Linux 服务器配置 SFTP 完整指南与安全实践

创建目录并设置权限

sudo mkdir -p /sftp/uploads
sudo chown root:root /sftp
sudo chmod 755 /sftp
sudo chown sftpuser:sftpusers /sftp/uploads
sudo chmod 700 /sftp/uploads

注意：常见坑点包括 /sftp 被非 root 拥有导致登录失败 bad ownership or modes for chroot directory；忘记创建可写子目录导致无法上传文件；子目录权限错误等。

五、修改 SSH 配置

编辑 /etc/ssh/sshd_config：

sudo nano /etc/ssh/sshd_config

确保存在以下内容：

Subsystem sftp internal-sftp
PasswordAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes

在文件底部添加：

Match Group sftpusers
    ChrootDirectory /sftp
    ForceCommand internal-sftp -d /uploads
    AllowTcpForwarding no
    X11Forwarding no
    PermitTunnel no

配置说明

注意：没有 -d /uploads 会导致登录后看到空目录，需要手动 cd uploads。

六、重启 SSH 服务

sudo systemctl restart ssh # Ubuntu / Debian
sudo systemctl restart sshd # CentOS / RHEL

七、测试 SFTP

本地客户端命令：

sftp -P 22 sftpuser@your_server_ip

交互模式：

sftp> pwd
Remote working directory: /uploads
sftp> ls
sftp> put test.txt
sftp> get test.txt

注意：上传失败报 permission denied 时，大概率是子目录权限问题或 Chroot 根目录非 root 拥有。

八、安全强化

1. 使用 SSH 公钥认证

ssh-keygen -t ed25519
mkdir -p /home/sftpuser/.ssh
echo "你的公钥内容" | sudo tee /home/sftpuser/.ssh/authorized_keys
sudo chmod 700 /home/sftpuser/.ssh
sudo chmod 600 /home/sftpuser/.ssh/authorized_keys
sudo chown -R sftpuser:sftpusers /home/sftpuser/.ssh

禁用密码登录：

PasswordAuthentication no
PubkeyAuthentication yes

重启 SSH 服务。

2. 磁盘配额

sudo apt install quota
sudo edquota -u sftpuser

3. 日志与审计

sudo apt install auditd
sudo auditctl -w /sftp/uploads -p war -k sftp_watch

4. 系统和 OpenSSH 更新

sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades

5. 防火墙配置

# UFW (Ubuntu/Debian)
sudo ufw allow 22/tcp
sudo ufw enable

# FirewallD (CentOS/RHEL)
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

6. Fail2Ban 防暴力破解

sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

九、企业级拓展

多用户隔离示例

# 为每个用户创建独立目录
sudo mkdir -p /sftp/user1/uploads
sudo mkdir -p /sftp/user2/uploads
sudo chown user1:sftpusers /sftp/user1/uploads
sudo chown user2:sftpusers /sftp/user2/uploads

# 在 sshd_config 中为每个用户设置独立 Chroot
Match User user1
    ChrootDirectory /sftp/user1
    ForceCommand internal-sftp -d /uploads
Match User user2
    ChrootDirectory /sftp/user2
    ForceCommand internal-sftp -d /uploads

十、常见错误总结

十一、一键部署脚本

为了方便快速部署，这里提供一个自动化脚本：

#!/bin/bash
# SFTP 一键部署脚本
# 使用方法：sudo bash sftp_setup.sh <username> <password>
USERNAME=${1:-sftpuser}
PASSWORD=$2
SFTP_ROOT="/sftp"
UPLOAD_DIR="$SFTP_ROOT/uploads"

echo "=== SFTP 自动部署脚本 ==="

# 1. 安装 OpenSSH
echo "[1/7] 检查并安装 OpenSSH..."
if command -v apt &> /dev/null; then
    apt update && apt install -y openssh-server
    systemctl enable ssh && systemctl start ssh
elif command -v yum &> /dev/null; then
    yum install -y openssh-server
    systemctl enable sshd && systemctl start sshd
fi

# 2. 创建用户组和用户
echo "[2/7] 创建 SFTP 用户组和用户..."
groupadd -f sftpusers
if id "$USERNAME" &>/dev/null; then
    echo "用户 $USERNAME 已存在"
else
    useradd -g sftpusers -s /usr/sbin/nologin "$USERNAME"
    if [ -n "$PASSWORD" ]; then
        echo "$USERNAME:$PASSWORD" | chpasswd
    else
        echo "请为用户 $USERNAME 设置密码:"
        passwd "$USERNAME"
    fi
fi

# 3. 创建目录结构
echo "[3/7] 创建目录并设置权限..."
mkdir -p "$UPLOAD_DIR"
chown root:root "$SFTP_ROOT"
chmod 755 "$SFTP_ROOT"
chown "$USERNAME:sftpusers" "$UPLOAD_DIR"
chmod 700 "$UPLOAD_DIR"

# 4. 备份原配置
echo "[4/7] 备份 SSH 配置..."
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup.$(date +%Y%m%d_%H%M%S)

# 5. 修改 SSH 配置
echo "[5/7] 配置 SSH..."
if ! grep -q "Subsystem sftp internal-sftp" /etc/ssh/sshd_config; then
    echo "Subsystem sftp internal-sftp" >> /etc/ssh/sshd_config
fi
if ! grep -q "Match Group sftpusers" /etc/ssh/sshd_config; then
    cat >> /etc/ssh/sshd_config <<EOF
Match Group sftpusers
    ChrootDirectory $SFTP_ROOT
    ForceCommand internal-sftp -d /uploads
    AllowTcpForwarding no
    X11Forwarding no
    PermitTunnel no
EOF
fi

# 6. 验证配置
echo "[6/7] 验证 SSH 配置..."
if sshd -t; then
    echo "配置验证成功"
else
    echo "配置验证失败，请检查"
    exit 1
fi

# 7. 重启服务
echo "[7/7] 重启 SSH 服务..."
if systemctl restart ssh 2>/dev/null || systemctl restart sshd 2>/dev/null; then
    echo "SSH 服务重启成功"
else
    echo "SSH 服务重启失败"
    exit 1
fi

echo ""
echo "✅ SFTP 部署完成！"
echo "用户名：$USERNAME"
echo "登录命令：sftp $USERNAME@$(hostname -I | awk '{print $1}')"
echo "上传目录：/uploads"

使用方法：

# 保存脚本
sudo nano sftp_setup.sh
# 添加执行权限
sudo chmod +x sftp_setup.sh
# 运行脚本（自动设置密码）
sudo bash sftp_setup.sh sftpuser "your_password"
# 或运行后手动输入密码
sudo bash sftp_setup.sh sftpuser

十二、总结

• 安全传输：SFTP 基于 SSH，端口单一、全程加密
• 目录隔离：Chroot + ForceCommand 强制限制
• 上传目录：根目录必须 root 拥有，用户操作在子目录
• 权限坑点：切勿给 Chroot 根目录写权限，否则登录失败
• 企业管理：结合公钥认证、日志审计、磁盘配额，实现安全、可控文件传输
• 自动化部署：使用一键脚本快速配置，避免手动操作错误

📚 延伸阅读

• OpenSSH 官方手册
• Ubuntu Server Guide: SFTP Setup
• RHEL 9 System Administrator Guide – Secure File Transfer
• CIS Benchmark for Linux SSH