SFTP配置CentOS失败怎么办 - 问答

CentOS 上 SFTP 配置失败的定位与修复

一、快速自检清单

确认 SSH 服务已运行并开机自启：systemctl status sshd、systemctl enable --now sshd。
检查 防火墙放行 22/TCP：firewall-cmd --permanent --add-port=22/tcp && firewall-cmd --reload。
核对 sshd_config 关键项：使用 Subsystem sftp internal-sftp；如需限制用户，使用 Match User/Group ... ForceCommand internal-sftp，并确保该块位于文件末尾（或显式以 Match All 结束）。
修改配置后执行：systemctl restart sshd 并观察是否报错。
查看日志定位问题：journalctl -u sshd -xe 或 tail -n50 /var/log/secure。
以上步骤能覆盖大多数“服务未起、端口不通、配置语法错误”等基础问题。

二、常见报错与对应修复

报错示例：Write failed: Broken pipe / Connection reset by peer
原因多为 ChrootDirectory 权限不合规。修复要点：
1. Chroot 目录及其每一级父目录必须 root 拥有；2) 这些目录对“其他用户/组”不可写（权限通常 755）；3) 如需可写，给用户在 Chroot 内创建子目录并赋权（如 chown sftpuser:sftpuser /datas/www/sftpuser; chmod 755 /datas/www/sftpuser）。
报错示例：sshd 启动失败或 Match 块报错
常见为 Subsystem 行被错误地放在 Match 块内，或 Match 块未正确收尾。修复要点：将 Subsystem sftp internal-sftp 放在全局，所有 Match ... 块置于文件末尾，或显式以 Match All 结束；必要时调整顺序避免与全局指令冲突。
报错示例：Permission denied（publickey,password）
检查用户是否允许登录（如 /sbin/nologin 仅影响 SSH 登录，配合 ForceCommand internal-sftp 仍可 SFTP）；确认密码正确、用户属于正确组；若用密钥，确保 ~/.ssh/authorized_keys 权限为 600、目录 700，且公钥内容正确。
报错示例：Connection closed by
多由 SELinux 或目录上下文限制引起。可先临时 setenforce 0 验证；生产环境建议保留 SELinux 并启用布尔值：setsebool -P ssh_chroot_rw_homedirs on，或用 semanage fcontext/restorecon 修正目录上下文。
报错示例：SFTP 可用但上传/新建失败
根因仍是 Chroot 目录不可写。在 Chroot 内为用户创建可写子目录并赋权，保持根目录本身仅 root 可写。
以上修复要点与示例均来自实际配置经验与系统要求。

三、一个最小可用的 chroot 配置示例

创建用户与组：
groupadd sftp
useradd -g sftp -s /sbin/nologin sftpuser
passwd sftpuser
准备目录结构：
mkdir -p /datas/www/sftpuser
chown root:root /datas/www
chmod 755 /datas/www
chown sftpuser:sftp /datas/www/sftpuser
chmod 755 /datas/www/sftpuser

配置 /etc/ssh/sshd_config（全局段保持默认，末尾追加）：

Subsystem sftp internal-sftp

Match User sftpuser
    ChrootDirectory /datas/www
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

使配置生效并测试：
systemctl restart sshd
sftp sftpuser@your_server_ip
该示例满足“根目录 root 拥有且不可写、用户仅可在子目录写入”的硬性要求。

四、开启日志与进一步排查

提升日志级别便于排错：在全局或 Match 块内加入 LogLevel VERBOSE，重启 sshd，随后在 /var/log/secure 观察认证与会话细节（如 Accepted password、Starting session: forced-command 'internal-sftp'）。
单独记录 SFTP 日志（可选）：在 ForceCommand internal-sftp -l INFO -f local5 的同时，向 /etc/rsyslog.conf 添加 auth,authpriv.*,local5.* /var/log/sftp.log，并重启 rsyslog 与 sshd。
若仍异常，复核：端口连通性（telnet your_ip 22）、用户 shell（/etc/passwd）、PAM/SELinux 策略、以及 Match 块位置与语法。
上述方法能显著提升问题定位效率。

0 赞

0 踩