ssh的一些基本知识

December 8, 2018
ssh安装 sftp ssh

引言

本文主要内容:
(1)安装ssh
(2)mac下使用ssh乱码的问题
(3)受限sftp账户管理

1 安装ssh

1.1 Centos下安装ssh

搜索ssh相关软件源:yum search ssh
安装openssh-server:yum install openssh-server

1.2 ubuntu下安装ssh

安装ssh:apt-get install openssh-server
如果出现下列错误:package openssh-server has no installation candidate
可以更新软件源:apt-get upgrade

安装完成后,通过命令查看ssh是否已经运行:ps -e | grep ssh
可以看到进程:sshd

默认为22端口,可以通过下列命令配置:vim /etc/ssh/sshd_config,另外,ubuntu默认Root用户无法访问 ,或访问可以不通过密码,也是修改上述文件,将如下变量配置为:PermitRootLogin yes

启动ssh:/etc/init.d/ssh start,停止:/etc/init.d/ssh stop。如果不能启动,在/etc/hosts里添加本地的ip,再重启机器即可

重启ssh服务:service ssh restart

2 mac下使用ssh乱码

(1)编辑vim ~/.zshrc,输入以下内容:

export LC_ALL=en_US.UTF-8  
export LANG=en_US.UTF-8

(2)查看 locale,显示如下内容:

zLANG="en_US.UTF-8" LC_COLLATE="en_US.UTF-8" LC_CTYPE="en_US.UTF-8" LC_MESSAGES="en_US.UTF-8" LC_MONETARY="en_US.UTF-8" LC_NUMERIC="en_US.UTF-8" LC_TIME="en_US.UTF-8" LC_ALL="en_US.UTF-8"

两边都要这样弄,OK

3 受限sftp账户管理

(1)查看ssh版本:ssh -V
(2)添加用户组:groupadd sftpusers
(3)添加用户并关闭ssh登录功能:seradd -s /bin/false -G sftpusers hehj

如果去尝试登录 #ssh hehj@localhost,则会提示仅支持连接,不支持登录,如下:

The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:VXGX1HbDWzQ7UyxZDV4uMq4hGeHnrJPCO7ks/nltFXY.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
hehj@localhost's password:
Permission denied, please try again.
hehj@localhost's password:
This service allows sftp connections only.
Connection to localhost closed.

(4)设置密码:passwd hehj
(5)编辑/etc/ssh/sshd_config,找到Subsystem这个配置项,将其修改为:Subsystem sftp internal-sftp ,然后再到文件最尾处增加配置设定属于用户组sftpusers的用户都只能访问自己的文件夹:

Match Group sftpusers 
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /data/sftp/%u     #需在 /data/sftp/  创建user文件夹,该文件夹就是登录的sftp用户目录

(6)修改user用户所在文件夹的权限,让其属于root用户:# chown root /data/sftp/user
(7)重启sshd服务:# service sshd restart

最终效果:可以在指定目录里上传删除,但是不能修改已经存在的属于root

更多问题,登陆后你会发现你的账号无法切换到除自己本身目录之外的地方,或者登录失败,看下面可能出现的问题; (1)如果在链接服务器的时候出现下面的提示:

Write failed: Broken pipe 
Couldn't read packet: Connection reset by peer 

这个问题的原因是ChrootDirectory的权限问题,你设定的目录必须是root用户所有,否则就会出现问题。所以请确保sftp用户根目录的所有人是root,权限是750 或者755。解决办法,设置user目录为root权限:# chown root:user /data/sftp/user #chmod 750 /data/sftp/user

(2)Sftp用户登录后不能在本目录操作:
是因为登录后的目录是root权限,需将sftp账号赋予root权限,操作方法将/etc/passwd 文件中对应的sftp的用户ID修改为0, 这样就可以有权限操作登录后的目录了(还有其他赋予权限方法,ps另行查找),Eg:user:x:503:505::/home/darops:/bin/false 将503改为0


loading