SFTP配置CentOS要注意什么

1. OpenSSH版本要求
确保OpenSSH服务器版本至少为4.8p1，因为较新版本才支持ChrootDirectory等关键安全特性，旧版本可能无法正常配置SFTP限制。

2. 配置文件关键参数设置
编辑/etc/ssh/sshd_config文件，需重点调整以下参数：

• 启用internal-sftp子系统：用Subsystem sftp internal-sftp替代默认的/usr/libexec/openssh/sftp-server，提升性能（internal-sftp在chroot环境下无需额外进程）；
• 限制用户组：通过Match Group sftpusers指定允许使用SFTP的用户组，后续配置仅对该组生效；
• 强制chroot：添加ChrootDirectory %h，将用户限制在其主目录（%h为用户主目录占位符），防止访问系统其他路径；
• 禁用不必要的转发：设置AllowTcpForwarding no和X11Forwarding no，关闭端口转发和X11图形转发，减少攻击面；
• 禁止root登录：添加PermitRootLogin no，避免root用户通过SFTP直接登录，降低权限滥用风险。

3. 用户与组管理规范

• 创建专用SFTP组：使用groupadd sftpusers创建专门的用户组（如sftpusers），避免与其他用户混淆；
• 添加用户并设置Shell：创建用户时添加到该组（useradd -G sftpusers -s /sbin/nologin username），并通过passwd username设置强密码（复杂度包含大小写字母、数字和符号，长度不低于8位）；
• 禁止登录Shell：将用户的Shell设置为/sbin/nologin，防止用户通过SSH终端登录，仅允许SFTP访问。

4. 目录权限严格配置

• chroot目录权限：用户主目录（如/home/username）及其所有上级目录的属主必须为root，属组可为root或sftpusers，权限设置为755（drwxr-xr-x），确保用户无法修改目录结构；
• 用户可写子目录：在用户主目录下创建专门用于上传的子目录（如upload），并设置chown username:sftpusers upload（属主为用户自身，属组为sftpusers）和chmod 755 upload（或775，若需组内用户写入），允许用户上传文件。

5. SELinux配置适配
若系统启用SELinux（默认Enforcing模式），需调整策略以允许SFTP访问：

• 临时测试：执行setenforce 0将SELinux设为Permissive模式，验证SFTP是否正常工作；
• 永久修改：编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=permissive（需重启系统生效）；
• 或添加针对性策略：使用semanage fcontext -a -t sftp_chroot_t "/path/to/chroot(/.*)?"和restorecon -Rv /path/to/chroot设置正确的SELinux上下文。

6. 防火墙端口放行
确保防火墙允许SSH（默认端口22）流量通过，执行以下命令：
firewall-cmd --permanent --add-service=ssh（永久添加SSH服务）
firewall-cmd --reload（重新加载防火墙规则）
若使用iptables，需添加-A INPUT -p tcp --dport 22 -j ACCEPT规则。

7. 日志记录与监控
启用详细日志以跟踪SFTP活动，便于安全审计：

• 修改/etc/rsyslog.conf文件，添加local0.* /var/log/sftp.log（将SFTP日志定向到单独文件）；
• 重启rsyslog服务：systemctl restart rsyslog；
• 定期检查/var/log/secure（系统认证日志）或/var/log/sftp.log，关注异常登录（如多次失败尝试）或未授权访问。

8. 安全增强措施

• 使用密钥认证：禁用密码认证（PasswordAuthentication no），启用公钥认证（PubkeyAuthentication yes），为用户生成SSH密钥对（ssh-keygen -t rsa），将公钥（id_rsa.pub）添加到用户主目录的~/.ssh/authorized_keys文件中，提升认证安全性；
• 定期更新维护：定期执行yum update openssh-server更新SSH软件包，及时修复安全漏洞；
• 备份重要数据：定期备份用户主目录及配置文件（如/etc/ssh/sshd_config），防止数据丢失或配置错误导致的不可用。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！