怎样设置Debian SFTP自动登录

Debian SFTP自动登录配置指南

一 核心思路

• 使用SSH密钥认证替代密码，实现本地到服务器的免密登录；SFTP基于SSH，因此密钥生效后即可无感登录。
• 在服务器侧开启公钥认证并调整目录权限，确保密钥被接受且安全。
• 如需脚本化/无人值守，可在本地使用SSH_ASKPASS或配置文件方式提供密钥口令（仅在受控环境下使用）。

二 快速配置步骤

• 本地生成密钥对（如尚未生成）
  • 命令：ssh-keygen -t rsa -b 4096
  • 建议：为私钥设置强口令（若追求完全无人值守，见第四节的SSH_ASKPASS方案）。
• 将公钥复制到服务器
  • 推荐：ssh-copy-id user@remote_host
  • 或手动将本地~/.ssh/id_rsa.pub追加到服务器对应用户的~/.ssh/authorized_keys。
• 服务器端开启公钥认证
  • 编辑：sudo nano /etc/ssh/sshd_config
  • 确保：PubkeyAuthentication yes、AuthorizedKeysFile .ssh/authorized_keys
  • 重启服务：sudo systemctl restart ssh
• 权限与属主（服务器端）
  • 建议：
    • ~/.ssh 权限 700，属主为该用户
    • ~/.ssh/authorized_keys 权限 600 或 644，属主为该用户
    • $HOME 目录权限 755
• 测试
  • 命令：sftp user@remote_host，应无需输入密码即可进入SFTP会话。

三 常见场景与加固

• 仅允许SFTP且限制在特定目录（Chroot）
  • 编辑：sudo nano /etc/ssh/sshd_config
  • 启用内部SFTP并限制用户：

    Subsystem sftp internal-sftp
    
    Match User www-data
        ChrootDirectory /sftp/www-data
        ForceCommand internal-sftp
        PermitTTY no
        X11Forwarding no
        AllowTcpForwarding no
    

  • 目录与权限要点：
    • Chroot根目录（如**/sftp/www-data**）必须属主root:root且权限755
    • 用户可写子目录（如**/sftp/www-data/website_files**）属主设为该用户
  • 重启：sudo systemctl restart ssh
  • 验证：sftp -P 22 www-data@localhost，应被限制在指定目录内。
• 使用密钥登录并禁用密码
  • 在/etc/ssh/sshd_config的相应Match段或全局设置：PasswordAuthentication no
  • 修改前务必确保密钥已可用，避免被锁。

四 脚本化与无人值守

• 本地非交互执行（配合密钥口令）
  • 方式一（临时）：SSH_ASKPASS=/path/to/askpass.sh ssh user@host sftp -b batch.txt
    • batch.txt为SFTP批处理命令；askpass.sh输出密钥口令到stdout。
  • 方式二（推荐）：使用ssh-agent缓存口令
    • eval $(ssh-agent)
    • ssh-add ~/.ssh/id_rsa（输入一次口令后，后续会话自动使用）
    • 之后直接执行脚本化SFTP命令即可无交互。
• 安全提示
  • 避免在命令行中明文写入口令；仅在可信主机与受控脚本中使用上述方法。
  • 若服务器启用仅密钥与Chroot，请确保备份密钥与目录权限，防止锁死账户。

五 故障排查

• 配置语法检查：sudo sshd -t
• 查看日志：sudo tail -f /var/log/auth.log
• 主机密钥确认：首次连接若不想交互，可在受控环境下临时使用-o StrictHostKeyChecking=no（不建议生产环境长期使用）。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！