1. 认证失败
常见原因:用户密码错误;用户未被添加到sftp_users组(若采用组权限控制)。
解决方法:确认用户密码正确性(可通过passwd命令重置);检查用户所属组(groups 用户名),若未加入sftp_users组,使用sudo usermod -aG sftp_users 用户名添加。
2. 权限不足
常见原因:用户家目录或上传子目录权限设置不当(如家目录被其他用户可写,或上传目录所有者非用户自身)。
解决方法:家目录需设置为755权限且所有者为用户(sudo chown 用户名:用户名 /home/用户名; sudo chmod 755 /home/用户名);上传子目录(如/home/用户名/upload)需设置为775权限且所有者为用户(sudo mkdir -p /home/用户名/upload; sudo chown 用户名:用户名 /home/用户名/upload; sudo chmod 775 /home/用户名/upload)。
3. 配置文件路径错误
常见原因:sshd_config中Subsystem sftp指定的路径与系统中实际sftp-server路径不一致(如默认路径为/usr/lib/openssh/sftp-server,但实际可能为/usr/libexec/openssh/sftp-server)。
解决方法:使用find / -name sftp-server 2>/dev/null命令查找实际路径,修改sshd_config中的Subsystem行为正确路径。
4. SSH服务未运行或未重启
常见原因:修改sshd_config后未重启SSH服务,导致配置未生效;SSH服务因异常停止。
解决方法:重启SSH服务(sudo systemctl restart ssh);检查服务状态(sudo systemctl status ssh),若未运行则启动(sudo systemctl start ssh)。
5. 防火墙/SELinux/AppArmor限制
常见原因:防火墙阻止SFTP默认端口(22);SELinux(CentOS系)或AppArmor(Debian系)限制SFTP访问用户家目录。
解决方法:允许SFTP端口(sudo ufw allow 22/tcp);若启用SELinux,临时设置为宽松模式(sudo setenforce 0)测试,或调整策略(sudo semanage port -a -t ssh_port_t -p tcp 22);若启用AppArmor,检查日志(/var/log/syslog)定位限制规则,修改对应profile(sudo nano /etc/apparmor.d/usr.sbin.sshd)。
6. 加密算法不匹配
常见原因:客户端与服务器支持的加密算法无交集,导致连接握手失败。
解决方法:在sshd_config中明确指定兼容的加密算法(如Ciphers aes128-ctr,aes192-ctr,aes256-ctr),重启SSH服务。
7. 端口被占用
常见原因:其他服务(如FTP、Telnet)占用了SFTP默认端口(22)。
解决方法:检查端口占用情况(sudo netstat -tulnp | grep :22),终止占用进程(sudo kill -9 进程PID),或修改sshd_config中的Port值为其他端口(如2222),并更新防火墙规则。
8. Chroot目录配置错误
常见原因:sshd_config中ChrootDirectory设置不当(如指向非用户家目录,或目录权限为777)。
解决方法:ChrootDirectory需指向用户家目录(如%h);目录权限必须为755且所有者为root(sudo chown root:root /home/用户名; sudo chmod 755 /home/用户名)。