SCP 和 SFTP

来自 ArchWiki
(重定向自 Sftp)

相关条目

此条目或章节可能需要与 SFTP chroot 合并。

注意: 说明似乎与 SFTP chroot 中的相同,并且内容更多。(在 Talk:SCP and SFTP#Incorrect 'Considered for redirection' banner? 中讨论)

安全复制 (SCP) 是一种通过 安全 Shell 连接传输文件的协议。SSH 文件传输协议 (SFTP) 是一种相关协议,也依赖于安全 shell 后端。这两种协议都允许安全的文件传输,加密密码和传输的数据。然而,SFTP 协议具有额外的功能,例如,恢复中断的传输或远程文件操作(如删除)。

安全文件传输协议 (SFTP)

安装和配置 OpenSSH。一旦运行,SFTP 默认可用。

使用 sftp 程序或 SSHFS 访问文件。许多标准 FTP 程序也应该可以工作。

使用 chroot jail 的安全文件传输协议 (SFTP)

系统管理员可以使用 openssh 将一部分用户限制在 chroot jail 中,从而限制他们对特定目录树的访问。这对于简单地共享一些文件而不授予完全的系统访问权限或 shell 访问权限非常有用。使用这种设置的用户可以使用 SFTP 客户端,例如 filezilla 来在 chroot jail 中上传/下载文件。

设置文件系统

创建一个 jail 目录

# mkdir -p /var/lib/jail

可选地,将要共享的文件系统绑定挂载到此目录。在本例中,将使用 /mnt/data/share。它由 root 用户拥有,并且八进制权限为 755。

# mount -o bind /mnt/data/share /var/lib/jail
提示: 考虑在 /etc/fstab 中添加一个条目,以使绑定挂载在重启后仍然存在。

创建一个非特权用户

创建 share 用户并设置一个安全的密码

# useradd -g sshusers -d /var/lib/jail foo
# passwd foo

设置 OpenSSH

将以下内容添加到 /etc/ssh/sshd_config 的末尾,以启用共享并强制执行限制

/etc/ssh/sshd_config
...
 Match group sshusers
  ChrootDirectory %h
  X11Forwarding no
  AllowTcpForwarding no
  PasswordAuthentication yes
  ForceCommand internal-sftp

重启 sshd.service 以重新读取配置文件。请参阅 SFTP chroot 以在使用 chroot 时正确配置密钥,否则将收到权限被拒绝的错误。

通过尝试通过 shell 进行 ssh 连接来测试实际上是否强制执行了限制。ssh 服务器应该返回一个关于设置的礼貌通知

$ ssh foo@someserver.com
foo@someserver.com's password:
This service allows sftp connections only.
Connection to someserver.com closed.

安全复制协议 (SCP)

安装、配置和启动 OpenSSH。它包含用于传输文件的 scp 实用程序。

通过安装额外的软件包可以获得更多功能,例如 rsshAUR 或下面描述的 scponly

注意: 自 OpenSSH 9.0 起,scp 实用程序默认使用 SFTP 协议。必须使用 -O 选项才能使用旧版 SCP 协议。
警告: scp 协议已过时、不灵活且不易修复。其作者建议使用更现代的协议(如 sftp 和 rsync)进行文件传输。[1]

通用用法

Linux 到 Linux

从远程主机复制文件到本地主机 SCP 示例

$ scp username@from_host:file.txt /local/directory/

从本地主机复制文件到远程主机 SCP 示例

$ scp file.txt username@to_host:/remote/directory/

从远程主机复制目录到本地主机 SCP 示例

$ scp -r username@from_host:/remote/directory/  /local/directory/

从本地主机复制目录到远程主机 SCP 示例

$ scp -r /local/directory/ username@to_host:/remote/directory/

从远程主机复制文件到远程主机 SCP 示例

$ scp username@from_host:/remote/directory/file.txt username@to_host:/remote/directory/

Linux 到 Windows

使用 Windows 程序,例如 WinSCP

Scponly

Scponly 是一个受限的 shell,用于允许用户 scp/sftp 访问,并且仅允许 scp/sftp 访问。此外,可以设置 scponly 将用户 chroot 到特定目录中,从而提高安全性。

安装 scponly

对于现有用户,只需将用户的 shell 设置为 scponly

# usermod -s /usr/bin/scponly username

添加 chroot jail

该软件包附带一个用于创建 chroot 的脚本。要使用它,请运行

# /usr/share/doc/scponly/setup_chroot.sh
  • 提供答案
  • 检查 /path/to/chroot 是否具有 root:root 所有者,以及其他用户的 r-x 权限
  • 将所选用户的 shell 更改为 /usr/bin/scponlyc
  • sftp-server 可能需要一些 libnss 模块,例如 libnss_files。将它们复制到 chroot 的 /lib 路径。

上传到 Chroot jail 根目录

出于安全原因,设置为 chroot 目录的目录必须由 root 用户拥有,并且只有 root 用户对其具有写入权限,否则 sftp/ssh 连接将被拒绝。这当然意味着普通用户无法将文件上传到根目录。为了在不损害安全性的情况下解决这个问题,您可以在 chroot 目录中创建一个文件夹,普通用户或组对其具有写入权限,例如

# cd /var/lib/jail
# mkdir uploads
# chown :sshusers uploads
# chmod 730 uploads
注意: 这将仅允许 "sshusers" 组的用户上传到 "uploads" 目录(但不能列出其内容)。使用 chmod 770 允许 sshusers 查看内容。

某些使用 SFTP 的应用程序在执行操作(例如,上传文件)时不允许输入子目录,并且会尝试将文件上传到 chroot 根目录(这将是被拒绝的)。为了强制这些应用程序使用特定的子目录,您可以将以下内容附加到 "ForceCommand" 选项

/etc/ssh/sshd_config
...
 Match group sshusers
  ...
  ForceCommand internal-sftp -d /uploads

连接时,用户的起始目录将更改为指定的子目录(请记住重启 sshd 服务器)。

检索自“https://wiki.archlinux.org.cn/index.php?title=SCP_and_SFTP&oldid=815869