Debian SFTP配置有哪些关键点

Debian SFTP配置关键点

一基础安装与最小配置

二目录权限与 Chroot 正确姿势

Chroot 根目录（如 %h 或 /sftp/www-data）必须：
- 所有者为 root:root，权限 755（或更严格），否则 chroot 会失败。
可写目录与归属：
- 在 Chroot 下为业务创建可写子目录（如 /sftp/www-data/website_files），并将其属主设为相应用户（如 www-data:www-data），权限按需设置（如 755/775）。
用户 Shell 与家目录：
- 为仅 SFTP 的账号设置受限 Shell（如 /usr/sbin/nologin 或 /bin/false），必要时将家目录指向 Chroot 根。
快速示例（限制 www-data 到指定目录）：
- sudo mkdir -p /sftp/www-data/website_files
- sudo chown root:root /sftp/www-data && sudo chmod 755 /sftp/www-data
- sudo chown www-data:www-data /sftp/www-data/website_files
- sudo usermod -s /usr/sbin/nologin www-data
- 在 sshd_config 的 Match User www-data 中使用 ChrootDirectory /sftp/www-data 并 ForceCommand internal-sftp。以上权限与目录结构是 SFTP 稳定运行的前提。

三安全加固清单

身份与访问控制：
- 禁用 root 远程登录：PermitRootLogin no。
- 优先使用 SSH 密钥登录，必要时禁用密码：PasswordAuthentication no（确保密钥已部署）。
- 通过 AllowUsers/AllowGroups 精确放行所需账户/组。
会话与转发限制：
- 在 SFTP 专用 Match 块中固定：ForceCommand internal-sftp、X11Forwarding no、AllowTcpForwarding no、PermitTTY no。
网络与防护：
- 仅开放 22 端口（配合防火墙如 ufw/iptables），必要时限制来源网段。
- 部署 Fail2Ban 自动封禁暴力破解来源 IP。
系统与审计：
- 保持系统与 OpenSSH 更新；定期审计 /var/log/auth.log，监控异常登录与文件操作。以上措施能显著提升抗攻击能力与合规性。

四日志审计与故障排查

配置与语法：
- 变更前执行 sudo sshd -t 校验；变更后用 sudo systemctl status sshd 观察运行状态。
登录与权限问题定位：
- 实时查看认证日志：sudo tail -f /var/log/auth.log。
- 常见错误多与 Chroot 根目录“非 root 所有”或“权限过宽/过严”有关，按第二部分规范修正后重试。
可用性验证：
- 使用 sftp 用户名@IP 测试上传/下载；在 SFTP 会话中尝试 cd … 验证是否被限制在 Chroot 内。以上流程可快速定位大多数配置与权限问题。

五性能与可观测性优化

使用 internal-sftp 并关闭不必要的转发功能，降低开销与攻击面。
可选：在 Subsystem 行启用日志增强（便于审计）：
- Subsystem sftp internal-sftp -l VERBOSE -f AUTHPRIV（日志通常写入 /var/log/auth.log）。
传输与网络：
- 大文件/弱网场景可用支持断点续传与多线程的工具（如 lftp/rsync）提升体验。
系统层面（按需）：
- 调整文件描述符限制（limits.conf）、启用 TCP BBR（内核 ≥ 4.9）、优化磁盘 I/O 调度器等。以上做法在保障安全性的同时改善吞吐与稳定性。

最新问答