修改CentOS SFTP配置文件(/etc/ssh/sshd_config)的詳細步驟
1. 準備工作
2. 編輯SSH配置文件
使用文本編輯器(如vi/nano)打開/etc/ssh/sshd_config文件:
sudo vi /etc/ssh/sshd_config
或(若系統未安裝nano�����,可通過sudo yum install nano -y安裝):
sudo nano /etc/ssh/sshd_config
3. 關鍵配置修改(常見場景)
① 啟用/修改SFTP子系統
找到Subsystem sftp行(通常位于文件末尾)��,確保未被注釋(無#前綴)���。默認路徑為/usr/libexec/openssh/sftp-server���,也可替換為internal-sftp(更輕量�,無需額外進程):
Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
作用:定義SFTP服務的運行方式��,internal-sftp是OpenSSH內置模塊�,無需單獨安裝����。
② 限制用戶組使用SFTP(推薦)
通過Match塊限制特定用戶組(如sftpusers)的訪問權限��,增強安全性:
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
說明:
Match Group sftpusers:匹配 sftpusers組的用戶��;ChrootDirectory %h:將用戶根目錄鎖定為其家目錄(如/home/username)�;ForceCommand internal-sftp:禁止用戶執行shell命令�����,僅允許SFTP操作��。
③ 限制單個用戶使用SFTP
若需限制特定用戶(如ftpuser)���,可將Match塊改為Match User:
Match User ftpuser
ChrootDirectory /home/ftpuser
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
作用:僅允許ftpuser通過SFTP訪問其家目錄�。
④ 創建SFTP用戶組及用戶(可選)
若未創建sftpusers組����,需先創建組并添加用戶:
sudo groupadd sftpusers
sudo usermod -aG sftpusers username
sudo chown root:root /home/username
sudo chmod 755 /home/username
注意:用戶家目錄需屬root���,否則SFTP連接會報錯�����。
4. 保存并退出編輯器
- vi編輯器:按
Esc鍵�,輸入:wq(保存并退出)�;
- nano編輯器:按
Ctrl+O(保存)�����,Ctrl+X(退出)��。
5. 重啟SSH服務
修改配置后����,需重啟SSH服務使更改生效:
sudo systemctl restart sshd
驗證服務狀態(確保服務正常運行):
sudo systemctl status sshd
若顯示active (running)����,則表示服務已啟動���。
6. 測試SFTP連接
使用SFTP客戶端(如命令行工具)驗證配置是否生效:
sftp username@your_server_ip
預期結果:
- 若配置了
ChrootDirectory���,用戶登錄后將直接進入其家目錄(如/home/username)���;
- 嘗試執行
ls����、put�����、get等SFTP命令���,確認功能正常���;
- 若配置了
Match Group���,非sftpusers組用戶仍可通過SSH登錄(需調整配置禁用SSH shell訪問)����。
注意事項
- 權限問題:
ChrootDirectory指定的目錄(如家目錄)必須屬root�����,且權限為755����,否則SFTP連接會失?��?;
- 語法檢查:修改配置文件前�,可使用
sshd -T | grep sftp命令檢查SFTP配置語法是否正確����;
- 日志排查:若連接失敗���,查看SSH日志(
/var/log/secure)定位問題(如權限錯誤���、配置語法錯誤)����。
