如何通过SFTP进行文件共享

SFTP文件共享实操指南

一 核心概念与适用场景

• SFTP（SSH File Transfer Protocol）通过SSH加密通道进行文件传输，适合在不可信网络中安全地共享与交换文件。
• 常见场景包括：服务器与本地之间的上传/下载、对外部合作方提供受限目录访问、跨平台（Linux/macOS/Windows）文件分发等。
• 优势在于：传输加密、基于系统账号与权限体系、客户端生态成熟（命令行与图形化均可）。

二 快速搭建 SFTP 服务器

• 安装与启动（Linux）
  • Ubuntu/Debian：
    • 安装：sudo apt update && sudo apt install openssh-server
    • 启用并启动：sudo systemctl enable --now ssh
  • CentOS/RHEL：
    • 安装：sudo yum install openssh-server
    • 启用并启动：sudo systemctl enable --now sshd
• 防火墙放行（以 firewalld 为例）
  • sudo firewall-cmd --permanent --add-service=ssh && sudo firewall-cmd --reload
• Windows 作为服务器
  • 可使用OpenSSH for Windows或第三方工具（如WinSCP）提供的 SFTP 服务组件。

三 安全配置与目录隔离

• 推荐仅启用internal-sftp并做chroot隔离，示例（在**/etc/ssh/sshd_config**末尾添加）：

  Subsystem sftp internal-sftp
  
  Match Group sftpusers
      ChrootDirectory %h
      ForceCommand internal-sftp
      AllowTcpForwarding no
      X11Forwarding no
  

• 创建 SFTP 用户与目录
  • 建组：sudo groupadd sftpusers
  • 建用户：sudo useradd -m -s /usr/sbin/nologin sftpuser
  • 设密码：sudo passwd sftpuser
  • 目录与权限（关键点：chroot 根目录必须由root拥有且权限为755）
    • sudo chown root:root /home/sftpuser
    • sudo chmod 755 /home/sftpuser
    • 可写目录：sudo mkdir /home/sftpuser/uploads && sudo chown sftpuser:sftpuser /home/sftpuser/uploads
• 使配置生效：sudo systemctl restart sshd
• 说明
  • 使用Match User亦可针对单用户配置；若需对外共享到指定目录，可将该目录作为用户的 chroot 根，并在其下为共享再建可写子目录。

四 客户端连接与常用操作

• 命令行连接
  • 连接：sftp sftpuser@your_server_ip
  • 常用命令：
    • 列目录：ls
    • 上传：put local-file [remote-file]
    • 下载：get remote-file [local-file]
    • 建目录：mkdir remote-directory
    • 删除：rm remote-file_or_directory
• 图形化客户端
  • FileZilla、WinSCP 等输入服务器地址、端口22、用户名与密码即可连接与传输。

五 安全与运维最佳实践

• 认证与账号
  • 优先使用SSH 公钥认证，禁用或限制密码登录；为 SFTP 创建专用账号，必要时禁用 shell 登录（如 /usr/sbin/nologin）。
• 权限与隔离
  • 严格设置目录属主与权限（chroot 根目录root:root 755，可写目录单独赋权给业务用户），避免越权访问。
• 网络与转发
  • 在 SFTP 专用场景下关闭AllowTcpForwarding与X11Forwarding，减少攻击面。
• 审计与维护
  • 保持系统与安全组件更新，开启必要的日志与监控，定期审计用户与权限配置。