SFTP在CentOS中的安全策略有哪些

CentOS 上 SFTP 的安全策略清单

一 身份与认证加固

• 禁用 root 直接登录：设置 PermitRootLogin no，避免高权限账户被暴力尝试。
• 优先使用 SSH 密钥认证，必要时再禁用密码：设置 PasswordAuthentication no，并为用户配置 ~/.ssh/authorized_keys（权限 600，目录 700）。
• 可选：仅允许指定用户登录（如 AllowUsers sftpuser），缩小攻击面。
• 建议：为 SFTP 创建专用系统用户，并限制其 Shell（如 /sbin/nologin 或 /usr/sbin/nologin），仅提供文件传输能力。

二 传输与会话限制

• 使用 internal-sftp 子系统：设置 Subsystem sftp internal-sftp，更易于与 chroot、权限策略集成。
• 启用 Chroot 监禁：通过 Match Group sftpusers 指定 ChrootDirectory %h，将用户限制在其主目录；注意被监禁目录必须由 root:root 拥有且权限为 755。
• 禁止隧道与图形转发：设置 AllowTcpForwarding no、X11Forwarding no，减少滥用风险。
• 强制仅 SFTP：在 Match 块中使用 ForceCommand internal-sftp，阻止开启交互式 shell。

三 网络与访问控制

• 防火墙仅放行 SSH 端口 22：使用 firewall-cmd --permanent --add-service=ssh & & firewall-cmd --reload；如有多租户或暴露面，可改为非默认端口并限制来源 IP。
• 入侵防护：部署 fail2ban 对多次失败登录进行封禁，缓解暴力破解。
• 日志与审计：持续监控 /var/log/secure，关注异常登录、频繁失败、权限变更等事件。

四 文件系统与权限

• 目录所有权与权限：被 chroot 的 家目录 root:root 755；为用户创建可写子目录（如 uploads）并赋权 sftpuser:sftpusers 755/775，满足上传需求同时避免越权。
• 精细化授权：如需更细粒度控制，使用 ACL（如 setfacl）为用户在特定目录授予读写执行权限。
• 系统加固：为关键文件设置不可变属性（如 chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow），降低被篡改风险。

五 运维与合规

• 持续更新：定期执行 yum update，及时修补 OpenSSH 与系统漏洞。
• 强密码策略：在 /etc/login.defs 中设置如 PASS_MIN_LEN 10，并推动用户使用复杂口令或密钥登录。
• 备份与演练：定期备份 用户数据 与 sshd_config，并在变更后使用 sftp sftpuser@your_server_ip 进行连接验证，确保策略生效且未锁死。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！