티스토리 뷰
1. SFTP 접속을 위한 유저 생성
useradd -s /sbin/nologin 유저명
💡 SFTP용 유저 생성 시 /sbin/nologin 을 설정하면 쉘 권한은 제외하고 SFTP 및 FTP 접속 권한만 제공된다.
2. SSH 데몬 내 SFTP 서버용 포트 추가
SFTP 서버는 SSH 데몬을 통해 실행되기 때문에 default로 SSH와 동일한 22번 포트로 접근하게 된다.
SFTP 포트를 분리하기 위해 /etc/ssh/sshd_config 설정 변경을 진행한다.
vi /etc/ssh/sshd_config
Port 22
Port 18608
위와 같이 Port를 설정하게 되면 22번과 18608번 포트로 외부의 터미널 접속이 가능해진다.
그래서 보안상의 위험을 사전 방지하고자 18608 포트는 SFTP 접속만 가능하도록 설정해야 한다.
해당 설정은 /etc/ssh/sshd_config 내 Match 룰설정을 통해 SFTP 전용 포트 설정이 가능하다.
Match LocalPort 18608
ForceCommand internal-sftp
위와 같이 설정을 하게되면 SFTP 접속 시 root나 외부 계정의 파일 현황을 그대로 조회할 수 있다.
그래서 sftp용 유저의 홈 디렉터리 이외에는 이동하지 못하게 제어가 필요하다.
해당 설정은 /etc/ssh/sshd_config 내 Match의 chroot를 통해 설정 가능하다.
Subsystem sftp internal-sftp
Match LocalPort 18608
ChrootDirectory /home/유저명
ForceCommand internal-sftp
chown root:sftpuser /home/sftpuser
chmod 755 /home/sftpuser
chown sftpuser:sftpuser /home/sftpuser/test
3. sshd 서비스 재기동
설정한 내용을 적용하기 위헤 다음 명령을 실행한다.
systemctl restart sshd
'Linux > CentOS' 카테고리의 다른 글
| Linux fail2ban 설정 (0) | 2022.08.02 |
|---|---|
| CentOS 시간 동기화 (0) | 2022.05.03 |
| cron 사용법 (0) | 2022.05.01 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- ssh
- Apache
- tomcat
- fail2ban
- Failed to unlink socket file
- X-Forwarded-For
- docker
- port
- denied
- logrotate
- Permission
- catalina.out
- /tmp/mongodb-27017.sock
- No space left on device
- 몽고DB
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함