介绍在 OpenWRT 路由器上部署 SFTP 服务以实现安全的远程文件传输。通过安装 OpenSSH SFTP 组件并配置内网穿透工具,用户可在公网环境下安全访问设备文件。内容涵盖服务安装、用户权限设置、隧道创建及固定地址配置,同时包含安全加固建议与常见故障排查指南,确保数据传输过程中的加密性与完整性。
在嵌入式网络设备如 OpenWRT 路由器上,安全地管理配置文件、日志或备份数据至关重要。SFTP(SSH File Transfer Protocol)基于 SSH 协议,提供了加密、认证和数据完整性保护,相比传统的 FTP 更加安全。然而,由于家庭网络通常处于 NAT 之后且没有公网 IP,直接访问内网设备较为困难。本文将介绍如何在 OpenWRT 上安装并配置 SFTP 服务,并结合内网穿透技术实现安全的远程文件传输。
在开始之前,请确保您已经能够通过 SSH 登录到 OpenWRT 设备。大多数 OpenWRT 固件默认开启了 SSH 服务,端口为 22。如果您尚未开启,可以在 LuCI 界面中进入'系统'->'启动项',启用 dropbear 服务。
使用终端工具(如 PuTTY、Terminal 或 Xshell)连接设备:
ssh root@<路由器局域网 IP>
输入密码后获得 root 权限,后续操作均在此环境下进行。
OpenWRT 使用 opkg 包管理器。虽然部分教程会同时安装 vsftpd,但针对 SFTP 协议,我们主要依赖 OpenSSH 提供的 sftp-server 组件。vsftpd 是用于传统 FTP 协议的,若仅需 SFTP 可省略以避免冗余。
首先更新本地包索引,确保获取最新版本的软件包信息:
opkg update
执行以下命令安装核心组件:
opkg install openssh-sftp-server
安装完成后,建议检查服务是否已正确部署:
which sftp-server
如果返回路径(如 /usr/libexec/sftp-server),则说明安装成功。
OpenWRT 的 init.d 脚本通常会自动处理 SSH 相关服务的启动,但为了确保稳定性,可以手动确认:
/etc/init.d/dropbear enable
为了安全起见,建议为 SFTP 传输创建专用的受限用户,而不是直接使用 root 账户。这可以防止误操作导致系统损坏。
adduser sftpuser
passwd sftpuser
修改 /etc/shells 文件,确保该用户只能访问指定目录。编辑 /etc/shells:
vi /etc/shells
添加或确认包含 /bin/sh 和 /bin/bash。
在 /etc/passwd 中,将用户的 shell 设置为 /sbin/nologin 或 /bin/false,但在 SFTP 场景下,通常需要保留 shell 以允许 SFTP 子系统运行,或者通过 ForceCommand internal-sftp 在 SSH 配置中限制。对于 OpenWRT 简化版,通常保持默认 shell 即可,但需配合 chroot 配置。
mkdir -p /mnt/sftp_data
chown sftpuser:sftpuser /mnt/sftp_data
chmod 755 /mnt/sftp_data
由于家庭宽带通常分配的是动态内网 IP,无法直接从公网访问。我们需要使用内网穿透工具来建立安全隧道。本文以 cpolar 为例演示原理,其他类似工具(如 FRP、Ngrok)逻辑相似。
通过 SSH 下载公钥并添加仓库源:
wget -O cpolar-public.key http://openwrt.cpolar.com/releases/public.key
opkg-key add cpolar-public.key
添加仓库源(根据架构自动识别):
echo "src/gz cpolar_packages http://openwrt.cpolar.com/releases/packages/$(. /etc/openwrt_release ; echo $DISTRIB_ARCH)" >> /etc/opkg/customfeeds.conf
更新并安装:
opkg update
opkg install cpolar luci-app-cpolar
点击创建后,系统将生成一个公网地址和端口号。
使用 FileZilla 或其他 SFTP 客户端:
sftp://<公网地址>连接成功后,您将看到远程文件系统结构,可以进行文件的上传和下载。
临时隧道地址可能会随时间变化或过期。为了长期稳定访问,建议配置固定公网地址。
暴露 SFTP 服务到公网存在安全风险,请务必采取以下措施:
~/.ssh/authorized_keys 中添加公钥,并在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no。/var/log/messages。/tmp 目录通常是只读的,建议挂载外部存储。通过上述步骤,您可以在 OpenWRT 设备上构建一个安全、稳定的远程文件传输通道。结合内网穿透技术与严格的安全配置,既能满足异地办公的数据同步需求,又能有效保障设备与数据的安全性。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online