SFTP在CentOS上如何安全使用

在CentOS上安全使用SFTP涉及多個步驟，包括安裝和配置OpenSSH服務、創建專用的SFTP用戶、設置目錄權限以及修改SSH配置文件。以下是詳細的步驟：

安裝和配置OpenSSH服務

1. 更新和安裝OpenSSH軟件包：

   sudo yum update
   sudo yum install openssh-server
   

2. 配置sshd_config文件：

   • 編輯 /etc/ssh/sshd_config 文件，確保以下配置已啟用：

     Subsystem sftp /usr/libexec/openssh/sftp-server
     Match Group sftp_users
       ChrootDirectory /home/%u
       ForceCommand internal-sftp
       AllowTcpForwarding no
       X11Forwarding no
       PasswordAuthentication yes
     

3. 禁用root用戶登錄：

   PermitRootLogin no
   

4. 重啟SSH服務：

   sudo systemctl restart sshd
   

創建SFTP用戶

1. 創建SFTP用戶組：

   sudo groupadd sftp_users
   

2. 創建SFTP用戶：

   sudo useradd -m -G sftp_users -s /sbin/nologin sftpuser
   sudo passwd sftpuser
   

3. 設置SFTP用戶目錄權限：

   • 更改用戶主目錄權限：

     sudo chown root:sftp_users /home/sftpuser
     sudo chmod 755 /home/sftpuser
     

   • 創建用戶可寫入的目錄：

     sudo mkdir /home/sftpuser/upload
     sudo chown sftpuser:sftp_users /home/sftpuser/upload
     sudo chmod 755 /home/sftpuser/upload
     

測試SFTP連接

1. 使用SFTP客戶端連接：
   • 使用SFTP客戶端（如FileZilla或WinSCP）以 sftp://sftpuser@your_server_ip/ 的格式連接到CentOS服務器。
   • 輸入SFTP用戶的用戶名和密碼進行身份驗證，并進行文件傳輸測試。

額外的安全措施

1. 禁用不必要的端口轉發：

   • 通過配置 AllowTcpForwarding no 和 X11Forwarding no，可以防止用戶通過SFTP進行端口轉發和X11圖形界面轉發，從而減少安全風險。

2. 日志記錄：

   • 可以通過配置rsyslog來記錄SFTP用戶的操作日志，以便進行審計和監控。

3. SELinux配置：

   • 如果使用SELinux，確保其配置不會阻止SFTP的正常運行?？梢酝ㄟ^臨時禁用SELinux進行測試：

     sudo setenforce 0
     

   • 或者修改 /etc/selinux/config 文件將SELinux設置為disabled，然后重啟系統。

通過以上步驟，您可以在CentOS系統上安全地配置和使用SFTP，確保文件傳輸的安全性和可靠性。