centos sftp用戶管理策略

CentOS SFTP用戶管理策略

一、用戶與組規劃

1. 創建專用SFTP用戶組
   為集中管理SFTP用戶，創建專用組（如sftp或sftpusers），避免與系統用戶或其他服務用戶混淆。
   命令示例：sudo groupadd sftp

2. 創建SFTP用戶并配置屬性

   • 創建用戶時指定專用組（-g參數），禁止其通過SSH登錄系統（-s /sbin/nologin參數），防止用戶獲得完整Shell權限。
   • 示例：sudo useradd -g sftp -s /sbin/nologin sftpuser1
   • 設置強密碼：sudo passwd sftpuser1（要求包含大小寫字母、數字和特殊字符，長度≥8位）。
   • 可選：創建用戶時直接指定家目錄（-d參數），如sudo useradd -g sftp -s /sbin/nologin -d /home/sftpuser1 sftpuser1。

二、目錄權限配置

1. 家目錄基礎權限
   SFTP用戶的家目錄必須歸屬root用戶和專用組（如sftp），權限設為755（drwxr-xr-x），確保用戶無法修改家目錄結構（如刪除或重命名目錄）。
   命令示例：

   sudo mkdir -p /home/sftpuser1
   sudo chown root:sftp /home/sftpuser1
   sudo chmod 755 /home/sftpuser1
   

2. 可寫子目錄設置
   若用戶需要上傳或修改文件，需在家目錄下創建專用子目錄（如upload），歸屬用戶自身（chown sftpuser1:sftp），權限設為755或775（drwxr-xr-x或drwxrwxr-x）。
   命令示例：

   sudo mkdir /home/sftpuser1/upload
   sudo chown sftpuser1:sftp /home/sftpuser1/upload
   sudo chmod 755 /home/sftpuser1/upload
   

三、SSH服務配置

1. 啟用SFTP子系統
   編輯/etc/ssh/sshd_config文件，確保Subsystem sftp internal-sftp未被注釋（默認啟用），使用OpenSSH內置的SFTP服務替代傳統sftp-server（更安全）。

2. 限制用戶訪問范圍
   使用Match指令針對SFTP用戶組或單個用戶設置限制，核心配置包括：

   • ChrootDirectory %h：將用戶限制在其家目錄（%h代表用戶家目錄），防止訪問系統其他目錄；
   • ForceCommand internal-sftp：強制用戶只能使用SFTP，禁止SSH登錄；
   • AllowTcpForwarding no/X11Forwarding no：禁用端口轉發和X11轉發，減少攻擊面。
     示例配置：

   Match Group sftp
       ChrootDirectory %h
       ForceCommand internal-sftp
       AllowTcpForwarding no
       X11Forwarding no
   

3. 重啟SSH服務
   修改配置后，重啟SSH服務使更改生效：sudo systemctl restart sshd。

四、安全策略強化

1. 禁用root登錄
   編輯/etc/ssh/sshd_config，設置PermitRootLogin no，禁止root用戶通過SSH登錄，降低系統被入侵的風險。修改后重啟SSH服務。

2. SELinux配置（若啟用）
   若系統SELinux處于Enforcing模式，需調整上下文以允許SFTP訪問：

   • 臨時設置（重啟失效）：sudo setenforce 0；
   • 永久設置：編輯/etc/selinux/config，將SELINUX=enforcing改為SELINUX=permissive；
   • 設置目錄上下文：sudo chcon -Rt ssh_home_t /home/sftpuser1（針對用戶家目錄）。

3. 防火墻開放端口
   確保防火墻允許SSH（默認端口22）流量通過：

   sudo firewall-cmd --permanent --add-service=ssh
   sudo firewall-cmd --reload
   

4. 定期更新系統
   使用sudo yum update命令定期更新系統和軟件包，修復已知安全漏洞，提升系統安全性。

五、認證方式選擇

1. 密碼認證（默認）
   在/etc/ssh/sshd_config中設置PasswordAuthentication yes，允許用戶通過用戶名和密碼登錄。需確保密碼強度足夠，定期更換密碼。

2. 公鑰認證（推薦）
   更安全的認證方式，步驟如下：

   • 客戶端生成密鑰對：ssh-keygen -t rsa -b 4096（默認保存在~/.ssh/id_rsa和~/.ssh/id_rsa.pub）；
   • 將公鑰復制到服務器：ssh-copy-id sftpuser1@your_server_ip（自動將公鑰添加到~/.ssh/authorized_keys）；
   • 服務器端配置：確保/etc/ssh/sshd_config中PubkeyAuthentication yes未被注釋。
     公鑰認證無需傳輸密碼，有效防止暴力破解。

3. 其他認證方式（可選）

   • LDAP認證：通過LDAP服務器集中管理用戶身份，適用于企業環境（需配置UsePAM yes和LDAP客戶端）；
   • Kerberos認證：適用于大型企業，依賴KDC（密鑰分發中心）實現強身份驗證（需安裝krb5-workstation等包并配置GSSAPIAuthentication yes）；
   • 證書認證：使用X.509數字證書，由CA（證書頒發機構）簽發，安全性極高（需配置SSLCertificateFile和SSLCertificateKeyFile）。