在CentOS上配置SFTP证书认证可以增强系统的安全性。以下是一个详细的步骤指南,帮助你在CentOS上配置SFTP证书认证:
首先,确保你的系统已经安装了OpenSSH服务器和客户端。
sudo yum install openssh-server openssh-clients
创建一个CA(证书颁发机构)来签发用户证书。
sudo openssl genrsa -out ca.key 4096
sudo openssl req -x509 -new -nodes -key ca.key -sha256 -days 1024 -out ca.crt -subj "/C=US/ST=YourState/L=YourCity/O=YourOrganization/CN=YourCAName"
为每个用户生成证书和私钥。
sudo openssl genrsa -out user.key 2048
sudo openssl req -new -key user.key -out user.csr -subj "/C=US/ST=YourState/L=YourCity/O=YourOrganization/CN=username"
sudo openssl x509 -req -in user.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out user.crt -days 500 -sha256
编辑SSH服务器配置文件 /etc/ssh/sshd_config。
sudo vi /etc/ssh/sshd_config
添加或修改以下配置:
# 启用证书认证
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/ssh-authorizedkeys
AuthorizedKeysCommandUser nobody
# 禁用密码认证(可选)
PasswordAuthentication no
# 指定证书认证的路径
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
创建一个专门用于SFTP的用户组,并将用户添加到该组。
sudo groupadd sftpusers
sudo usermod -aG sftpusers username
创建一个目录来存储用户的授权密钥,并设置适当的权限。
sudo mkdir /home/username/.ssh
sudo chown username:username /home/username/.ssh
sudo chmod 700 /home/username/.ssh
将用户的公钥(user.crt)添加到 ~/.ssh/authorized_keys 文件中。
sudo echo "certificate user.crt" >> /home/username/.ssh/authorized_keys
sudo chmod 600 /home/username/.ssh/authorized_keys
创建一个脚本来获取用户的授权密钥。
sudo vi /usr/local/bin/ssh-authorizedkeys
添加以下内容:
#!/bin/bash
USER=$1
openssl x509 -noout -subject -in /home/$USER/.ssh/user.crt | awk -F'/' '{print $3}' | tr -d '\n'
赋予脚本执行权限:
sudo chmod +x /usr/local/bin/ssh-authorizedkeys
重启SSH服务以应用配置更改。
sudo systemctl restart sshd
使用SFTP客户端连接到服务器,验证证书认证是否正常工作。
sftp -o HostKeyAlias=username username@your_server_ip
通过以上步骤,你应该能够在CentOS上成功配置SFTP证书认证。确保所有步骤都正确执行,并且防火墙允许SSH连接。
