如何配置Debian SFTP加密传输

Debian SFTP加密传输配置指南

一 概念澄清与准备

• SFTP 是 SSH 文件传输协议，默认通过 SSH 的加密通道传输数据，无需额外“SSL证书”。若你希望“启用加密”，通常指：启用并加固 SSH/SFTP 服务、使用密钥登录、限制 SFTP 访问范围、以及可选地将主机密钥替换为由可信 CA 签发的证书（用于主机身份校验）。
• 准备：更新系统并安装 OpenSSH 服务器，确保防火墙放行 SSH 端口 22。
  • 安装：sudo apt update && sudo apt install openssh-server
  • 防火墙（UFW）：sudo ufw allow 22/tcp && sudo ufw reload
    上述安装与放行端口是后续所有配置的前提。

二 基础安全配置步骤

• 编辑 SSH 服务配置：sudo nano /etc/ssh/sshd_config，建议进行以下设置：
  • 仅启用 Protocol 2（现代安全协议）。
  • 启用公钥认证并指定公钥文件：
    • PubkeyAuthentication yes
    • AuthorizedKeysFile .ssh/authorized_keys
  • 可选：限制加密套件与密钥交换算法，提升安全基线：
    • Ciphers aes128-ctr,aes192-ctr,aes256-ctr
    • MACs hmac-sha2-256,hmac-sha2-512
    • KexAlgorithms diffie-hellman-group-exchange-sha256
• 为 SFTP 用户启用基于密钥的登录：将客户端公钥追加到对应用户的 ~/.ssh/authorized_keys，并确保权限正确（如 .ssh 目录权限为 700、authorized_keys 为 600）。
• 使配置生效：sudo systemctl restart sshd。
• 连接测试：sftp -o Port=22 username@your_server_ip，确认可正常登录且传输加密生效。
  以上步骤覆盖了启用 SFTP、开启公钥认证、可选加密套件收紧与连接验证。

三 加固与隔离 SFTP 用户

• 创建专用组与用户，仅允许 SFTP 且限制其访问范围：
  • 建组：sudo groupadd sftp_users
  • 建用户并加入组：sudo useradd -m -G sftp_users username
  • 设置密码：sudo chpasswd
• 配置 Chroot 监狱 与强制 internal-sftp（禁止 Shell 登录，仅允许 SFTP）：在 /etc/ssh/sshd_config 末尾添加

  Match Group sftp_users
      X11Forwarding no
      AllowTcpForwarding no
      ChrootDirectory %h
      ForceCommand internal-sftp
  

  说明：%h 表示用户家目录，用户将被限制在此目录内；internal-sftp 为内置 SFTP，更安全且便于 chroot。
• 目录与权限要点：
  • 家目录（如 /home/username）需由 root 拥有，权限通常为 755；
  • 可写子目录（如 /home/username/upload）由用户拥有，权限 755/775 视需求而定；
  • 若 chroot 失败，优先检查目录属主与权限是否满足“root 拥有、用户可写子目录”的约束。
• 使配置生效：sudo systemctl restart sshd。
  以上实现了 SFTP 的最小权限与访问隔离，适合对外提供文件收发服务。

四 主机密钥与证书说明

• 在 SFTP/SSH 中，用于服务器身份校验的是 SSH 主机密钥（如 /etc/ssh/ssh_host_rsa_key 等），而非网站用的 SSL/TLS 证书。若你希望客户端对服务器身份“更可信”，可使用 CA 签发的证书替换或补充主机密钥，但这属于“主机身份认证”的增强，传输加密本身仍由 SSH 提供。
• 若你实际想部署的是 FTPS（FTP over SSL） 而非 SFTP，请安装 vsftpd 并启用 SSL：
  • 安装：sudo apt update && sudo apt install vsftpd openssl
  • 生成证书：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem
  • 配置 vsftpd（/etc/vsftpd.conf）：
    • ssl_enable=YES
    • force_local_data_ssl=YES
    • force_local_logins_ssl=YES
    • rsa_cert_file=/etc/ssl/certs/vsftpd.pem
    • rsa_private_key_file=/etc/ssl/private/vsftpd.pem
  • 放行端口并重启：sudo ufw allow 21/tcp && sudo ufw allow 990/tcp && sudo systemctl restart vsftpd
    上述 FTPS 与 SFTP 是不同协议，端口与配置方式也不同，请按实际需求选择。