温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

Ubuntu SFTP如何防范安全风险

小樊
44
2025-12-13 03:42:22
栏目: 智能运维

Ubuntu SFTP 安全防范清单

一 基础加固

  • 安装并保持 OpenSSH 服务器为最新版本,及时修补漏洞。
  • 使用 SFTP 专用用户组(如 sftpusers)进行账号隔离,便于统一策略管理。
  • /etc/ssh/sshd_config 中启用 internal-sftp 子系统,并强制仅使用 SFTP:
    • Subsystem sftp internal-sftp
    • Match Group sftpusers
      • ChrootDirectory /home/%u
      • ForceCommand internal-sftp
      • AllowTcpForwarding no
      • X11Forwarding no
  • 目录权限必须满足 Chroot 要求:Chroot 目录及其上级目录必须由 root:root 拥有,且不可被组或其他用户写入(常用权限为 755)。如需可写,请在 Chroot 下为业务再建子目录并赋权给相应用户。
  • 重启服务生效:sudo systemctl restart ssh
  • 不建议启用 root 的 SFTP 登录;如确需启用,务必叠加 密钥登录、IP 白名单、强审计等强化措施。

二 身份与访问控制

  • 优先采用 SSH 密钥认证,并禁用密码登录:
    • PubkeyAuthentication yes
    • PasswordAuthentication no
  • 客户端生成密钥对(推荐 4096 位 RSA),将公钥写入相应用户的 ~/.ssh/authorized_keys,并设置权限:
    • chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
  • 通过 UFW 或云安全组仅放行 22/TCP,必要时仅允许受信任 IP 段访问:
    • ufw allow from <client_ip> to any port 22
  • 部署 Fail2ban 防暴力破解(示例):
    • [sshd] enabled = true;port = 22;logpath = /var/log/auth.log;maxretry = 5;bantime = 3600
  • 如需对管理员保留 SSH Shell 能力,使用 Match User 单独放行,避免与普通 SFTP 用户规则混用。

三 网络与运行环境

  • 禁用不必要的通道与功能:AllowTcpForwarding no、X11Forwarding no,减少攻击面。
  • 将 SFTP 根目录与业务数据分离,统一放在如 /sftp 下,按用户隔离:
    • 示例:ChrootDirectory /sftp/%u,并为每个用户创建可写子目录(如 upload)。
  • 在复杂环境(如 Ubuntu 24.04)可使用 systemd mount units 挂载 NFS/S3 等后端存储,再按用户授权访问,便于扩展与维护。
  • 保持系统与软件包 持续更新,并定期 审计日志 与访问行为。

四 快速配置示例

  • 初始化与用户
    • sudo apt update && sudo apt install -y openssh-server
    • sudo groupadd sftpusers
    • sudo useradd -m -g sftpusers -s /usr/sbin/nologin sftpuser
    • sudo passwd sftpuser(如仍保留密码,后续建议改为密钥登录)
  • 目录与权限
    • sudo mkdir -p /sftp/sftpuser/upload
    • sudo chown root:root /sftp /sftp/sftpuser
    • sudo chmod 755 /sftp /sftp/sftpuser
    • sudo chown sftpuser:sftpusers /sftp/sftpuser/upload
  • SSH 配置(/etc/ssh/sshd_config 末尾追加)
    • Subsystem sftp internal-sftp
    • Match Group sftpusers
      • ChrootDirectory /sftp/%u
      • ForceCommand internal-sftp
      • AllowTcpForwarding no
      • X11Forwarding no
  • 可选:仅密钥登录(谨慎操作,确保已有可用密钥再关闭密码)
    • PubkeyAuthentication yes
    • PasswordAuthentication no
  • 生效与验证
    • sudo systemctl restart ssh
    • sftp sftpuser@your_server_ip
  • 防火墙与防暴力
    • sudo ufw allow from <client_ip> to any port 22
    • 配置并启用 Fail2ban(见上文参数示例)

五 运维与审计

  • 变更前备份并校验配置:使用 /usr/sbin/sshd -T 检查语法与生效参数,避免因 Match 块位置不当导致服务异常。
  • 集中监控 /var/log/auth.log,关注失败登录、异常 IP、频繁连接等迹象。
  • 定期更新 OpenSSH 与系统组件,结合 Fail2ban 实施自动封禁,降低暴力破解风险。

0

最新问答

相关问答

相关标签

ubuntu云服务器 ubuntu18.04 ubuntu端口 Ubuntu14 ubuntu16.04 Ubuntu14.04 ubuntu20.04 ubuntu18 ubuntu20 ubuntu20.4 ubuntu16 ubuntu代理 ubuntu连接服务器 ubuntu中文输入法 ubuntu安装gcc ubuntu手机系统 ubuntu关机 ubuntu关闭防火墙 ubuntu安装jdk Ubuntu免费云主机
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529