使用Apache mina sshd构建sftp server如何托管配置文件？

1 介绍
sftp是Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接 *** 作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。
2 sftp搭建
21查看openssl的版本
ssh -V
###使用ssh –V命令来查看openssh的版本，版本必须大于48p1,低于这个版本需要升级。
22创建sftp组
groupadd sftp
23创建一个sftp用户，用户名为mysftp，密码为mysftp
useradd –g sftp –s /bin/false mysftp //该用户不能通过sshd登陆到系统
passwd mysftp
23sftp组的用户的home目录统一指定到 chaodiquancom /data/sftp下，按用户名区分，这里先新建一个mysftp目录，然后指定mysftp的home为/data/sftp/mysftp
mkdir -p /data/sftp/mysftp
usermod –d /data/sftp/mysftp mysftp
24配置sshd_config
文本编辑器打开 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
找到如下这行，用#符号注释掉。
# Subsystem sftp /usr/libexec/openssh/sftp-server
在文件最后面添加如下几行内容，然后保存。
Subsystem sftp internal-sftp
###配置一个外部子系统(例如，一个文件传输守护进程)。仅用于SSH-2协议。值是一个子系###统的名字和对应的命令行(含选项和参数)。比如"sftp /usr/libexec/openssh/sftp-server"。，###这里配置为内部的
Match Group sftp
#限定只有sftp组的才能访问
ChrootDirectory /data/sftp/%u
###设定属于用户组sftp的用户访问的根文件夹
ForceCommand internal-sftp
###强制执行这里指定的命令而忽略客户端提供的任何命令。这个命令将使用用户的登录###shell执行(shell -c)。这可以应用于 shell 、命令、子系统的完成，通常用于 Match 块中。###这个命令最初是在客户端通过 SSH_ORIGINAL_COMMAND 环境变量来支持的。
AllowTcpForwarding no
###是否允许TCP转发，默认值为"yes", 禁止TCP转发并不能增强安全性，除非禁止了用户###对shell的访问，因为用户可以安装他们自己的转发器。
X11Forwarding no
###是否允许进行 X11
转发。默认值是"no"，设为"yes"表示允许。如果允许X11转发并且sshd(8)代理的显示区被配置为在含有通配符的地址(X11UseLocalhost)上监听。那么将可能有额外的信息被泄漏。由于使用X11转发的可能带来的风险，此指令默认值为"no"。需要注意的是，禁止X11转发并不能禁止用户转发X11通信，因为用户可以安装他们自己的转发器。
如果启用了 UseLogin ，那么X11转发将被自动禁止。
25设定Chroot目录权限
chown root:sftp /data/sftp/mysftp
chmod 755 /data/sftp/mysftp
26建立SFTP用户登入后可写入的目录
照上面设置后，在重启sshd服务后，用户mysftp已经可以登录。但使用chroot指定根目录后，根应该是无法写入的，所以要新建一个目录供mysftp上传文件。这个目录所有者为mysftp，所有组为sftp，所有者有写入权限，而所有组无写入权限。命令如下：
mkdir /data/sftp/mysftp/upload
chown mysftp:sftp /data/sftp/mysftp/upload
chmod 755 /data/sftp/mysftp/upload
27重启sshd服务
service sshd restart

如果你访问过较新版本的Mac OS X中的“共享首选项”面板，则可能已经注意到不再允许FTP服务器共享文件和文件夹的直接选项。至少没有一个明显的选择，但FTP和SFTP服务器功能仍然存在，这两个刚分裂成不同的功能，新版本的OS X喜欢SFTP而不是FTP。无论你想要使用什么，为其中任何一个设置服务器都非常简单，下面将介绍如何在OS X中启动FTP或SFTP服务器。

这将启动Mac上的通用FTP和FTPS服务器，但不是SFTP服务器：

如果你看到熟悉的FTP登录：

那么说明服务器正在运行。如果你没有看到，那么服务器还没有完成启动，或者你没有正确输入命令。然后，你可以通过相同的ftp命令，或使用Finder中的“连接到服务器”选项进行FTP。

