Linux下限制用户通过SFTP访问指定目录

1、需求说明：
在一些生产环境中，有部分运营人员需要批量下载并上传专题，配置FTP服务进行权限控制相对比较复杂，也存在安全隐患，为了不让用户浏览除指定目录外得内容，我们可以通过SFTP限制允许访问得目录
2、创建系统用户

# useradd admin && echo 'admin123' | passwd --stdin admin

3、配置sftp的账户权限
修改文件/etc/ssh/sshd_config之前先备份文件cp sshd_config{,.bak}
Subsystem sftp internal-sftp
Match User admin # 需要限制得用户admin
ChrootDirectory /data/www/Appcode # 允许admin用户访问得指定目录
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
效果如图所示：

4、设置允许用户访问目录的权限
Sftp用户访问目录需要设置所有者和所属组的权限均为root，并设置目录的权限为755

# chown -R root:root /data/www/Appcode/
# chmod 755 /data/www/Appcode/
# /etc/init.d/sshd restart

5、通过重新启动SSHD后我们通过SFTP连接服务器

登录后的目录定位到了指定的目录"/data/www/Appcode"目录，不能浏览系统的其他目录，也不能切换目录，用户可正常浏览下载目录中的文件，但是用户无法上传文件。即使在/data/www/Appcode/下属主为admin的目录，用户也无法上传。此时需要在/data/www/Appcode/下建立属主属组为admin的目录，并给/data/www/Appcode目录设置acl权限即可

# mkdir /data/www/Appcode/test
# chown admin:admin /data/www/Appcode/test
# setfacl -m u:admin:rwx /data/www/Appcode

6、setfacl报错Operation not supported
setfacl: /data/www/Appcode: Operation not supported
一般情况下(ext4),默认acl支持都是加载的.但如果遇到二般情况,文件系统加载时没有指定acl.我们可以能过编辑/etc/fstab文件，找到对应得分区指定acl权限，然后重新挂载分区即可。

# mount -o remount /data
# setfacl -m u:admin:rwx /data/www/Appcode