如何在Debian SFTP中配置文件传输模式

Debian SFTP 传输模式配置指南

一 概念澄清

• SFTP 基于 SSH，只使用 22 端口，默认即为加密传输，不存在“明文/被动/主动”这类 FTP 协议意义上的传输模式切换。
• 实际可配置的是“文件传输行为”和“访问限制”，例如：仅允许 SFTP、限制在特定目录（Chroot）、禁用端口转发、限制登录 Shell、选择内部/外部 SFTP 子系统等。

二 常用配置场景与示例

• 仅允许 SFTP 并限制在特定目录（推荐）

  • 思路：使用 internal-sftp + ChrootDirectory + ForceCommand internal-sftp，并为隔离根目录设置严格的属主与权限。
  • 示例（放到 /etc/ssh/sshd_config 末尾）：

    Subsystem sftp internal-sftp
    
    Match Group sftpusers
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
        PermitTunnel no
    

  • 目录与权限要点（以用户 alice 为例）：

    sudo groupadd sftpusers
    sudo useradd -m -G sftpusers alice
    sudo passwd alice
    
    # 隔离根目录必须为 root 拥有，权限 755
    sudo chown root:root /home/alice
    sudo chmod 755 /home/alice
    
    # 可写子目录（供上传/下载）
    sudo mkdir -p /home/alice/upload
    sudo chown alice:sftpusers /home/alice/upload
    sudo chmod 700 /home/alice/upload
    

  • 说明：使用 ChrootDirectory 时通常需配合 internal-sftp；否则可能出现登录即断开等问题。

• 允许 SFTP 且保留 SSH 登录（不 Chroot）

  • 思路：保留系统默认或显式启用外部 sftp-server 子系统，不对用户施加 ForceCommand internal-sftp 与 ChrootDirectory。
  • 示例：

    # 可选：显式启用外部子系统（多数系统默认已存在）
    Subsystem sftp /usr/lib/openssh/sftp-server
    

  • 如需对特定用户禁用 Shell 登录，可将其登录 Shell 设为 /usr/sbin/nologin 或 /bin/false，这样该用户只能 SFTP 而不能 SSH 交互。

三 应用与验证

• 语法检查与生效

  sudo sshd -t                 # 检查配置语法
  sudo systemctl restart ssh    # Debian 通常服务名为 ssh
  # 或在某些系统上：sudo systemctl restart sshd
  

• 客户端连接测试

  sftp alice@your_server_ip
  # 或交互式：sftp
  sftp> ls
  sftp> put localfile /upload/remotefile
  sftp> get /upload/remotefile localfile
  

• 防火墙放行（如使用 UFW）

  sudo ufw allow 22/tcp
  sudo ufw reload
  

  以上步骤可确保配置正确加载并可正常传输。

四 常见问题与排查

• Chroot 后无法登录
  • 原因：隔离根目录及其上级目录的属主/权限不符合要求（根目录需 root:root 755，可写目录放在子目录并交给相应用户）。修复权限后重试。
• 配置不生效或语法错误
  • 先执行 sshd -t 检查；确保 Match 段缩进正确且位于文件末尾；修改后重启 ssh/sshd 服务。
• 需要仅 SFTP 且禁止 SSH 交互
  • 结合 ForceCommand internal-sftp 与 ChrootDirectory，或将用户 Shell 设为 /usr/sbin/nologin；两者可叠加使用以更稳妥。