正如你可能知道的那样，FTP是未加密的，因此出于安全考虑而失宠。现在在Mac上启用SFTP实际上比FTP更容易：

你可以通过在命令行输入以下内容来验证SFTP是否正常工作：

注意： FTP和SFTP服务器是不同的，启用一个不启用另一个。建议使用SFTP，因为默认加密层和安全传输。

以下是如何禁用FTP服务器的方法：

如命令所示，这将卸载ftp守护进程并关闭服务器。你只能关闭和禁用FTP服务器。而禁用SFTP只是取消选中位于OS X的“共享首选项”面板中的“远程登录”框。

FTP不安全，万不得已情况下，才可使用。
vsftp安全性相对较好
可采用sftp代替FTP
Linux另外常用的FTP：
proftp
vsftp
pureftp
下面以VSFTP为例：
安装方式一：源码包安装
useradd -s /bin/false -d /var/ftp ftpvirtual
cd
make
make install
cp vsftpdconf /etc
/usr/local/sbin/vsftpd & #启动
安装方式二：rpm安装，推荐
rpm -ivh vsftpd-201-5i386rpm
或者 yum install vsftpd
/etc/initd/vsftpd start
两种方式安装完成后，配置方法都一样，下面开始讲配置。
首先讲主配置文件常见配置
vi /etc/vsftpd/vsftpdconf
anonymous_enable=NO #禁止匿名登录
local_enable=NO #禁止本地用户登录
write_enable=YES #对本地用户的写权限
local_umask=022 #本地用户文件生成掩码
dirmessage_enable=YES #显示隐藏文件
xferlog_enable=YES #启用上传和下载日志
connect_from_port_20=YES #服务器将启用FTP数据端口的连接请求
xferlog_std_format=YES #服务器将使用标准的ftpd xferlog日志格式
pam_service_name=vsftpd #设置PAM认证服务的配置文件名称
userlist_enable=YES #设置文件中指定的用户是否可以访问vsftpd服务器
listen=YES #FTP服务器将处于独立启动模式
tcp_wrappers=YES #使用tcp_wrappers作为主机访问控制方式
chroot_local_user=YES #将FTP本地用户禁锢在宿主目录中
chroot_list_enable=YES #将用户禁锢在宿主目录中
listen_address=19216802 #侦听地址
pasv_enable=YES #是否允使用被动模式，默认是允许的。
pasv_min_port=10000 #指定使用被动模式时打开端口的最小值
pasv_max_port=10004 #指定使用被动模式时打开端口的最大值。
max_clients=100 #设置FTP服务器所允许的最大客户端连接数，值为0时表示不限制
max_per_ip=5 #同一IP地址允许的最大客户端连接数，值为0时表示不限制，即线程
local_max_rate=500000 #设置本地用户的最大传输速率，单位为bytes/sec，值为0时表示不限制
anon_max_rate=200000 #设置匿名用户的最大传输速率，单位为bytes/sec，值为0表示不限制
use_localtime=YES #在vsftp之中的时间默认值是显式GMT时间，因此我们会发现上面的时间与我们时寄存取的时间差八小时。改了这一项就好了。
listen_port=10021 改端口
one_process_model=NO yes可增加性能，增加负载，便降低安全，建议NO
nopriv_user=nobody 默认以nobody运行vsftp
对外服务，建议使用stand alone方式启动，性能好。
仅内部人员，建议用super daemon启动，修改如下：
listen=NO
……略
vsftp默认使用GMT时间，建议修改如下：
use_localtime=YES
/etc/vsftpdftpusers #保存不允许进行FTP登录的本地用户帐号，提高系统的安全性
/etc/vsftpduser_list
#禁止vsftpduser_list中的用户
userlist_enable=YES
userlist_deny=YES
#仅允许vsftpduser_list中的用户
userlist_enable=YES
userlist_deny=NO
日志：
vsftpd_log_file=/var/log/vsftpdlog
下面开始讲vsftp四种“用户认证”的方式
一、匿名用户 ftp anonymous
/var/ftp 默认主目录
在/etc/vsftpd/vsftpdconf中：
anonymous_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES #可删除
chmod -R 777 /var/ftp/pub/
修改/var/ftp/pub的SELinux权限
执行以下命令，修改/var/ftp/pub这目录的类型：
chcon -R -t ftpd_anon_rw_t /var/ftp/pub/
anon_root=/var/>创建的FTP目录 /data/ftp

guoke为你为该ftp创建的用户名，/data/ftp 为登录进去后的位置

更改登录时看到的目录，看个人需要更改，如果第4步已设置好，此步可忽略

将 /data/ftp 目录权限设置为 guoke 用户，否则ftp客户端将无法写入文件

vim /etc/vsftpd/vsftpdconf

在chroot_list中添加guoke用户

由于需要限制ftp用户在自己的目录，在21端口下没有问题，但当ftp用户用sftp登录时，还是可以访问上级目录，于是禁止ftp用户ssh登录，切断22端口的通信。

查看 /etc/shells 文件，看禁止登录的shell为 /usr/sbin/nologin 。如果没有，在文件后面添加

如果要恢复guoke的ssh登录

---