在CentOS上安全配置SFTP(SSH File Transfer Protocol)涉及多个步骤,以确保只有授权用户可以访问,并且传输的数据是加密的。以下是一个详细的指南:
首先,确保你的CentOS系统上安装了OpenSSH服务器。如果没有安装,可以使用以下命令进行安装:
sudo yum install openssh-server
编辑SSH配置文件 /etc/ssh/sshd_config:
sudo vi /etc/ssh/sshd_config
在文件中找到并修改以下配置项:
禁止root登录:
PermitRootLogin no
禁用密码登录(推荐使用密钥认证):
PasswordAuthentication no
启用公钥认证:
PubkeyAuthentication yes
限制SFTP用户访问:
Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
创建一个新的用户组来管理SFTP用户:
sudo groupadd sftpusers
创建一个新的用户并将其添加到 sftpusers 组:
sudo useradd -m -G sftpusers your_username
sudo passwd your_username
在提示输入密码时,设置一个强密码。
为了安全起见,你可以将SFTP用户的根目录限制在一个特定的目录中。编辑 /etc/ssh/sshd_config 文件,确保 ChrootDirectory 指向一个有效的目录,并且该目录的权限设置正确:
sudo chown root:root /home/your_username
sudo chmod 755 /home/your_username
确保用户的主目录存在并且权限正确:
sudo mkdir -p /home/your_username/uploads
sudo chown your_username:sftpusers /home/your_username/uploads
sudo chmod 755 /home/your_username/uploads
保存并退出配置文件后,重启SSH服务以应用更改:
sudo systemctl restart sshd
使用SFTP客户端连接到服务器,测试配置是否正确:
sftp your_username@your_server_ip
你应该能够成功连接,并且只能访问 /home/your_username/uploads 目录。
确保防火墙允许SSH连接:
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
定期更新系统和OpenSSH软件包,并监控SSH日志文件 /var/log/secure 以检测任何可疑活动。
通过以上步骤,你可以安全地配置CentOS上的SFTP服务,确保只有授权用户可以访问,并且传输的数据是加密的。