OpenSSH：内部 sftp 和 sftp 服务器之间的区别

两者都是 OpenSSH 的一部分sftp-server。internal-sftp这sftp-server是一个独立的二进制文件。这internal-sftp只是一个配置关键字，它告诉sshd使用内置于 中的 SFTP 服务器代码sshd，而不是运行另一个进程（通常是sftp-server）。

与独立二进制文件相比，它的internal-sftp添加要晚得多（2008 年的 OpenSSH 4.9p1？） 。sftp-server但它现在是默认值。现在sftp-server是多余的，可能是为了向后兼容而保留的。

我相信没有理由将其sftp-server用于新安装。

从功能的角度来看，sftp-server和internal-sftp几乎相同。它们是从相同的源代码构建的。

的主要优点是，它与指令internal-sftp一起使用时不需要支持文件。ChrootDirectory

sshd_config(5)手册页中的引用：

• 对于Subsystem指令：

  该命令sftp-server实现 SFTP 文件传输子系统。

  或者，该名称internal-sftp实现了一个进程内 SFTP 服务器。这可以简化ChrootDirectory用于在客户端上强制使用不同的文件系统根的配置。

• 对于ForceCommand指令：

  指定命令internal-sftp将强制使用进程内 SFTP 服务器，该服务器在与ChrootDirectory.

• 对于ChrootDirectory指令：

  ChrootDirectory必须包含支持用户会话所需的文件和目录。对于交互式会话，这至少需要一个外壳，通常是sh，以及基本/dev节点，例如null、zero、stdin、stdout、stderr和tty设备。对于使用 SFTP 的文件传输会话，如果使用进程内 sftp-server，则不需要额外的环境配置，尽管/dev/log在某些操作系统上使用日志记录的会话可能需要在 chroot 目录中（详情请参阅sftp-server）。

的另一个优点internal-sftp是性能，因为不需要为它运行新的子流程。

看起来 ,遇到 , 时sshd会自动使用, 因为功能是相同的 ,甚至具有上述优点。但也有一些极端情况，其中存在差异。internal-sftpsftp-serverinternal-sftp

几个例子：

• 管理员可以依靠登录 shell 配置来阻止某些用户登录。切换到internal-sftp将绕过限制，因为不再涉及登录 shell。

• 使用sftp-server二进制文件（作为一个独立进程），您可以使用一些技巧，例如在sudo.

• 对于 SSH-1（如果有人仍在使用它），Subsystem根本不涉及指令。使用 SSH-1 的 SFTP 客户端明确告诉服务器服务器应该运行什么二进制文件。因此，旧版 SSH-1 SFTP 客户端的sftp-server名称是硬编码的。

存在可以与 OpenSSH 一起使用的替代 SFTP 实现：

• http://www.greenend.org.uk/rjk/sftpserver/
• https://github.com/mysecureshell/mysecureshell

您可以将授权密钥锁定到外部 sftp 服务器。

command="/usr/libexec/openssh/sftp-server" ssh-rsa AAAA...== [email protected]

当您这样做时，您的用户可以 sftp，但不能 scp 或 ssh：

$ sftp 主机：/etc/group /tmp
正在连接主机...
获取 /etc/group 到 /tmp/group
/etc/group 100% 870 0.9KB/s 00:00

尝试做任何其他事情只会挂起：

$ scp 主机：/etc/group /tmp
被信号2杀死。

$ ssh 主机正常运行时间
被信号2杀死。

唉，除非修改了 sshd_config，否则没有简单的方法可以将密钥锁定到 chroot。对于用户来说，无需系统管理员的干预就能够做到这一点真的很酷。

如果您只想锁定一个帐户以仅使用 SFTP，只需为其帐户提供默认 shell /sbin/nologin