SFTP配置中如何实现多用户管理

SFTP多用户管理的落地方案

一 架构选择与总体思路

• 使用 OpenSSH 的 internal-sftp 子系统，通过 Match Group/User 将用户限制在其专属目录，实现隔离与管控。
• 采用“root 拥有 chroot 根目录、用户仅对子目录可写”的权限模型，避免 chroot 失败与越权访问。
• 按需求选择两种常见形态：
  • 按用户完全隔离：每个用户一个 chroot 根目录，彼此不可见、不可互访（推荐用于对外厂商/项目隔离）。
  • 共享根目录下的多用户：所有用户 chroot 到同一根目录，但各自仅对自己的子目录可写（便于集中管理与共享空间）。

二 快速落地步骤 CentOS 7/8 为例

• 安装与准备
  • 安装 OpenSSH 服务：sudo yum install -y openssh-server
  • 创建 SFTP 组：sudo groupadd sftpusers
• 创建用户与目录（示例用户：alice、bob）
  • 建用户并加入组：sudo useradd -m -G sftpusers alice，sudo passwd alice（bob 同理）
  • 方案A 按用户隔离（推荐）
    • 设定 chroot 根为用户家目录：sudo usermod -d /home/alice alice
    • 权限：sudo chown root:root /home/alice && sudo chmod 755 /home/alice
    • 可写目录：sudo mkdir -p /home/alice/upload && sudo chown alice:sftpusers /home/alice/upload && sudo chmod 755 /home/alice/upload
  • 方案B 共享根目录
    • 创建共享根与用户子目录：sudo mkdir -p /data/sftp/{alice,bob}
    • 共享根与用户根必须 root 拥有且 755：sudo chown root:root /data/sftp /data/sftp/alice /data/sftp/bob && sudo chmod 755 /data/sftp /data/sftp/alice /data/sftp/bob
    • 用户可写目录：sudo mkdir -p /data/sftp/alice/in && sudo chown alice:sftpusers /data/sftp/alice/in && sudo chmod 775 /data/sftp/alice/in
• 配置 SSHD
  • 备份：sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
  • 启用 internal-sftp：Subsystem sftp internal-sftp
  • 方案A（按用户隔离，使用组策略）

    Match Group sftpusers
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
    

  • 方案B（共享根目录，按用户指定 chroot）

    Match User alice
        ChrootDirectory /data/sftp/alice
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
    Match User bob
        ChrootDirectory /data/sftp/bob
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
    

• 使配置生效与连通性测试
  • 重启服务：sudo systemctl restart sshd
  • 连接测试：sftp alice@your_server_ip，sftp bob@your_server_ip
  • 日志排查：/var/log/secure（登录失败、权限问题等）。

三 权限与常见故障要点

• chroot 目录规则
  • ChrootDirectory 指定的目录及其所有上级目录必须由 root:root 拥有，且权限不超过 755（不可对组/其他写），否则 internal-sftp 会拒绝登录或报错 “Connection closed by remote host”。这是最常见的问题来源。
• 可写目录设计
  • 在 chroot 根下为业务创建专用子目录（如 upload/in），将其属主设为相应用户、组设为 sftpusers，权限 755/775 视协作需求而定，即可满足“根不可写、业务可写”的模型。
• SELinux 环境
  • 若启用 SELinux，放行 chroot 家目录上下文：sudo setsebool -P sftp_home_dir on，必要时 sudo chcon -Rv 'system_u:object_r:sshd_home_t:s0' /home/alice（或对应共享目录）。
• 日志与审计
  • 关注 /var/log/secure 的 SSH/SFTP 认证与命令日志；如需更细粒度控制，可结合 PAM 白名单/黑名单等策略。

四 扩展与运维建议

• 认证方式
  • 密码登录便于快速交付；生产环境建议启用 公钥认证（禁用密码或仅对特定网段开放），提升安全性与自动化能力。
• 访问控制
  • 通过 防火墙 限制 22 端口来源；必要时为 SFTP 开独立端口并使用 Match 做更细粒度策略（端口、源地址、用户/组）。
• 运维与合规
  • 定期更新 OpenSSH；为账号设置 强密码策略 或轮换密钥；按项目/厂商划分目录与组，定期审计 /var/log/secure 与目录权限。
• 按用户细粒度策略
  • 不同用户/组可配置不同的 带宽/速率限制、磁盘配额、命令限制 等（借助 PAM、磁盘配额工具、第三方网关或编排系统），实现“同机多租户”的合规运营。