ssh密钥认证与sftp配置.docx

章节一:密钥认证配置生成密钥对用SecurtCRT创建密钥对可不输入密码,否则登陆时需每次输入密码生成密钥对,选择存放路径用linux或unix创建密钥对ssh-keygen–trsa服务器配置新建用户1)useradd-md/home/,更改所有者和权限1)cd/home/longtb2))chownlongtb:,,更改所有者和权限1))viauthorized_keys3)chownlongtb:usersauthorized_keys#注:一般600或644,读写权限很重要!客户端连接配置SecurtCRT新建ssh连接可取消password认证选择publicKey,属性选择Usesessionpublickeysetting,key的位置仅对当前用户有效;避免与全局key冲突,当然如果所有认证都共用一个key对,可选择Usegloblepublickeysetting点OK后即可连接用刚创建的key对ssh连接管理服务器了。Linux或unix服务器建立ssh连接******@serverip#若以当前用户连接,可直接sshserverip章节2:配置sft(设定chroot)前提:完成访问用户的密钥认证配置目标:longtb用户可以sftp连接服务器但锁定其连接目录,禁止ssh登录访问的目录可以不是用户家路径,可为任意路径要点:用户默认shell禁止登陆需设置用户shell为:/usr/sbin/nologinSftp访问目录要求不能是链接目录文件访问的根目录属主需是root访问根目录及对应的其上级实际目录属主为root访问根目录及对应的其上级实际目录属组可不变Ssh配置文件配置启用internal–sftp匹配用户,并指定chroot路径Ssh服务重启重启sshd服务以使得对sshd的配置文件所做配置生效配置示例1:访问目录:/home/longtb更改用户shell,禁止用户登录root登录chsh-s/usr/sbin/nologinlongtb更改sftp访问根目录及对应的其上级实际目录属主为root,属组可不变root登录chownroot:longtb/home/longtb#根目录chownroot:longtb/home#根目录对应的上级目录修改sshd配置文件root用户登录vi/etc/ssh/sshd_config#Subsystemsftp/usr/libexec/sftp-serverSubsystemsftpinternal-sftpMatchUserlongtbChrootDirectory/home/mandinternal-sftp/etc/:访问目录:/logs/out/dana/jsreport更改用户shell,禁止用户登录root登录chsh-s/usr/sbin/nologinlongtb更改sftp访问