确保用户只能通过 SSH 连接到指定的端口

我不建议为用户指定端口。端口映射到服务。通常，用户会映射到主目录和附加到 ACL 的组，以确保用户对所需文件夹具有权限。为了提高安全性，您可以在 SSH 上对用户使用公钥身份验证，因此用户必须生成公钥和私钥才能连接。

并且您不能在两个端口上运行像 SSH 这样的服务。

如果用户始终从相同的 IP 和位置访问，您可以在 iptables 或另一个防火墙中设置一个列表，以允许用户连接的 IP，但这也不是理想的解决方案（可能被威胁行为者伪造）。

幸运的是，由于 test_sftp 用户位于不同的 IP 上，因此我可以在防火墙上设置单独的 NAT 规则。我已将两个规则设置如下：

• 源IP：203.12.63.32/27，外部端口：22，内部IP：192.168.1.20，端口：22
• 源IP：101.168.167.33/32，外部端口：8822，内部IP：192.168.1.20，端口：8822

在这种情况下，这种方法是可行的，但如果由于某种原因，IP 碰巧相同，那么这种方法就行不通。

这是用于添加无法 SSH 或登录物理服务器的新 SFTP 用户的脚本。

PASSWD=''
USERNAME='test_sftp'

useradd $USERNAME
echo $PASSWD | passwd test_sftp --stdin
chsh -s /bin/false $USERNAME
mkdir /home/$USERNAME/.ssh
chmod 700 /home/$USERNAME/.ssh
touch /home/$USERNAME/.ssh/authorized_keys
chmod 600 /home/$USERNAME/.ssh/authorized_keys
chown -R $USERNAME:$USERNAME /home/$USERNAME/.ssh

mkdir -p /home/sftp/$USERNAME/uploads
mkdir -p /home/sftp/$USERNAME/downloads
chown root:root /home/sftp
chown root:root /home/sftp/$USERNAME
chown $USERNAME:$USERNAME /home/sftp/$USERNAME/uploads
chown $USERNAME:$USERNAME /home/sftp/$USERNAME/downloads

修改/etc/ssh/sshd_config文件，内容如下：

vim /etc/ssh/sshd_config

Port 22
Port 8822

PermitRootLogin no
PubkeyAuthentication no
PasswordAuthentication no

Subsystem sftp internal-sftp

AllowUsers nagios user1 test_sftp

# Normal SSH and SFTP users
Match User nagios
    PasswordAuthentication no
    PubkeyAuthentication yes

Match User user1
    PasswordAuthentication yes
    PubkeyAuthentication no

# Jailed SFTP users
Match User test_sftp
    PasswordAuthentication no
    PubkeyAuthentication yes

Match LocalPort 8822
    ChrootDirectory /home/sftp/%u
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp