Debian SFTP如何管理多个用户

Debian SFTP 多用户管理实操指南

一 架构与准备

• 使用 OpenSSH 服务器内置的 internal-sftp 提供 SFTP 服务，便于与 SSH 统一运维与安全策略管理。
• 建议为 SFTP 用户创建专用组（如 sftpusers），通过组策略集中控制访问与权限。
• 安装与基础检查：
  • 安装服务：sudo apt update && sudo apt install openssh-server
  • 确认 SSH 服务运行：sudo systemctl status ssh
  • 备份配置：sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

二 快速配置步骤

• 创建用户与组
  • 创建组：sudo groupadd sftpusers
  • 新建用户并加入组（示例用户 alice）：sudo adduser --disabled-password --gecos "" alice 或 sudo useradd -m -s /usr/sbin/nologin alice
  • 加入组：sudo usermod -aG sftpusers alice
• 配置 SSH 以启用 SFTP 并限制 SFTP 用户
  • 编辑 /etc/ssh/sshd_config，在文件末尾加入：

    Subsystem sftp internal-sftp
    
    Match Group sftpusers
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
        PasswordAuthentication yes   # 如需密钥登录可改为 no 并配置公钥
    

  • 说明：
    • ChrootDirectory %h 将用户根目录限制在其主目录；
    • ForceCommand internal-sftp 仅允许 SFTP，禁止 Shell 登录；
    • 禁用转发降低攻击面。
• 设置目录权限（关键）
  • 主目录必须归 root 且权限为 755，否则 Chroot 会失败：
    • sudo chown root:root /home/alice
    • sudo chmod 755 /home/alice
  • 为用户创建可写目录（如 upload）并赋权：
    • sudo mkdir -p /home/alice/upload
    • sudo chown alice:sftpusers /home/alice/upload
    • sudo chmod 755 /home/alice/upload
• 使配置生效
  • 检查语法：sudo sshd -t
  • 重启服务：sudo systemctl restart ssh
• 测试
  • 连接测试：sftp alice@your_server_ip
  • 验证限制：尝试 ssh alice@your_server_ip 应被拒绝或立即断开。

三 多用户与目录规划

• 推荐目录结构（隔离与易运维）：

  /srv/sftp/
    ├── alice/
    │   ├── incoming/   # 可写（上传）
    │   └── shared/     # 只读（由管理员统一放发）
    └── bob/
        ├── incoming/
        └── shared/
  

• 配置要点（以 alice 为例）：
  • 创建用户与组（同上），家目录设为 /srv/sftp/alice。
  • 权限：
    • sudo chown root:root /srv/sftp/alice
    • sudo chmod 755 /srv/sftp/alice
    • sudo mkdir -p /srv/sftp/alice/{incoming,shared}
    • sudo chown alice:sftpusers /srv/sftp/alice/incoming
    • sudo chmod 755 /srv/sftp/alice/incoming
    • 如需只读共享：sudo chown root:sftpusers /srv/sftp/alice/shared && sudo chmod 755 /srv/sftp/alice/shared
  • 如需跨用户共享，可在共享目录设置 ACL 或组写权限，并由管理员统一维护。
• 批量管理建议：
  • 使用 Ansible/脚本批量创建用户、目录与权限；
  • 将用户加入 sftpusers 组即可纳入统一 SFTP 策略；
  • 定期审计 /etc/passwd、/etc/group、/etc/ssh/sshd_config 与用户目录权限。

四 认证与运维要点

• 密码与密钥
  • 密码登录：确保 PasswordAuthentication yes（在 Match Group sftpusers 段或全局）。
  • 密钥登录（更安全）：
    • 在客户端生成密钥：ssh-keygen -t ed25519
    • 服务端创建目录与授权文件：
      • sudo mkdir -p /home/alice/.ssh
      • sudo chown alice:sftpusers /home/alice/.ssh && sudo chmod 700 /home/alice/.ssh
      • 将公钥写入：echo "ssh-ed25519 AAAAC3..." | sudo tee /home/alice/.ssh/authorized_keys
      • sudo chown alice:sftpusers /home/alice/.ssh/authorized_keys && sudo chmod 600 /home/alice/.ssh/authorized_keys
    • 在 sshd_config 中可设置 PasswordAuthentication no（在 Match Group sftpusers 段）以强制密钥登录。
• 日志与监控
  • 登录与 SFTP 会话日志位于 /var/log/auth.log，可用 sudo tail -f /var/log/auth.log 实时查看。
  • 建议结合 fail2ban 防止暴力破解。
• 常见问题排查
  • Chroot 失败：主目录及其上级目录必须归 root 且权限为 755；否则 internal-sftp 会拒绝登录。
  • 用户可写：不要把主目录可写给普通用户；应为其创建专用可写子目录。
  • 配置不生效：执行 sudo sshd -t 检查语法，确认修改的是 /etc/ssh/sshd_config 并已重启 ssh 服务。