Aix 6.1 分离ssh和sftp

目的:为了安全,只充许sftp,不充许ssh

1. 复制 sshd 生成 sftpd 程序
cp /usr/sbin/sshd /usr/sbin/sftpd

2.基于sshd服务生成sftpd服务
lssrc -S -s sshd
#subsysname:synonym:cmdargs:path:uid:auditid:standin:standout:standerr:action:multi:contact:svrkey:svrmtype:priority:signorm:sigforce:display:waittime:grpname:
sshd::-D:/usr/sbin/sshd:0:0:/dev/console:/dev/console:/dev/console:-R:-Q:-S:0:0:20:15:9:-d:20:ssh:

生成
mkssys -p "/usr/sbin/sftpd" -s sftpd -u 0 -a "-D -f /etc/ssh/sftpd_config" -e /dev/console -i /dev/console -o /dev/console -R -Q -S -f 9 -n 15 -E 20 -G sftp -d -w 20


3. 基于/etc/ssh/sshd_config拷贝获得/etc/ssh/sftpd_config 并编辑:
cp  /etc/ssh/sshd_config   /etc/ssh/sftpd_config
vi   /etc/ssh/sftpd_config

Port 2222

在最后面配如下,开启内部sftp,并强制只使用sftp,不充许使用ssh:
# override default of no subsystems
#Subsystem sftp /usr/sbin/sftp-server
Subsystem sftp internal-sftp
ForceCommand internal-sftp  

4. 查看sftpd 服务配置
lssrc -S -s sftpd

显示如下:
#subsysname:synonym:cmdargs:path:uid:auditid:standin:standout:standerr:action:multi:contact:svrkey:svrmtype:priority:signorm:sigforce:display:waittime:grpname:
sftpd::-D -f /etc/ssh/sftpd_config:/usr/sbin/sftpd:0:0:/dev/console:/dev/console:/dev/console:-R:-Q:-S:0:0:20:15:9:-d:20:sftp:

5.设置sftpd默认启动
拷贝sshd开机启动脚本,生成sftpd的开机启动脚本:
cp /etc/rc.d/rc2.d/Ssshd /etc/rc.d/rc2.d/Ssftpd

vi   /etc/rc.d/rc2.d/Ssftpd
修改如下:

#!/bin/ksh

##################################################
# name: Ssftpd
# purpose: script that will start or stop the sshd daemon.
##################################################

case "$1" in
start )
startsrc -g sstp
;;
stop )
stopsrc -g ssftp
;;
* )
echo "Usage: $0 (start | stop)"
exit 1
esac

 

6. 为了安全审计,分离ssh和sftp后,可以将ssh默认的22端口上的sftp服务关闭,

关闭方法如下:
将系统sshd服务中的sftp服务注释掉:

vi /etc/ssh/sshd_config
# override default of no subsystems
#Subsystem sftp /usr/sbin/sftp-server 

7.启动 sftpd
当前环境可以startsrc -g sftp手工启动sftpd进程,
后续系统会根据Ssftpd脚本自行启动sftp服务:
startsrc -g sftp
stopsrc -g sftp

查看启动的服务:
netstat -Aan|grep 2222

8.测试指定端口连接sftp:

sftp -o port=2222 192.168.1.55

或:
sftp -P 2222 192.168.1.55

Done


参考:
https://zhuanlan.zhihu.com/p/143324597
https://www.freebuf.com/articles/system/183983.html

posted @ 2021-04-25 13:54  莫让年华付水流  阅读(657)  评论(0编辑  收藏  举报