我想知道如何通过 SSH 禁用某个用户的 sftp 或 FTP 访问。我发现很多文章都描述了如何在没有 SSH 访问的情况下启用 sftp,但遗憾的是没有关于如何执行相反操作的文章。
答案1
也许您可以更详细地解释您想要什么?如果您告诉我们您的系统现在允许什么(哪些传输程序可用/正在运行),以及哪些用户权限仍被允许以及哪些将被拒绝,我们可以提供帮助。
我在旧帖子中发现了类似您的问题。这是正确的,但用户说 SSD 匹配配置停止工作
https://serverfault.com/questions/290843/how-to-disable-sftp-for-some-users-but-keep-ssh-enabled
那里的答案支持了我的第一反应:拥有帐户和 SSH 访问权限的用户具有文件传输能力,对此无能为力。
您可以尝试另一个匹配组示例。
https://passingcuriosity.com/2014/openssh-restrict-to-sftp-chroot/
请注意,最后一个是在 internal-sftp 设计更改之后,因此令人鼓舞。这是朝着同一方向发展的:
http://blog.mesouug.com/2014/06/30/centos-ssh-disable-scp-and-sftp-for-some-users/
这篇 2016 年的文章指出,针对特定用户的拒绝主机列表将在 sshd_config 中起作用。
https://unix.stackexchange.com/questions/266413/how-to-disable-sftp-for-a-user-but-keep-ftp-enabled
我担心。如果你允许你想要控制的这些用户通过端口 22 登录,那么此后似乎很难/不可能控制上传。他们可以从系统内部使用 scp。如果你有 ftp,他们可以使用 ftp。他们可能也会找到在 Web 浏览器中执行此操作的方法。
这篇 2013 年的帖子说他替换了用户 shell 来限制 ftp
https://fatmin.com/2013/11/25/disable-ssh-for-sftp-users-in-unix-and-linux/
但在我看来,一个有决心的用户可能会绕过它。如果你的系统安装了哪怕是几个方便的程序,聪明的用户就会传输文件。