在远程系统上：

Question 1

我找到了解决方案这一页总结一下，按照上面的配置配置好 sftp 后，需要运行以下两个命令才能在启用 SELinux 的情况下进行访问：

setsebool -P ssh_chroot_rw_homedirs on
restorecon -R /home/$USERNAME

在这种情况下，第二个命令将是restorecon -R /home/pilots。此后，即使在 chrooted 的情况下，sftp 仍可按预期工作，而无需完全禁用 SELinux。

Answer

我找到了解决方案这一页总结一下，按照上面的配置配置好 sftp 后，需要运行以下两个命令才能在启用 SELinux 的情况下进行访问：

setsebool -P ssh_chroot_rw_homedirs on
restorecon -R /home/$USERNAME

在这种情况下，第二个命令将是restorecon -R /home/pilots。此后，即使在 chrooted 的情况下，sftp 仍可按预期工作，而无需完全禁用 SELinux。

Question 2

尾随@ibrewster回答（包括外部资源他链接到的这个页面），这里是来自该外部页面的完整说明，其中有一些附加信息，以使无密码登录和 SELinux 强制执行能够正常工作。

万一将来外部链接的页面消失的话，就在这里重新发布。

这些说明适用于 RHEL7 和 CentOS7（也许还有其他版本）：

在远程系统上：

首先，添加并配置要 chroot 的用户帐户：

请注意外部资源使用了不同的路径sftp-server。请确保您的系统上有正确的路径，否则请做好承受痛苦的准备。;-) 以下路径适用于 RHEL7 和 CentOS7 的最小安装。

# From command line:

groupadd sftponly    
useradd -d /home/$USERNAME -s /usr/libexec/openssh/sftp-server -M -N -g sftponly $USERNAME
mkdir -p /home/$USERNAME/uploads /home/$USERNAME/downloads /home/$USERNAME/.ssh
chown $USERNAME:sftponly /home/$USERNAME/uploads /home/$USERNAME/downloads /home/$USERNAME/.ssh
chown root /home/$USERNAME
chmod 755 /home/$USERNAME
chmod 700 /home/$USERNAME/.ssh
passwd $USERNAME
echo '/usr/libexec/openssh/sftp-server' >> /etc/shells

虽然我在上面设置了密码，但一旦我知道配置有效，我就会使用无密码登录。继续...

假设您已SELinux启用并执行（您应该这样做），发出以下命令以使其正常运行：

setsebool -P ssh_chroot_rw_homedirs on
restorecon -R /home/$USERNAME

现在，编辑 sshd 配置如下：

[root@remote]# vi /etc/ssh/sshd_config
#
# CHANGE lines: 
# 

# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server    # commented out
Subsystem sftp internal-sftp                    # added

#
# ADD the following at the bottom: 
#

Match group sftponly
ChrootDirectory %h
AllowTcpForwarding no
ForceCommand internal-sftp

最后，重启 sshd

[root@remote]# systemctl restart  sshd.service

在客户端系统上

首先在本地创建相同的帐户。

[root@client]# useradd -m $USERNAME
[root@client]# passwd $USERNAME
[root@client]# su $USERNAME

好的，现在让我们设置我们的 RSA 密钥对。

[$USERNAME@client]# ssh-keygen

我无法让 ssh-copy-id 与上面的 chroot 配置一起工作，所以我authorized_keys使用客户端的 id_rsa.pub 文本手动创建了该文件。

[$USERNAME@client]# cat .ssh/id_rsa.pub
---some key here---

然后回到远程系统，

[root@remote]# vi /home/$USERNAME/.ssh/authorized_keys
---past key from right above, then wq---

不要忘记设置此文件的权限：

[root@remote]# chown $USERNAME:sftpusers  /home/$USERNAME/.ssh/authorized_keys

准备测试

现在一切都应该准备就绪了。来自客户：

[$USERNAME@client]# sftp $USERNAME@remote

这应该能帮你进入。如果系统提示你输入密码（我们还没有在远程系统上禁用 PasswordAuthentication），则远程系统存在配置问题。扫描你的 /var/log/secure 以获取详细信息。

如果您登录时没有提示输入密码，则说明您已经基本完蛋了。

回到远程系统：

[root@remote]# vi /etc/ssh/sshd_config
# disable PasswordAuthentication
PasswordAuthentication no

# or optionally, just comment that line out

# PasswordAuthentication no
-- save and exit with :wq --

在远程系统上重新启动 sshd：

[root@remote]# systemctl restart  sshd.service

客户的最终测试

[$USERNAME@client]# sftp $USERNAME@remote
# in like Flynn?  yay!

