怎样限制SFTP用户访问目录

怎样限制SFTP用户访问目录

在服务器管理中，限制SFTP用户只能访问特定目录，是保障数据安全和系统隔离的常规操作。具体怎么做？其实有两个主流且可靠的方法，可以根据你的管理精细度来选择。

1. 使用chroot环境

最经典、最彻底的方法，就是利用OpenSSH内置的chroot功能。这相当于为用户建立一个“监狱”，将其文件操作范围完全锁定在其主目录内，无法越界。配置起来并不复杂，跟着下面几步走就行。

第一步，创建专用的用户组。 好的管理习惯是从分组开始。我们先创建一个专门用于SFTP限制的组，比如叫 sftp_users。

sudo groupadd sftp_users

第二步，创建用户并归组。 接下来，新建用户并将其加入这个组，同时别忘了设置密码。

sudo useradd -m -G sftp_users your_username
sudo passwd your_username

第三步，关键配置。 打开SSH服务器的配置文件 /etc/ssh/sshd_config，在文件末尾添加或修改以下段落。这段配置的意思是：匹配到 sftp_users 组的用户，强制其根目录切换到自己的主目录（%h），并且只能使用内部SFTP，禁止任何端口转发和X11转发。

Match Group sftp_users
    ChrootDirectory %h
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

第四步，重启生效。 保存配置后，重启SSH服务让改动生效。

sudo systemctl restart ssh

完成以上步骤后，属于 sftp_users 组的用户通过SFTP登录，就会发现自己的“根目录”其实就是系统上的个人主目录，无法再向上或向其他目录浏览了。这是一种非常清晰有效的隔离方式。

2. 使用文件系统的访问控制列表（ACL）

如果chroot的环境隔离对你来说“力道”过猛，你只是希望精细控制用户对某些特定文件夹的读写权限，那么文件系统的访问控制列表（ACL）会是更灵活的工具。它允许你超越传统的“用户-组-其他”权限模型，进行更细致的授权。

首先，确保系统支持。 通常ACL工具需要单独安装（部分系统已预装）。在基于Debian/Ubuntu的系统上，可以这样安装：

sudo apt-get install acl

然后，进行权限分配。 假设你想让用户 your_username 对 /path/to/your/directory 目录拥有完整的读写执行权限，可以运行：

sudo setfacl -R -m u:your_username:rwx /path/to/your/directory

这里的 -R 表示递归到子目录，-m 表示修改ACL条目。

更进一步， 你还可以同时设置其他用户（非所有者、非所属组）的默认权限为只读，实现多层控制：

sudo setfacl -R -m o::r /path/to/your/directory

这样一来，你就实现了“用户A可读写，其他所有人只能读”的复杂场景。ACL的优势在于，它不需要改变用户的根目录环境，而是在现有文件系统结构上叠加了一层更精细的权限网。

话说回来，两种方法各有适用场景：追求绝对隔离和简单管理，选chroot；需要复杂、灵活的目录权限共享，选ACL。实际应用中，务必根据你的具体需求来选择和调整，并且始终牢记最小权限原则，这可是服务器安全的最佳实践基石。