之前我服务器是使用的Windows Server 2003，这段时间由于访问量变大我还是机智的换成Linux了，在搭建FTP的时候看到网上都是推荐vsftpd，不过我不推荐这个家伙，看官且看下文。

我推荐使用SSH自带的SFTP，SFTP是Secure File Transfer Protocol的缩写，安全文件传送协议。SFTP使用加密传输认证信息和传输的数据，所以使用SFTP是非常安全的。SFTP之于FTP可以理解为Https之于Http，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。

**本文最终的效果：**在Linux下建立sftp-users用户组，在该组下建多个用户，禁止该组所有用户ssh远程登录服务器，但是允许该组所有用户登录sftp，并只能访问自己的目录及子目录中的文件。

本文以admin用户为例，下面出现的admin均指该用户或者该用户目录。

---

安装ssh和openssh-sftp-server

其实Linux发行版基本都是安装了OpenSSH的，不过我们这里还是确认一下是否安装，
一般我们需要安装openssh-server、openssh-sftp-server，所以我们检查是否安装了SSH。

• Ubuntu检查是否安装了OpenSSH

dpkg --get-selections | grep openssh

• CentOS检查是否安装了OpenSSH

# 以yum方式安装的：
yum list installed openssh

# 以rpm包安装的：
rpm -qa | grep openssh

# 以deb包安装的：
dpkg -l | grep openssh

---

如果已经三个包都安装了，那么你的命令行该是如下：

openssh-server              installed
openssh-sftp-server         installed
...

哪个没有打印就是没有安装，安装即可。

• Ubuntu 安装，依次执行以下命令，install后面只写没有安装的包名即可

sudo apt-get update
sudo apt-get install openssh-client openssh-server openssh-sftp-server

• CentOS 安装，install后面只写没有安装的包名即可

sudo yum install openssh-client openssh-server openssh-sftp-server

如果都是安装的，我们需要保证OpenSSH的版本不得低于4.8，因为我们要用ChrootDirectory配置用户访问目录，所以检查下SSH的版本，执行命令ssh -V会打印出如下版本信息：

OpenSSH_6.6.1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f...

如果SSH的版本低于4.8，需要升级。

• Ubuntu升级SSH

sudo apt-get update
sudo apt-get install openssh-server

• CentOS升级SSH

sudo yum update -y openssh-server

建立用户组和用户

我们要建立一个专门管理sftp用户的用户组，方便我们管理权限。
1、建立一个名为sftp-users的sftp用户组

sudo groupadd sftp-users

2、在该组建立几个需要登录sftp的用户

新建用户名为admin的用户：

sudo useradd -g sftp-users -m admin

修改admin的密码：

passwd admin

然后连续两次输入你要给该用户设置的密码即可。

3、如果该用户已存在，但是不在sftp-users组中，可以移动用户到改组

usermod –g sftp_users admin

配置ssh和权限

1、打开/etc/ssh/sshd_config文件

2、修改X11Forwarding的值为no，原来可能是：X11Forwarding yes，现在修改为X11Forwarding no，如果X11Forwarding不存在，就在文件最后添加上面的代码。
修改AllowTcpForwarding的值为no，原来可能是AllowTcpForwarding yes，现在修改为AllowTcpForwarding no，如果AllowTcpForwarding不存在，就在文件最后添加上面的代码。

3、修改Subsystem sftp为internal-sftp

Subsystem sftp /usr/libexec/openssh/sftp-server
# 或者
Subsystem sftp /usr/lib/openssh/sftp-server

现在修改为：

Subsystem sftp internal-sftp

4、在文件末尾增加内容

Match Group sftp-users
    ChrootDirectory %h
    ForceCommand internal-sftp

• Match Group sftp-users这一行是指定以下的子行配置是匹配sftp-users用户组的，多个用户组用英文逗号分隔。
• ChrootDirectory %h该行指定Match Group行指定的用户组验证后用于chroot环境的路径，也就是默认的用户目录，比如/home/admin；也可以写明确路径，例如/data/www。
• ForceCommand internal-sftp该行强制执行内部sftp，并忽略任何~/.ssh/rc文件中的命令。

这里要特别注意，因为ChrootDirectory %h模式，所以我们等下要设置sftp-users中的所有用户的用户目录权限为root拥有，否则sftp-users组中的用户无法用sftp登录。

修改sftp-users用户组用户目录权限

上面说了，因为使用了ChrootDirectory %h，现在来修改权限。

1、修改权限为root用户拥有

chown root /home/admin

2、修改权限为root可读写执行，其它用户可读

chmod 755 /home/admin

3、重启ssh，登录sftp

sudo service ssh restart

现在就可以使用sftp登录了，但是我们发现，我们不能上传文件，那是因为登录后默认是用户目录，比如/home/admin，但是该目录是root用户拥有，因此我们还要修改权限。

注意：centos7重启ssh的命令是sudo systemctl restart sshd.service，另外可以设置ssh为开机启动，命令是sudo systemctl enable sshd.service。

4、在用户目录下建立子目录，让sftp-users中的用户可读写文件
我们现在在/home/admin目录下新建一个upload文件夹：

cd /home/admin/
mkdir upload

5、授权upload文件夹读写
让子文件夹upload属于admin

chown admin /home/admin/upload

让子文件夹upload被admin读写

chmod 755 /home/admin/upload

重启ssh，登录sftp

现在全部都配置完了，如果在上面第三步没有重启ssh的话，现在重启后既可以登录使用了。

sudo service ssh restart

centos7.x的系统如果执行上面这个命令提示不存在，执行：

sudo systemctl restart sshd

Windows登录sftp推荐使用WinScp，Linux用命令即可，Mac推荐使用Yummy FTP。

---

本文转自 https://blog.csdn.net/yanzhenjie1003/article/details/70184221?spm=1001.2014.3001.5501，如有侵权，请联系删除。