Centos 7 限制使用者群組只能使用sftp到特定目錄

為讓廠商僅能使用SFTP上傳網頁資料，所以希望限制他只能在固定的目錄操作，
所以從SSH上設定特定群組的權限，此功能也可以以限制帳號方式運作。


新增使用者
# adduser webguest

新增webeditor 群組
# groupadd webeditor

將user加入此群組
#  usermod -a -G webeditor webguest

設定要限制的目錄
# chgrp -R webeditor /var/www/html

設定群組讀寫權限
# chmod -R 775 /var/www/html

備份 /etc/ssh/sshd_config
# cp /etc/sshd_config /etc/sshd_config_org

編輯 /etc/ssh/sshd_config

Subsystem       sftp    internal-sftp                                 


Match group webeditor                                            設定webeditor這個群組
         ChrootDirectory /var/www/html                     限制只能在/var/www/html這個目錄
         AllowTcpForwarding no
         X11Forwarding no

         ForceCommand internal-sftp

重啟ssh服務

# service sshd restart

使用winscp測試，無法切換目錄僅能在特定目錄操作，也無法ssh console登入。