Linux SFTP常见问题解答

Linux SFTP常见问题解答

一 连接与登录

• 服务与端口：确认 OpenSSH 服务已运行（如 systemctl status sshd），以及 TCP 22 端口在监听并放行（firewalld/iptables/ufw 等）。无法连通时，先用 ping 与 telnet 或 nc 测试网络与端口可达性。
• 认证与配置：核对用户名/密码或密钥是否正确；检查 /etc/ssh/sshd_config 中关键项（如 Port、PasswordAuthentication、PermitRootLogin、Subsystem sftp 行未被注释或配置正确），修改后重启 sshd。
• 详细排错：客户端使用 sftp -v 获取调试输出；服务器端查看 /var/log/auth.log 或 /var/log/secure 定位失败原因。
• 常见报错速解：
  • “Permission denied (publickey,password)” 多为凭据错误、密钥权限不当或用户被限制；
  • “Received unexpected end of file from SFTP server” 常见于服务未启动、配置错误或权限问题；
  • “Connection reset by peer / Broken pipe” 常见于网络不稳、服务端进程异常或 chroot 目录权限错误。

二 权限与目录访问

• 本地与远程权限：目录需对 SFTP 会话的有效用户具备相应 读/写/执行 权限；必要时用 chmod/chown 修正。
• chroot 与所有权：使用 internal-sftp + ChrootDirectory 做目录隔离时，chroot 根目录及其上级必须由 root:root 拥有，权限通常为 755；可给用户创建可写子目录（如 uploads），并将其属主设为该用户。
• SELinux 场景：若启用 SELinux，目录的 安全上下文 可能限制访问；可用 semanage fcontext/restorecon 设置如 ssh_home_t 后再试。
• 目录列表为空或无法获取：除权限外，检查父目录权限链、磁盘空间（df）、文件系统状态（fsck）。

三 配置与性能

• 推荐的内置 SFTP：在 /etc/ssh/sshd_config 使用 Subsystem sftp internal-sftp，配合 Match User/Group 限制用户仅 SFTP 并做 chroot，更安全且易于维护。
• 禁用不必要转发：在受限 SFTP 场景建议设置 AllowTcpForwarding no、X11Forwarding no、AllowAgentForwarding no，减少攻击面。
• 登录慢的优化：若遇到 GSSAPI 导致的握手延迟，可在服务器端将 GSSAPIAuthentication no 后重启 sshd。
• 连接保活：长时传输或高延迟网络，客户端可加 -o ServerAliveInterval=30 减少空闲断开。

四 快速排查清单

• 服务端状态：systemctl status sshd；若改动配置，执行 systemctl restart sshd。
• 连通性：ping 服务器；telnet 或 nc 服务器IP 22 验证端口开放。
• 防火墙/安全组：放行 22/TCP（firewalld/iptables/ufw/云安全组）。
• 配置核对：Subsystem sftp 行正确；Port、PasswordAuthentication、PermitRootLogin 等按需求设置。
• 日志定位：tail -f /var/log/secure 或 /var/log/auth.log 观察认证与子系统报错。
• 客户端调试：sftp -v user@host 查看握手与认证细节。
• 资源与限制：检查 MaxStartups、系统负载、磁盘空间（df -h）、inode 使用（df -i）。

五 安全与最佳实践

• 最小权限：为 SFTP 用户设置专用账号，必要时 /sbin/nologin 或限制 shell；仅开放 SFTP 所需命令与目录。
• 强制 chroot：通过 Match Group sftpusers … ForceCommand internal-sftp 将用户锁定到其家目录或指定目录。
• 严格所有权：chroot 根目录 root:root 755；可写目录单独赋权给相应用户。
• 密钥优先：优先使用 SSH 密钥认证，禁用 PasswordAuthentication（如不需要），并妥善保护私钥。
• 加固转发与代理：在受限账号上关闭 TCP/agent/X11 转发，减少风险暴露面。