完成的

你应该准备好chroot sftp和无密码登录（SELinux设置为执行）

Answer

尾随@ibrewster回答（包括外部资源他链接到的这个页面），这里是来自该外部页面的完整说明，其中有一些附加信息，以使无密码登录和 SELinux 强制执行能够正常工作。

万一将来外部链接的页面消失的话，就在这里重新发布。

这些说明适用于 RHEL7 和 CentOS7（也许还有其他版本）：

在远程系统上：

首先，添加并配置要 chroot 的用户帐户：

请注意外部资源使用了不同的路径sftp-server。请确保您的系统上有正确的路径，否则请做好承受痛苦的准备。;-) 以下路径适用于 RHEL7 和 CentOS7 的最小安装。

# From command line:

groupadd sftponly    
useradd -d /home/$USERNAME -s /usr/libexec/openssh/sftp-server -M -N -g sftponly $USERNAME
mkdir -p /home/$USERNAME/uploads /home/$USERNAME/downloads /home/$USERNAME/.ssh
chown $USERNAME:sftponly /home/$USERNAME/uploads /home/$USERNAME/downloads /home/$USERNAME/.ssh
chown root /home/$USERNAME
chmod 755 /home/$USERNAME
chmod 700 /home/$USERNAME/.ssh
passwd $USERNAME
echo '/usr/libexec/openssh/sftp-server' >> /etc/shells

虽然我在上面设置了密码，但一旦我知道配置有效，我就会使用无密码登录。继续...

假设您已SELinux启用并执行（您应该这样做），发出以下命令以使其正常运行：

setsebool -P ssh_chroot_rw_homedirs on
restorecon -R /home/$USERNAME

现在，编辑 sshd 配置如下：

[root@remote]# vi /etc/ssh/sshd_config
#
# CHANGE lines: 
# 

# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server    # commented out
Subsystem sftp internal-sftp                    # added

#
# ADD the following at the bottom: 
#

Match group sftponly
ChrootDirectory %h
AllowTcpForwarding no
ForceCommand internal-sftp

最后，重启 sshd

[root@remote]# systemctl restart  sshd.service

在客户端系统上

首先在本地创建相同的帐户。

[root@client]# useradd -m $USERNAME
[root@client]# passwd $USERNAME
[root@client]# su $USERNAME

好的，现在让我们设置我们的 RSA 密钥对。

[$USERNAME@client]# ssh-keygen

我无法让 ssh-copy-id 与上面的 chroot 配置一起工作，所以我authorized_keys使用客户端的 id_rsa.pub 文本手动创建了该文件。

[$USERNAME@client]# cat .ssh/id_rsa.pub
---some key here---

然后回到远程系统，

[root@remote]# vi /home/$USERNAME/.ssh/authorized_keys
---past key from right above, then wq---

不要忘记设置此文件的权限：

[root@remote]# chown $USERNAME:sftpusers  /home/$USERNAME/.ssh/authorized_keys

准备测试

现在一切都应该准备就绪了。来自客户：

[$USERNAME@client]# sftp $USERNAME@remote

这应该能帮你进入。如果系统提示你输入密码（我们还没有在远程系统上禁用 PasswordAuthentication），则远程系统存在配置问题。扫描你的 /var/log/secure 以获取详细信息。

如果您登录时没有提示输入密码，则说明您已经基本完蛋了。

回到远程系统：

[root@remote]# vi /etc/ssh/sshd_config
# disable PasswordAuthentication
PasswordAuthentication no

# or optionally, just comment that line out

# PasswordAuthentication no
-- save and exit with :wq --

在远程系统上重新启动 sshd：

[root@remote]# systemctl restart  sshd.service

客户的最终测试

[$USERNAME@client]# sftp $USERNAME@remote
# in like Flynn?  yay!

完成的

你应该准备好chroot sftp和无密码登录（SELinux设置为执行）

在远程系统上：

答案1

答案2

在远程系统上：

在客户端系统上

准备测试

回到远程系统：

客户的最终测试

完成的

相关内容