본문 바로가기
구 블로그 보관처

LINUX-sFTP만 되는 계정 만들어 sFTP를 제공하는 방법

by 행복한 만수킴 2020. 5. 17.

 


SFTP 접근 계정을 만들어보자. 단 SSH는 안되어야 한다.
또한 chroot를 지정하였음으로 상위 폴더로 이동하여서는 절대로 안된다.

  • 아래 내용은 "http://ms9567.blog.me/60212470069"에서 "SSH 보안 설정"을 한 상태에서 진행이 된 것이다. 
    고로 여러 상황에 따라 다를 수 있음에 주의하자.
105
106
107
108
109
110
111
112
113
 
 ==> 그룹 생성
[root@centos sftp]# groupadd sftp_users
 
 ==> 유저 생성(쉘 사용하지 못하고 sFTP에만 접속하게 하기 위한)
[root@centos sftp]# useradd -g sftp_users -s /sbin/nologin sftp_user
 
 ==> 유저 암호 설정
[root@centos sftp]# echo 'p@ssWord' | passwd --stdin sftp_user
sftp_user 사용자의 비밀 번호 변경 중
passwd: 모든 인증 토큰이 성공적으로 업데이트 되었습니다.
 
 ==> 암호 설정 확인
[root@centos sftp]# grep nologin /etc/passwd | grep sftp_user
sftp_user:x:602:602::/home/sftp_user:/sbin/nologin
 
 ==> 쉘 접속 가능 여부 테스트 - 접속못함(정상)
[root@centos home]# su - sftp_user
This account is currently not available.
 
 
 
 ==> sshd_config에 유저 홈디렉토리가 아닌 특정 폴더로 접근시키기 위한 설정 추가
[root@centos sftp]# vi /etc/ssh/sshd_config
  === 중략 ===
# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem      sftp    internal-sftp

=== 중략 ===

Match User sftpuser
    chrootDirectory /home/sftpuser
    ForceCommand internal-sftp
    X11Forwarding no
    AllowTcpForwarding no

  
 ==> 폴더 권한 확인할 것. 매우 중요. 매우 중요. 매우 중요.
[root@centos home]# pwd
/home
[root@centos home]# ls -al
합계 32
drwxr-xr-x.  5 root root  4096 2016-04-30 12:08 .
dr-xr-xr-x. 28 root root  4096 2016-01-18 15:52 ..
drwxr-xr-x   3 root sftpusers   4096 2016-04-30 12:26 sftpuser
drwx------.  2 root root 16384 2014-04-07 14:27 lost+found
        ===> 소유자는 root, 그룹은 유저가 속한 그룹이어야 한다. 

[root@centos home]# ls -al sftpuser
합계 24
drwxr-xr-x  3 root sftpuser  4096 2016-04-30 12:26 .
drwxr-xr-x. 5 root root 4096 2016-04-30 12:08 ..
-rwxrwxr-x  1 root root   18 2013-07-18 22:19 .bash_logout
-rwxrwxr-x  1 root root  176 2013-07-18 22:19 .bash_profile
-rwxrwxr-x  1 root root  124 2013-07-18 22:19 .bashrc
drwxrwxr-x  2 sftpuser  sftpuser  4096 2016-04-30 13:50 www
        ===> 사용자의 홈디렉토리에 사용자가 실제로 파일을 업로드할 수 있는 
                 디렉토리를 만들고, 소유자와 그룹을 변경하여야 접근이 가능하다.
 
  1. sFTP Log 파일 보는 법
    • tail -f /var/log/secure

 

댓글0