创建用户和组

1
2
3
sudo groupadd sftp
sudo useradd -s /bin/false -M -g sftp -G www-data sftpuser01
sudo chpasswd <<< 'sftpuser01:123456'

配置ssh

修改/etc/ssh/sshd_config文件添加以下内容

1
2
3
4
5
6
Match Group sftp
    ChrootDirectory /srv/www
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no
    PasswordAuthentication yes
  • Match Group sftp:匹配所有属于sftp组的用户
  • ChrootDirectory:限制用户的根目录,目录属主必须是root,且权限不能高于755
  • ForceCommand internal-sftp:强制用户只允许使用SFTP
  • AllowTcpForwarding no:禁止端口转发,增加安全性
  • X11Forwarding no:关闭图形界面的转发
  • PasswordAuthentication yes:允许密码认证

重载ssh

1
sudo systemctl reload ssh