如何在 Amazon EC2 Centos 上添加对“/var/www/html/website_abc”文件夹具有 SFTP/FTP 访问权限的用户？

默认情况下，提供远程 shell（例如 ssh 或 telnet）或用于命令（例如 sftp）的交互式远程会话的服务允许本地用户更改到他们有权限的任何目录，并检索他们有权访问的任何文件的副本。

作为一般的安全配置，这是很不幸的，因为有许多文件和目录是必需的，可供所有人读取。例如，我是某个远程 CentOS 机器上的非 root 用户；

$ cd /etc
-bash-3.2$ ls -1
acpi
adjtime
aliases
...

例如，我可以访问很多东西，理想情况下，您希望限制某些未知用户的访问，以便向其提供本地访问权限。

这是我查看文件中配置的所有本地用户/etc/passwd；

$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...

Unix 系统提供了chroot命令，允许您将/用户重置到文件系统层次结构中的某个目录，在该目录中他们无法访问“更高级”的文件和目录。

但是，对于您而言，提供由远程 shell 服务实现的虚拟 chroot 是合适的。可以使用以下配置轻松配置 sftp，以将本地用户限制到文件系统的特定子集：

因此，就您而言，您希望将chroot用户adeveloper进入/var/www/html/website_abc目录。

您可以为您的用户设置一个 chroot 目录，以将他们限制在子目录中，/var/www/html/website_abc就像这样/etc/ssh/sshd_config；

这个东西需要 4.8 以上的 openssh-server？所以可能需要 CentOS 6.2

Match Group sftp
    ChrootDirectory %h
    AllowTcpForwarding no

（未经测试，请查看man sshd_config以确认语法）

然后将这些用户添加到 sftp 组；

 groupadd sftp
 usermod -d /var/www/html/website_abc adeveloper
 usermod -G sftp adeveloper

关于共享密钥

您应该为 adeveloper 用户创建一个额外的密钥对，并将其发送给您的顾问。（或者，让他们向您发送他们的公钥并将其添加到 authorized_keys 文件中adeveloper）

永远不要放弃你的私钥，这就是为什么它被称为私钥；-)

传统 FTP 替代方案

vsftp/proftp 等也支持 chroot 配置，但在现代，基于 ssh 的配置是正常方式，对 ftp 的支持仅限于历史。

这里有几个教程链接；
http://www.techrepublic.com/blog/opensource/chroot-users-with-openssh-an-easier-way-to-confine-users-to-their-home-directories/229

http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny