Debian SFTP如何进行远程管理

Debian SFTP 远程管理实操指南

一 环境准备与安装

• 更新索引并安装 OpenSSH 服务器：
  • sudo apt update && sudo apt install -y openssh-server
• 启动并设为开机自启：
  • sudo systemctl start ssh
  • sudo systemctl enable ssh
• 说明：SFTP 是 SSH 的一部分，无需额外 FTP 服务即可使用。

二 快速启用 SFTP 与目录隔离

• 备份配置并编辑 /etc/ssh/sshd_config：
  • sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
  • sudo nano /etc/ssh/sshd_config
• 启用内部 SFTP 并限制用户组（推荐做法）：
  • 在文件末尾添加：

    Subsystem sftp internal-sftp
    
    Match Group sftpusers
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
    

• 创建 SFTP 专用组与用户：
  • sudo groupadd sftpusers
  • sudo adduser sftpuser
  • sudo usermod -aG sftpusers sftpuser
• 设置目录权限以满足 chroot 要求（关键）：
  • sudo chown root:root /home/sftpuser
  • sudo chmod 755 /home/sftpuser
  • 为用户创建可写目录：
    • sudo mkdir /home/sftpuser/uploads
    • sudo chown sftpuser:sftpusers /home/sftpuser/uploads
    • sudo chmod 755 /home/sftpuser/uploads
• 使配置生效：
  • sudo systemctl restart ssh
• 说明：使用 internal-sftp + ChrootDirectory %h 可将用户限制在其主目录；chroot 要求该目录及其上级目录属主为 root 且权限为 755，用户可写目录需单独设置属主。

三 登录与常用 SFTP 操作

• 命令行登录：
  • sftp sftpuser@your_server_ip
• 常用命令：
  • ls、cd、pwd
  • get remote_file local_file（下载）
  • put local_file remote_file（上传）
  • rm remote_file、rmdir remote_dir、mkdir remote_dir
  • exit/bye（退出）
• 图形客户端：如 FileZilla、WinSCP，选择协议 SFTP，填入主机、端口 22、用户名与密码/密钥即可。

四 进阶用法与权限分配

• 指定用户仅访问特定目录（示例：将 www-data 限制到 /sftp/www-data）
  • 创建目录与权限：
    • sudo mkdir -p /sftp/www-data/website_files
    • sudo chown root:root /sftp/www-data && sudo chmod 755 /sftp/www-data
    • sudo chown www-data:www-data /sftp/www-data/website_files && sudo chmod 755 /sftp/www-data/website_files
  • 禁止 Shell 登录并指定家目录（可选）：
    • sudo usermod -s /sbin/nologin www-data
    • sudo usermod -d /sftp/www-data www-data
  • 在 /etc/ssh/sshd_config 增加：

    Match User www-data
        ChrootDirectory /sftp/www-data
        ForceCommand internal-sftp
        PermitTTY no
        X11Forwarding no
        AllowTcpForwarding no
    

  • 重启服务：sudo systemctl restart ssh
• 说明：chroot 根目录必须属主 root:root 且权限 755；可写目录再授予目标用户属主。

五 安全加固与故障排查

• 安全加固
  • 禁用 root 远程登录：在 /etc/ssh/sshd_config 设置 PermitRootLogin no
  • 启用密钥认证（推荐）：
    • 本地生成密钥：ssh-keygen -t ed25519 或 -t rsa -b 4096
    • 上传公钥：ssh-copy-id user@host
    • 在服务器 ~/.ssh/authorized_keys 中配置公钥，必要时禁用密码：PasswordAuthentication no
  • 限制可登录用户：AllowUsers/AllowGroups
  • 防火墙放行 22/TCP（如使用 UFW：sudo ufw allow 22）
• 故障排查
  • 语法检查：sudo sshd -t
  • 查看日志：sudo tail -f /var/log/auth.log
  • 常见原因：chroot 目录或上级目录权限/属主不正确、SELinux/AppArmor 限制、端口被占用、密钥权限错误（600/644）。