Linux SFTP如何安全配置

以下是Linux SFTP的安全配置要点：

1. 安装与基础配置

   • 确保OpenSSH版本≥4.8p1，安装后启动服务并设置为开机自启。
   • 创建专用SFTP用户组（如sftpusers），用户主目录权限设为755，且由root拥有。

2. 强化认证安全

   • 禁用密码登录：设置PasswordAuthentication no，仅允许SSH密钥认证，生成密钥对后通过authorized_keys配置公钥。
   • 限制用户权限：通过ChrootDirectory将用户限制在主目录，禁止执行其他命令（ForceCommand internal-sftp）。

3. 网络与访问控制

   • 防火墙限制：使用ufw或iptables仅允许特定IP访问SFTP端口（默认22），或配置为非标准端口。
   • 禁用不必要的功能：关闭AllowTcpForwarding、X11Forwarding等非必要服务。

4. 加密与安全策略

   • 使用强加密算法：在sshd_config中指定安全的密钥交换算法（如curve25519-sha256@libssh.org）。
   • 启用日志监控：记录SFTP登录及操作日志（/var/log/auth.log或/var/log/secure），定期分析异常。

5. 系统级安全增强

   • 定期更新补丁：保持SSH服务及系统软件最新，修复已知漏洞。
   • 配置SELinux/AppArmor：限制SFTP用户权限，防止越权访问。

关键配置示例（/etc/ssh/sshd_config片段）：

Subsystem sftp internal-sftp  
Match Group sftpusers  
    ChrootDirectory /home/%u  
    ForceCommand internal-sftp  
    X11Forwarding no  
    AllowTcpForwarding no  

配置后重启服务：systemctl restart sshd。