Debian SFTP如何防止数据泄露

Debian SFTP防数据泄露的实用加固清单

一 基础与访问控制

• 保持系统与软件为最新：执行apt update && apt upgrade -y，及时修补漏洞。
• 仅允许必要访问：通过ufw allow OpenSSH或iptables仅放行22/TCP；对固定来源可限制来源 IP。
• 精细化登录控制：在**/etc/ssh/sshd_config中使用AllowUsers/DenyUsers限制可登录账户；禁用root**直登（PermitRootLogin no）。
• 防暴力破解：部署Fail2ban，启用对sshd的监控与自动封禁。
• 持续监测：重点查看**/var/log/auth.log**中的失败登录与异常行为。

二 认证与传输安全

• 优先使用SSH 密钥认证（推荐ed25519或4096-bit RSA），禁用密码登录（PasswordAuthentication no；PubkeyAuthentication yes）。
• 客户端生成密钥：ssh-keygen -t ed25519 或 ssh-keygen -t rsa -b 4096；将公钥写入服务端用户的**~/.ssh/authorized_keys**，并设置700/600权限。
• 禁用不安全协议与功能：关闭X11Forwarding、AllowTcpForwarding、PermitTunnel，仅保留 SFTP 通道。
• 可选：更改默认端口（Port 2222）以降低自动化扫描命中率，但需同步更新防火墙与客户端配置。

三 最小权限与目录隔离

• 使用internal-sftp并启用Chroot隔离：将 SFTP 用户限制在其专属目录，禁止 Shell 访问。
• 目录与权限要点：Chroot 根目录必须由root拥有且不可被普通用户写入；可写目录放在根下子目录中。
• 示例（集中式目录）：创建**/sftp为根目录，用户登录直接进入/uploads**并仅对该子目录可写。
• 示例（按用户家目录）：Chroot 到**%h**，在家目录下建立uploads供写入。

四 加固配置示例与验证

• 建议的**/etc/ssh/sshd_config**片段（放在文件末尾）：
  • Subsystem sftp internal-sftp
  • Match Group sftpusers
    • ChrootDirectory /sftp
    • ForceCommand internal-sftp -d /uploads
    • X11Forwarding no
    • AllowTcpForwarding no
    • PermitTunnel no
• 目录与权限示例：
  • sudo mkdir -p /sftp/uploads
  • sudo chown root:root /sftp && sudo chmod 755 /sftp
  • sudo chown sftpuser:sftpusers /sftp/uploads && sudo chmod 700 /sftp/uploads
• 使配置生效：sudo systemctl restart ssh（或 sshd）。
• 客户端验证：sftp -P 22 sftpuser@your_server_ip；登录后默认位于**/uploads**，可正常put/get。

五 运维与审计实践

• 持续加固：保持系统与安全组件更新；仅开启必要服务与端口；定期审计配置与日志。
• 入侵检测与加固：启用Fail2ban；在条件允许时启用AppArmor/SELinux对 SSH/SFTP 进程进行最小权限约束。
• 备份与恢复：对用户数据与配置进行定期备份，确保泄露或破坏时可快速恢复。