需要在CentOS系统的服务器上创建sftp账号，但出于安全须限制此账号不能ssh登录，且仅能访问工作目录，即设置数据上传路径为根目录。

环境说明

• sftp用户为：sftpuser1
• sftp用户组为：sftp
• 数据上传目录为：/data/test_dir

修改sshd配置文件

vim /etc/ssh/sshd_config

```
#注释下面这行
#Subsystem sftp /usr/lib/openssh/sftp-server

#添加以下几行
Subsystem sftp internal-sftp 
Match group sftp
#Match user sftpuser1
#匹配整个sftp组，如仅设置单个用户可用：Match user 用户名;
ChrootDirectory /data/test_dir
#指定用户被锁定到的那个目录，为了能够chroot成功，该目录必须属主是root，并且其他用户或组不能写
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

添加用户组和用户

添加用户组：

groupadd sftp

添加用户：

useradd -d /data/test_dir -m -s /bin/false -g sftp sftpuser1

修改密码：

echo "123456passwd" |passwd --stdin sftpuser1

配置数据目录权限

对数据目录需要遵循的权限规则为：

• ChrootDirectory设置的目录权限及其所有的上级文件夹权限，属主和属组必须是root
• ChrootDirectory设置的目录权限及其所有的上级文件夹权限，只有属主能拥有写权限，权限最大设置只能是755

即，修改/data/test_dir目录权限为755，且应确保其上级目录属主属组均为root：

chmod 755 /data/test_dir -R

重启sshd服务

systemctl restart sshd