，否则无法连接

chmod 755 /home/lkl1sftp （755没有写权限，接收段这个权限无法上传）

chown root /home/lkl1sftp

# 修改用户组

chgrp sftp-group /home/lkl1sftp

修改后权限如下所示

drwxr-xr-x 3 root sftp-group 4096 Feb 24 18:26 sftp

5.文件上传目录配置

跳转/home/lkl1sftp并创建文件上传目录，并将权限修改为sftp用户所拥有

cd /home/lkl1sftp

mkdir upload

chown lkl1sftp. upload

6.SSH配置

vi /etc/ssh/sshd_config

# 基本的ssh远程登录配置

# 开启验证

PasswordAuthentication yes

# 禁止空密码登录

PermitEmptyPasswords no

# 是否允许root用户远程登录

PermitRootLogin yes

# Subsystem sftp /usr/libexec/openssh/sftp-server

Subsystem      sftp    internal-sftp

# 对登录用户的限定（锁目录，按照以下格式，直接Chroot会使其他ssh用户无法登录）

Match User lkl1sftp   # Match [User|Group] sftp

ChrootDirectory %h # %h代表用户家目录 %u代表用户名，也可以直接指定目录/var/sftp

ForceCommand    internal-sftp # 强制使用系统自带的 internal-sftp 服务 这样用户只能使用ftp模式登录

AllowTcpForwarding no

X11Forwarding no

7.重启SSH服务生效

service sshd restart

# 或

systemctl restart sshd

8.SFTP 连接命令

ssh lkl1sftp@127.0.0.1

sftp lkl1sftp@127.0.0.1

ftp lkl1sftp@127.0.0.1

9.SFTP 命令

# 从服务器下载文件

get filename

# 上传文件到服务器

put filename

# 操作本地目录，在linux命令前添加 'l'

# 切换本地目录

lcd c:\users\jie\Desktop

# 显示本地目录路径

lpwd

10.Linux服务器设置SSH/SFTP通过密钥登录

我们一般使用PuTTY等SSH客户端来远程管理Linux服务器。但是，一般的密码方式登录，容易有密码被暴力破解的问题。所以，一般我们会将SSH的端口设置为默认的22以外的端口，或者禁用root账户登录。其实，有一个更好的办法来保证安全，而且让你可以放心地用root账户从远程登录——那就是通过密钥方式登录。

密钥形式登录的原理是：利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上，然后在客户端利用私钥即可完成认证并登录。这样一来，没有私钥，任何人都无法通过SSH暴力破解你的密码来远程登录到系统。此外，如果将公钥复制到其他账户甚至主机，利用私钥也可以登录。

下面来讲解如何在Linux服务器上制作密钥对，将公钥添加给账户，设置SSH，最后通过客户端登录。

制作密钥对，首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户，然后执行以下命令：

[root@host ~]# ssh-keygen  <== 建立密钥对

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter

Created directory '/root/.ssh'.

Enter passphrase (empty for no passphrase): <== 输入密钥锁码，或直接按 Enter 留空

Enter same passphrase again: <== 再输入一遍密钥锁码

Your identification has been saved in /root/.ssh/id_rsa. <== 私钥

Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥

The key fingerprint is:

0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录。

现在，在root目录中生成了一个.ssh的隐藏目录，内含两个密钥文件。id_rsa为私钥，id_rsa.pub为公钥。

在服务器上安装公钥，键入以下命令，在服务器上安装公钥：

[root@host ~]# cd .ssh

[root@host .ssh]# cat id_rsa.pub >> authorized_keys

如此便完成了公钥的安装。为了确保连接成功，请保证以下文件权限正确：

[root@host .ssh]# chmod 600 authorized_keys

[root@host .ssh]# chmod 700 ~/.ssh

设置SSH，打开密钥登录功能，编辑/etc/ssh/sshd_config文件，进行如下设置：

RSAAuthentication yes

PubkeyAuthentication yes

当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录（如果秘钥仅仅针对于sftp则仍为yes，仍可以用原来的账号密码进行登录ssh）：

PasswordAuthentication no

sftp公钥_私钥使用方法（在sftp服务器上操作）

sftp账号根目录下创建公钥保存路径(如不存在)如下,其中/home/lkl1sftp目录为sftp账号的根目录

mkdir /home/lkl1sftp/.ssh

将公钥导入指定存放文件authorized_keys

cat ./id_rsa.pub >> /home/lkl1sftp/.ssh/authorized_keys

下次要连接sftp就可以直接通过私钥id_rsa登录了

最后，重启SSH服务：

[root@host .ssh]# service sshd restart

PuTTY_私钥的使用：

将私钥下载到客户端，然后转换为 PuTTY 能使用的格式

使用 WinSCP、SFTP 等工具将私钥文件 id_rsa 下载到客户端机器上。然后打开 PuTTYGen，单击 Actions 中的 Load 按钮，载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码，这时则需要输入。

载入成功后，PuTTYGen会显示密钥相关的信息。在Key comment中键入对密钥的说明信息，然后单击Save private key按钮即可将私钥文件存放为PuTTY能使用的格式。

今后，当你使用PuTTY登录时，可以在左侧的Connection -> SSH -> Auth中的 Private key file for authentication:处选择你的私钥文件，然后即可登录了，过程中只需输入密钥锁码即可。