Ubuntu SFTP如何防范恶意攻击
导读:Ubuntu SFTP 防范恶意攻击的实用方案 一 基础加固 保持系统与安全组件更新:定期执行 apt update && apt upgrade,及时修补 OpenSSH 漏洞。 仅使用 SFTP 子系统:在 /etc/...
Ubuntu SFTP 防范恶意攻击的实用方案
一 基础加固
- 保持系统与安全组件更新:定期执行 apt update & & apt upgrade,及时修补 OpenSSH 漏洞。
- 仅使用 SFTP 子系统:在 /etc/ssh/sshd_config 设置 Subsystem sftp internal-sftp,避免外部 sftp-server 可执行文件路径被篡改的风险。
- 强制仅 SFTP、禁用危险通道:对 SFTP 用户组配置 ForceCommand internal-sftp、AllowTcpForwarding no、X11Forwarding no、PermitTunnel no,阻断端口转发、X11 隧道与隧道功能。
- 目录隔离与权限最小化:用 ChrootDirectory 将用户限制在其根目录;该根目录必须由 root:root 拥有且权限 755,可写目录放到子目录(如 uploads)并交给相应用户。
- 认证策略:优先使用 SSH 密钥登录,在 /etc/ssh/sshd_config 中启用 PubkeyAuthentication yes、禁用 PasswordAuthentication(或至少设置 PasswordAuthentication no 并配合密钥)。
- 防火墙最小化暴露:仅开放 22/TCP,如条件允许仅允许受信任网段访问(例如使用 UFW 或云安全组白名单)。
二 认证与会话安全
- 强制密钥认证并禁用密码:在 sshd_config 中设置 PubkeyAuthentication yes、PasswordAuthentication no,为每个 SFTP 用户部署 4096 位 RSA 或 Ed25519 密钥,私钥妥善保管并设置 600 权限。
- 限制登录 Shell:为 SFTP 用户设置 /usr/sbin/nologin 或 /bin/false,避免获得交互式 shell。
- 精细化访问控制:在 Match Group sftpusers 段集中配置 ChrootDirectory、ForceCommand、AllowTcpForwarding、X11Forwarding、PermitTunnel,确保策略统一且不可绕过。
- 登录失败处置:部署 fail2ban,启用对 sshd 的监控与自动封禁,缓解暴力破解。
- 配置变更安全:修改 /etc/ssh/sshd_config 后先执行 sshd -t 校验语法,再重启服务,避免锁死风险。
三 目录结构与权限模板
- 推荐的目录与权限(示例用户 sftpuser,组 sftpusers):
- 根目录:/home/sftpuser(root:root,755,不可写)
- 可写目录:/home/sftpuser/uploads(sftpuser:sftpusers,755/700 视业务而定)
- 配置要点:
- ChrootDirectory 指向用户根目录(如 %h 或 /home/%u),该目录及上级目录必须 root 拥有且 755,否则 internal-sftp 会拒绝登录。
- 如需默认进入上传目录,可在 ForceCommand internal-sftp -d /uploads 指定。
- 示例命令:
- 创建用户与组:sudo groupadd sftpusers;sudo useradd -m -d /home/sftpuser -s /usr/sbin/nologin -G sftpusers sftpuser
- 设置目录与权限:
- sudo chown root:root /home/sftpuser & & sudo chmod 755 /home/sftpuser
- sudo mkdir -p /home/sftpuser/uploads
- sudo chown sftpuser:sftpusers /home/sftpuser/uploads & & sudo chmod 755 /home/sftpuser/uploads
- 注意:切勿给 Chroot 根目录 任何用户写权限,否则登录会失败。
四 网络与入侵防护
- 端口与来源控制:仅开放 22/TCP,在边界防火墙或 UFW 中限制为受信任 IP/网段 访问。
- 入侵检测与审计:启用 fail2ban 自动封禁;持续监控 /var/log/auth.log 的 sshd 日志,关注失败登录、异常 IP、异常时段与频繁连接等迹象。
- 定期巡检与基线化:定期更新系统、检查 sshd_config 变更、核对用户与密钥、清理不再使用的账号与目录。
五 快速配置清单
- 安装与启动:sudo apt update & & sudo apt install -y openssh-server;sudo systemctl enable --now ssh。
- 创建用户与组:sudo groupadd sftpusers;sudo useradd -m -d /home/sftpuser -s /usr/sbin/nologin -G sftpusers sftpuser。
- 目录与权限:root 拥有 /home/sftpuser(755);mkdir /home/sftpuser/uploads;chown sftpuser:sftpusers(755/700)。
- 配置 /etc/ssh/sshd_config(示例片段):
- Subsystem sftp internal-sftp
- Match Group sftpusers
- ChrootDirectory %h
- ForceCommand internal-sftp -d /uploads
- AllowTcpForwarding no
- X11Forwarding no
- PermitTunnel no
- PubkeyAuthentication yes
- PasswordAuthentication no
- 校验与生效:sshd -t & & sudo systemctl restart ssh。
- 防火墙与防护:sudo ufw allow 22/tcp;sudo apt install -y fail2ban & & sudo systemctl enable --now fail2ban。
- 客户端测试:sftp sftpuser@your_server_ip,确认仅能访问 /uploads 且无法获得 shell。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu SFTP如何防范恶意攻击
本文地址: https://pptw.com/jishu/753738.html