CentOS如何排查SFTP服务故障

CentOS SFTP故障排查清单

一 快速连通性检查

• 检查网络与端口：先确认服务器可达，再验证 SSH/SFTP 端口 22 是否开放。
  • ping your_server_ip
  • telnet your_server_ip 22 或 nc -vz your_server_ip 22
• 查看服务是否监听：ss -tnlp | grep :22
• 若端口不通，优先排查云安全组/本机防火墙/端口占用问题。

二 服务与配置检查

• 服务状态与自启：
  • systemctl status sshd
  • systemctl start sshd & & systemctl enable sshd
• 配置文件要点（/etc/ssh/sshd_config）：
  • 确认 SFTP 子系统已启用（二选一，建议优先 internal-sftp）：
    • Subsystem sftp internal-sftp
    • 或 Subsystem sftp /usr/libexec/openssh/sftp-server
  • 如使用 chroot 限制用户目录，典型配置片段：
    • Match User sftpuser ChrootDirectory /data/sftp/%u ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
  • 修改后检查语法并重启：sshd -t & & systemctl restart sshd
• 常见配置错误包括：Subsystem 被注释或路径错误、Match 块语法错误、权限/属主不符合要求。

三 认证与权限排查

• 认证方式：
  • 密码认证：确认用户名/密码正确，且账户未过期（chage -l 用户名）。
  • 密钥认证：确保客户端公钥已加入对应用户的 ~/.ssh/authorized_keys，权限为 700/600，属主正确。
• 目录与权限（特别是启用 chroot 时）：
  • ChrootDirectory 指定的目录及其上级目录必须属主为 root，权限不超过 755；用户可写目录应放在该根目录下的子目录中（如上传目录）。
• SELinux 与 AppArmor：
  • 查看状态：sestatus、apparmor_status
  • 如受限，可临时 setenforce 0 验证，再按需配置 SELinux 布尔值（如 sftp_home_dir）或策略。

四 防火墙与端口检查

• firewalld：
  • firewall-cmd --list-all 查看规则
  • firewall-cmd --permanent --add-service=ssh & & firewall-cmd --reload
  • 或开放端口：firewall-cmd --permanent --add-port=22/tcp & & firewall-cmd --reload
• 如使用 iptables：iptables -L -n | grep 22
• 端口占用与冲突：ss -tnlp | grep :22，必要时更换 SSH 端口并同步更新防火墙规则。

五 日志定位与常见错误

• 关键日志：
  • journalctl -u sshd -f（实时查看）
  • tail -f /var/log/secure（认证与 SFTP 事件）
  • 部分系统亦可能写入 /var/log/auth.log
• 高频错误与处理建议：
  • 连接超时：多为网络延迟/防火墙阻断/服务未启动；依次排查连通性、放行端口、服务状态。
  • Permission denied：检查用户名/密码或密钥、目录权限与属主、SELinux。
  • Connection reset by peer：常见于配置错误（如 Chroot 目录权限/属主不当）、子系统路径错误、算法不匹配。
  • 服务未响应：sshd 未运行或配置语法错误；sshd -t 检查并重载。
  • 端口被占用：更换 SSH 端口或释放占用进程后重启 sshd。
  • 加密算法不匹配：客户端与服务端支持的算法不一致；统一配置加密套件与密钥交换算法。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！