SCP 和 SFTP

出自 ArchWiki
(重定向自 SCP)

相关文章

本条目或章节可能与 SFTP chroot 合并。

注意: 说明似乎与 SFTP chroot 中的相同,并且内容更多。(在 Talk:SCP and SFTP#Incorrect 'Considered_for_redirection'_banner? 中讨论)

安全复制 (SCP) 是一种通过安全 Shell 连接传输文件的协议。SSH 文件传输协议 (SFTP) 是一种相关协议,也依赖于安全 shell 后端。这两种协议都允许安全的文件传输,加密密码和传输的数据。然而,SFTP 协议具有额外的功能,例如,恢复中断的传输或远程文件操作(如删除)。

安全文件传输协议 (SFTP)

安装和配置 OpenSSH。一旦运行,SFTP 默认可用。

使用 sftp 程序或 SSHFS 访问文件。许多标准的 FTP 程序也应该可以工作。

带 chroot jail 的安全文件传输协议 (SFTP)

系统管理员可以使用 openssh 将一部分用户限制在 chroot jail 中,从而限制他们对特定目录树的访问。这对于简单地共享一些文件而不授予完全系统访问权限或 shell 访问权限非常有用。使用这种设置的用户可以使用 SFTP 客户端(如 filezilla)在 chroot jail 中上传/下载文件。

设置文件系统

创建 jail 目录

# mkdir -p /var/lib/jail

可选地,将要共享的文件系统绑定挂载到此目录。在本示例中,将使用 /mnt/data/share。它由 root 拥有,并且八进制权限为 755。

# mount -o bind /mnt/data/share /var/lib/jail
提示: 考虑在 /etc/fstab 中添加一个条目,以使绑定挂载在重启后仍然存在。

创建非特权用户

创建 share 用户并设置一个安全的密码

# useradd -g sshusers -d /var/lib/jail foo
# passwd foo

设置 OpenSSH

将以下内容添加到 /etc/ssh/sshd_config 的末尾,以启用共享并强制执行限制

/etc/ssh/sshd_config
...
 Match group sshusers
  ChrootDirectory %h
  X11Forwarding no
  AllowTcpForwarding no
  PasswordAuthentication yes
  ForceCommand internal-sftp

重启 sshd.service 以重新读取配置文件。请参阅 SFTP chroot 以在使用 chroot 时正确配置密钥,否则将出现权限被拒绝的错误。

测试是否实际上强制执行了限制,方法是通过 shell 尝试 ssh 连接。ssh 服务器应返回有关设置的礼貌通知

$ ssh foo@someserver.com
foo@someserver.com's password:
This service allows sftp connections only.
Connection to someserver.com closed.

安全复制协议 (SCP)

安装、配置并启动 OpenSSH。它包含用于传输文件的 scp 实用程序。

安装额外的软件包可以获得更多功能,例如 rsshAUR 或下面描述的 scponly

注意: 自 OpenSSH 9.0 起,scp 实用程序默认使用 SFTP 协议。必须使用 -O 选项才能使用旧版 SCP 协议。
警告: scp 协议已过时、不灵活且不易修复。其作者建议使用更现代的协议(如 sftp 和 rsync)进行文件传输。[1]

通用用法

Linux 到 Linux

从远程主机复制文件到本地主机 SCP 示例

$ scp username@from_host:file.txt /local/directory/

从本地主机复制文件到远程主机 SCP 示例

$ scp file.txt username@to_host:/remote/directory/

从远程主机复制目录到本地主机 SCP 示例

$ scp -r username@from_host:/remote/directory/  /local/directory/

从本地主机复制目录到远程主机 SCP 示例

$ scp -r /local/directory/ username@to_host:/remote/directory/

从远程主机复制文件到远程主机 SCP 示例

$ scp username@from_host:/remote/directory/file.txt username@to_host:/remote/directory/

Linux 到 Windows

使用 Windows 程序,例如 WinSCP

Scponly

Scponly 是一个受限的 shell,用于允许用户 scp/sftp 访问,并且仅允许 scp/sftp 访问。此外,可以设置 scponly 将用户 chroot 到特定目录中,从而提高安全性。

安装 scponly

对于现有用户,只需将用户的 shell 设置为 scponly

# usermod -s /usr/bin/scponly username

添加 chroot jail

该软件包附带一个用于创建 chroot 的脚本。要使用它,请运行

# /usr/share/doc/scponly/setup_chroot.sh
  • 提供答案
  • 检查 /path/to/chroot 是否具有 root:root 所有者,并且其他用户具有 r-x 权限
  • 将所选用户的 shell 更改为 /usr/bin/scponlyc
  • sftp-server 可能需要一些 libnss 模块,例如 libnss_files。将它们复制到 chroot 的 /lib 路径。

上传到 Chroot jail 根目录

出于安全原因,设置为 chroot 目录的目录必须由 root 拥有,并且只有 root 具有写入权限,否则 sftp/ssh 连接将被拒绝。这当然意味着普通用户无法将文件上传到根目录。为了在不损害安全性的前提下解决这个问题,您可以在 chroot 目录中创建一个文件夹,普通用户或组对该文件夹具有写入权限,例如

# cd /var/lib/jail
# mkdir uploads
# chown :sshusers uploads
# chmod 730 uploads
注意: 这将仅允许 "sshusers" 组的用户上传到(但不能列出内容)"uploads" 目录。使用 chmod 770 允许 sshusers 查看内容。

某些使用 SFTP 的应用程序在执行操作(例如,上传文件)时不允许输入子目录,并且会尝试将文件上传到 chroot 根目录(这将​​被拒绝)。为了强制这些应用程序使用特定的子目录,您可以将以下内容附加到 “ForceCommand” 选项中

/etc/ssh/sshd_config
...
 Match group sshusers
  ...
  ForceCommand internal-sftp -d /uploads

用户连接后,他们的起始目录将更改为指定的子目录(请记住重启 sshd 服务器)。

取自“https://wiki.archlinux.org.cn/index.php?title=SCP_and_SFTP&oldid=815869