急!Linux下能禁止某个用户使用SFTP吗?如果能,怎么 *** 作呢? 还有就是如何限制某个用户SFTP下载及下载的速率

可以用sshd的配置项：2113DenyUsers,AllowUsers, DenyGroups,AllowGroups
把你希望禁止使用使5261用sftp服务的用户都加入4102某个组比如xyz
然后在/etc/ssh/sshd_config设置
DenyGroups xyz
这样所有1653属于xyz的用户就没有登录ssh的权限了，自然也没有使用sftp的权限了。
注意仅仅在sshd_config禁止掉sftp-server是不够的，因为只要用户还能通过
ssh登录就可以用其他user space 的工具如scp上传下载文件,效果其实跟sftp是一样的。
至于限速问题，既然是内网，为什么要跑sftp？配个vsftpd，配置文件里可以直接做限速和链接数的啊

不是木马，是设置问题，下面是流量的控制方法
一、Linux 流量控制过程分二种：
1、队列控制 即 QOS, 瓶颈处的发送队列的规则控制，常见的有 SFQ PRIO
2、流量控制 即带宽控制 , 队列的排队整形， 一般为 TBF HTB
二、Linux 流量控制算法分二种：
1、无类算法 用于树叶级无分支的队列，例如：SFQ
2、分类算法 用于多分支的队列，例如：PRIO TBF HTB
三、具体实现：
1 在网卡上建立 以SFQ算法的限流
#tc qdisc add dev eth0 root handle 1: sfq
SFQ 参数有 perturb( 重新调整算法间隔 ) quantum 基本上不需要手工调整 :
handle 1: 规定算法编号 可以不用设置由系统指定
#tc qdisc sh dev eth0 显示算法
#tc qd del dev eth0 root 删除 注 : 默认 eht0 支持 TOS
2 在网卡建立以 TBF算法的限流
#tc qd add dev eth1 root handle 1: tbf rate 256kbit burst 10000 latency 50ms
速率 256kbit 突发传输 10k 最大延迟 50ms
#tc -s qd sh dev eth1 统计
#tc qd del dev eth1 root 删除
3 在网卡建立 PRIO
#tc qdisc add dev eth0 root handle 1: prio
# 此命令立即创建了类 : 1:1, 1:2, 1:3 ( 缺省三个子类 )
#tc qdisc add dev eth0 parent 1:1 handle 10: sfq
#tc qdisc add dev eth0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
注 : 此为 TBF 限速的另一写法 , 前文有讲解
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
4 WEB 服务器的流量控制为 5Mbps,SMTP 流量控制在 3Mbps 上 而且二者一共不得超过 6Mbps, 互相之间允许借用带宽
#tc qdisc add dev eth0 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8
#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 6Mbit weight
06Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
这部分按惯例设置了根为 1:0, 并且绑定了类 1:1 也就是说整个带宽不能超过 6Mbps
#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 5Mbit weight
05Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 3Mbit weight
03Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
建立了 2 个类 注意我们如何根据带宽来调整 weight 参数的 两个类都没有配置成"bounded", 但它们都连
接到了类 1:1 上 , 而 1:1 设置了"bounded" 所以两个类的总带宽不会超过 6Mbps 别忘了 , 同一个 CBQ 下面的子
类的主号码都必须与 CBQ 自己的号码相一致 !
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
#tc qdisc add dev eth0 parent 1:4 handle 40: sfq
缺省情况下 , 两个类都有一个 FIFO 队列规定 但是我们把它换成 SFQ 队列 , 以保证每个数据流都公平对待
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 80 0xffff flowid
1:3
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 25 0xffff flowid
1:4
6 过滤器过滤示例
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1
在 10: 节点添加一个过滤规则 , 优先权 1: 凡是去往 22 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1
在 10: 节点添加一个过滤规则 , 优先权 1: 凡是来自 80 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
在 eth0 上的 10: 节点添加一个过滤规则 , 它的优先权是 2: 凡是上二句未匹配的 IP 数据包 , 发送到频道 10:2
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip dst 4321/32 flowid 10:1
去往 4321 的包发送到频道 10:1 其它参数同上例
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 1234/32 flowid 10:1
来自 1234 的包发到频道 10:1
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
凡上二句未匹配的包送往 10:2
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4321/32 match
ip sport 80 0xffff flowid 10:1
可连续使用 match, 匹配来自 1234 的 80 口的数据包

交换机、路由器配置要求一、 交换机1、管理：(1)Console：本地用户认证(2)Telnet：本地用户认证登录、登录网段控制2、端口：限速、IP＋MAC地址绑定、镜像、安全MAC设置3、VLAN划分：包括TRUNK口的配置方法、允许通过VLAN的设定4、DHCP配置：DHCP服务配置、中继5、ACL应用：基本ACL、高级ACL6、利用TFTP或FTP备份配置文件7、MAC黑洞配置8、路由配置：静态、RIP、OSPF基本配置二、 路由器1、 管理：要求同交换机2、 NAT：Easy Nat、地址池、反向NAT3、 静态路由及路由备份、RIP动态路由、OSPF基本动态路由配置4、 包过滤ACL5、 IP路由策略6、 接口及子接口配置7、利用TFTP或FTP备份配置文件三、 Linux服务器配置1 虚拟机上redhat的安装及配置2 >