SFTP如何进行故障排查

SFTP故障排查清单

一 快速定位流程

• 服务与端口：确认 sshd 正在运行并监听 22/TCP，必要时重启服务。
  命令：sudo systemctl status sshd；sudo systemctl restart sshd
• 防火墙与云安全组：放行 22/TCP。
  命令：sudo firewall-cmd --list-all；sudo firewall-cmd --permanent --add-port=22/tcp && sudo firewall-cmd --reload
• 连通性：先 ping 再 telnet 服务器IP 22 验证端口可达。
• 配置校验：检查 /etc/ssh/sshd_config 中 SFTP 子系统配置是否正确。
  示例：Subsystem sftp /usr/libexec/openssh/sftp-server 或 Subsystem sftp internal-sftp
• 日志定位：实时查看认证与连接日志。
  命令：sudo tail -f /var/log/secure（RHEL/CentOS），或 /var/log/auth.log（Debian/Ubuntu）
• 客户端调试：使用 sftp -v 输出详细握手与认证过程，便于定位握手/算法/认证阶段问题。

二 常见症状与处理要点

• 连接超时：多由网络延迟、服务器负载高或防火墙拦截导致。优化网络、减轻负载、核对防火墙/云安全组规则。
• 拒绝连接/认证失败：核对用户名、密码/密钥；检查账户状态与密码有效期。
  命令：sudo chage -l 用户名
• 服务未响应：确认 sshd 运行与配置正确，必要时重启。
• 端口被占用/端口错误：确认 22/TCP 未被其他程序占用，或在 sshd_config 中修改端口并同步客户端。
• 加密算法不匹配：客户端与服务端支持的算法不一致，需在两端统一配置。
• 无法获取目录/列出失败：目录权限/属主错误，或 chroot 环境权限/上下文不当。
• “Connection reset by peer”：常见于 ChrootDirectory 及其上级目录属主/权限不符合要求。

三 权限与 Chroot 专项排查

• 基本权限：用户家目录与上传目录属主/权限应正确。
  示例：chown username:username /home/username；chmod 755 /home/username；chmod 775 /home/username/uploads
• Chroot 硬性规则（使用 internal-sftp 或 ChrootDirectory 时）：
  • ChrootDirectory 指定目录及其所有上级目录的属主必须为 root，且仅 root 可写，权限不超过 755。
  • 如需可写子目录，放在 Chroot 下再单独赋权给相应用户（例如 ~/uploads）。
• SELinux：若启用，检查并必要时调整策略或安全上下文。
  命令：sudo sestatus；必要时 sudo setsebool -P sftp_home_dir on；目录上下文可用 semanage fcontext/restorecon 修复。
• 修改后重启生效：sudo systemctl restart sshd

四 日志与网络诊断命令速查

• 服务状态：sudo systemctl status sshd
• 防火墙：sudo firewall-cmd --list-all；sudo firewall-cmd --permanent --add-port=22/tcp && sudo firewall-cmd --reload
• 监听端口：sudo ss -tnlp | grep :22 或 netstat -tnlp | grep :22
• 连通性：ping 服务器IP；telnet 服务器IP 22
• 实时日志：sudo tail -f /var/log/secure（RHEL/CentOS），/var/log/auth.log（Debian/Ubuntu）
• 资源监控：top、free -m、df -h（排查负载/内存/磁盘空间不足）
• 客户端调试：sftp -v user@host
• 连接数限制：sudo grep MaxStartups /etc/ssh/sshd_config（必要时调大并重启 sshd）

五 最小可用配置示例

• 系统用户与目录
  • sudo useradd -m -d /data/sftp/%u sftpuser
  • echo "sftpuser:YourStrongPass!" | sudo chpasswd
  • sudo chown root:root /data/sftp/sftpuser && sudo chmod 755 /data/sftp/sftpuser
  • sudo mkdir -p /data/sftp/sftpuser/uploads && sudo chown sftpuser:sftpuser /data/sftp/sftpuser/uploads && sudo chmod 775 /data/sftp/sftpuser/uploads
• /etc/ssh/sshd_config 片段（建议备份后再改）
  • Subsystem sftp internal-sftp
  • Match User sftpuser
    • ChrootDirectory /data/sftp/%u
    • ForceCommand internal-sftp
    • AllowTcpForwarding no
    • X11Forwarding no
• 生效与验证
  • sudo systemctl restart sshd
  • sftp -v sftpuser@服务器IP
  • 若仍失败，立即 tail -f /var/log/secure 查看具体报错并对照上节处理。