SFTP配置在Debian上有哪些最佳实践

Debian 上 SFTP 配置的最佳实践

一 基础安全与安装

• 安装并保持 OpenSSH 为最新：sudo apt update && sudo apt install -y openssh-server；启用开机自启：sudo systemctl enable --now ssh。仅开放必要端口（默认 22/TCP），如使用防火墙仅放行 22。禁止 root 远程登录：在 /etc/ssh/sshd_config 设置 PermitRootLogin no。优先采用 SSH 密钥认证，必要时再启用密码；禁用空密码与弱口令策略。为失败登录启用 Fail2Ban 自动封禁，持续监控 /var/log/auth.log 的异常登录迹象。

二 用户与目录隔离

• 创建受限用户与组：sudo groupadd sftpusers；sudo useradd -g sftpusers -s /usr/sbin/nologin sftpuser（禁止获得 shell）。如需家目录隔离，可用 ChrootDirectory %h；更推荐集中式根目录（如 /sftp）以便统一管控。目录必须满足 OpenSSH 的 chroot 要求：chroot 根目录必须由 root 拥有且不可被非 root 写入；用户可写目录放在其下，例如 /sftp/uploads。示例权限：sudo chown root:root /sftp && sudo chmod 755 /sftp；sudo chown sftpuser:sftpusers /sftp/uploads && sudo chmod 700 /sftp/uploads。常见报错如 “bad ownership or modes for chroot directory” 或登录后无法上传，多由根目录属主/权限或缺少可写子目录导致。

三 SSH 服务端关键配置

• 使用内置 SFTP 并收紧能力：在 /etc/ssh/sshd_config 设置 Subsystem sftp internal-sftp。对 SFTP 用户使用 Match 块限制：建议禁用 AllowTcpForwarding、X11Forwarding、PermitTunnel，并强制仅 SFTP：ForceCommand internal-sftp。示例（集中式根目录）：Match Group sftpusers；ChrootDirectory /sftp；ForceCommand internal-sftp -d /uploads（登录直接进入 uploads）；AllowTcpForwarding no；X11Forwarding no；PermitTunnel no。如需按用户家目录隔离，可用 Match Group sftpusers；ChrootDirectory %h；ForceCommand internal-sftp。修改前先备份：sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak；变更后用 sudo systemctl restart ssh 生效，并先开新会话验证，避免锁死。

四 认证与访问控制

• 强化认证：启用 PubkeyAuthentication yes，在用户家目录（或集中目录下的可写子目录）部署 authorized_keys，并设置权限：.ssh 700、authorized_keys 600；完成后可关闭密码登录（PasswordAuthentication no）。细粒度访问控制：通过 AllowUsers/DenyUsers 限制可登录账户；结合防火墙仅允许受信 IP/网段 访问 22 端口。登录失败监控与自动封禁：部署 Fail2Ban 并针对 sshd 配置，持续关注 /var/log/auth.log 的失败尝试与封禁记录。

五 日志审计与运维

• 集中审计：开启并定期检查 /var/log/auth.log（journalctl -u ssh 亦可）以发现暴力破解与异常行为；对关键目录启用 auditd 文件监控，例如：sudo auditctl -w /sftp/uploads -p wa -k sftp_watch。容量与合规：为 SFTP 用户设置 磁盘配额（如 edquota）；保持系统与 OpenSSH 的及时更新与补丁；定期备份上传数据及配置。上线前使用 sftp sftpuser@your_server_ip 验证上传/下载与目录权限；变更配置务必先备份并保留可回滚方案。