如何保障centos sftp配置安全

保障CentOS SFTP配置安全可从以下方面入手：

1. 禁用root登录：编辑/etc/ssh/sshd_config，添加Match User root并设置ForceCommand internal-sftp，禁止root用户通过SFTP登录。
2. 创建专用用户与组：新建SFTP用户组（如sftpusers），将用户加入该组，限制其仅能访问主目录。
3. 配置Chroot限制：通过ChrootDirectory将用户限制在主目录，配合ForceCommand internal-sftp禁止执行其他命令。
4. 启用公钥认证：禁用密码认证（PasswordAuthentication no），使用SSH密钥对验证，提升安全性。
5. 限制端口与转发：仅开放必要端口（默认22），禁用AllowTcpForwarding和X11Forwarding。
6. 设置目录权限：确保用户主目录属主为root，权限为755，上传目录权限根据需求设置（如775），并正确配置SELinux上下文。
7. 防火墙与日志：通过防火墙限制访问IP，开启详细日志记录（Subsystem sftp internal-sftp -l verbose），定期审计异常活动。
8. 系统更新与维护：定期更新OpenSSH等软件包，修补安全漏洞，必要时调整SELinux策略。

配置后需重启SSH服务（systemctl restart sshd）使更改生效。