首页  思维笔记  详情

基于Linux搭建SFTP&FTP服务器及相关常用工具、脚本

2023-10-18 14:32:24   0  举报





linux

SFTP

FTP

shell

作者其他创作

大纲/内容

搭建SFTP服务器

1、创建用户。例如gongshang，并禁止ssh登录，不创建家目录 useradd -s /sbin/nologin -M gongshang

2、设置sftp账号的密码 passwd gongshang

3、创建sftp根目录，所有sftp用户都在这个目录下活动 mkdir -p /sftp/sftpfile

4、设置目录权限此案，通常目录用root新建后默认就是设置好的

5、创建用户gongshang的根目录，目录名为用户名； mkdir gongshang PS：这里的目录名一定是跟用户名一致，不然会连接不上SFTP服务器。

6、新建sftp组并设置gongshang账号目录的权限 groupadd sftp chown root:sftp /sftp/username

7、将SFTP用户加到SFTP组中；PS：这一步是为了限制SFTP账号的访问目录 usermod -a -G sftp username

8，修改SFTP配置文件

将访问端口从默认的22改成2222，此操作需要重启ssh服务。 vim /etc/ssh/sshd_config

新增如下配置： Subsystem sftp internal-sftp Match Group sftp ChrootDirectory /sftp/sftpdata/%u ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no 红色框中的注释掉

9、关闭防火墙

systemctl stop firewalld && systemctl disable firewalld

setenforce 0 && sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

10、SFTP账号设置免密登录

切换至需要配置免密登录的账号的家目录下 然后运行生成密钥 ssh-keygen -t rsa 一直回车

生成.ssh目录，进到目录中新建文件 touch authorized_keys

修改文件权限 chmod 600 authorized_keys

下载私钥id_rsa sz id_rsa

将公钥写入到authorized_keys中 cat id_rsa.pub > authorized_keys

启用允许公钥访问

重启ssh服务 systemctl restart sshd

如果是sftp账号想要免密登录就是将公钥放到对应sftp目录的根路径下新建.ssh目录然后新建authorized_keys并将公钥放进去即可 chmod 700 .ssh chmod 600 .ssh/authorized_keys chown $user:$user -R /home/$user

11、想要实现限制SFTP账号只能密钥登录且只能访问指定目录的需求可以通过挂载目录实现 mount --bind /data/sfsftpuser /sftp/sftpdata/sfsftpuser/data

搭建FTP服务器

1、安装vsftpd yum install -y vsftpd

2、新增FTP用户及设置密码并禁止用户通过ssh登录 useradd ftpuser passwd ftpuser usermod -s /sbin/nologin ftpuser

3、修改配置文件/etc/vsftpd/vsftpd.conf

vim /etc/vsftpd/vsftpd.conf

配置文件最后再加上： chroot_local_user=YES local_root=/data allow_writeable_chroot=YES userlist_deny=NO userlist_file=/etc/vsftpd/user_list user_config_dir=/etc/vsftpd/userconfig pasv_min_port=60000 //修改vsftpd传递数据的最小端口 pasv_max_port=60100 //修改vsftpd传递数据的最大端口

4、将这一行注释掉，否则可能会提示530登录失败 vim /etc/pam.d/vsftpd

5、配置ftp账号的访问路径 配置FTP账号指定的访问目录 local_root=/app/ftpdas 新建ftp账号的访问目录 mkdir /app/ftpdas

6、在user_list文件中加上新增的ftp账号

7、启动ftp服务

8、修改FTP指定端口是需要修改配置文件：

vim /etc/services

vim /etc/vsftpd/vsftpd.conf

9、PS：如果是需要对公网公开，一般需要加白名单，除了需要放开FTP指定的端口之外还需要将最小到最大的限制端口放开，例如这边示例中的TCP 60000-60100端口。

10、配置SSL证书

vim vsftpd.conf 下面的配置加到文件最后面即可 ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO require_ssl_reuse=NO ssl_ciphers=HIGH rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem PS：证书生成命令： openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

配置证书后链接效果图

通过FTP服务器自动备份数据---shell脚本

将FTP服务器上的数据下载至本地并下载完删除文件：

lftp -e "set ssl:verify-certificate false; open -u username,password ftpserveraddress; mirror --Remove-source-files / /data/testtdata; bye"

mirror --Remove-source-files：表示从对端下载文件后将对端的文件删除掉，这里是下载一个文件删除一个问题

ps：这里需要注意密码的格式，尽量不要使用有特殊字符作为密码，不然会出现认证失败的问题，例如下图： 这里将密码改成不包含特殊字符的即可正常连接

如果需要在上述基础上海需要多线程下载，可以加上以下参数 --parallel=n；n是要下载的线程数，建议线程数小于等于10，例如： lftp -e "set ssl:verify-certificate false; open -p 811 -u username,password ftpserveraddress; mirror --parallel=10 --Remove-source-files / /data/testtdata; bye"

将同步下载的进程放到后台运行并将运行的结果输入到ftpdownload1018.txt文件中 nohup lftp -e "set ssl:verify-certificate false; open -u username,password ftp.server.com; mirror --parallel=10 --Remove-source-files / /data/ftpdata1018; bye" > ftpdownload1018.txt 2>&1 &