Debian系统SFTP配置要注意什么

在Debian系统配置SFTP时，需重点关注以下方面：

1. 用户与权限管理

   • 创建专用SFTP用户组（如sftpusers），并将用户添加到该组。
   • 设置用户家目录权限为755，且所有者为root，确保用户无法修改目录权限。
   • 在用户家目录下创建可上传的子目录（如uploads），并设置权限为755，所有者为用户组。

2. SSH配置优化

   • 修改/etc/ssh/sshd_config，启用internal-sftp子系统，禁用用户Shell登录（ForceCommand internal-sftp）。
   • 使用ChrootDirectory %h限制用户仅能访问其家目录，需确保该目录权限为root:root且权限为755。
   • 禁用AllowTcpForwarding和X11Forwarding以增强安全性。

3. 服务与防火墙设置

   • 重启SSH服务使配置生效：sudo systemctl restart ssh。
   • 若使用防火墙（如ufw），需开放SFTP默认端口（22）：sudo ufw allow 22/tcp。

4. 安全增强措施

   • 禁用密码认证，优先使用SSH密钥认证，提升安全性。
   • 定期查看/var/log/auth.log监控SFTP登录记录，排查异常。

关键命令参考：

• 安装OpenSSH：sudo apt install openssh-server
• 创建用户组/用户：sudo groupadd sftpusers、sudo useradd -m -G sftpusers username
• 设置目录权限：sudo chown root:root /home/username、sudo chmod 755 /home/username