如何通过SFTP在Linux间共享文件

通过SFTP（SSH File Transfer Protocol）在Linux系统之间共享文件是一种安全且高效的方法。以下是详细的步骤指南，帮助你设置和使用SFTP进行文件传输：

一、准备工作

1. 确保两台Linux服务器都已安装SSH服务器

   大多数Linux发行版默认已安装OpenSSH服务器。你可以通过以下命令检查是否已安装：

   sudo systemctl status sshd
   

   如果未安装，可以使用包管理器进行安装。例如，在基于Debian的系统（如Ubuntu）上：

   sudo apt update
   sudo apt install openssh-server
   

   在基于Red Hat的系统（如CentOS）上：

   sudo yum install openssh-server
   

2. 配置SSH服务器以允许SFTP

   默认情况下，OpenSSH服务器已经配置为允许SFTP连接。但你可以检查并编辑sshd_config文件以确保配置正确。

   sudo nano /etc/ssh/sshd_config
   

   确保以下行未被注释（删除行首的#）并且配置正确：

   Subsystem sftp /usr/lib/openssh/sftp-server
   

   或者，某些系统可能使用：

   Subsystem sftp internal-sftp
   

   保存并退出编辑器后，重启SSH服务以应用更改：

   sudo systemctl restart sshd
   

二、设置用户权限

1. 创建专用SFTP用户（可选但推荐）

   为了安全起见，建议为SFTP访问创建一个专用用户，而不是使用root用户。

   sudo adduser sftpuser
   

   按照提示设置密码和其他信息。

2. 限制SFTP用户的访问权限

   编辑sshd_config文件，添加或修改以下内容，以限制SFTP用户的根目录访问：

   Match User sftpuser
       ChrootDirectory /home/sftpuser
       ForceCommand internal-sftp
       AllowTcpForwarding no
       X11Forwarding no
   

   • ChrootDirectory：将用户的根目录限制在其主目录下，增强安全性。
   • ForceCommand internal-sftp：强制使用SFTP，禁止SSH shell访问。
   • AllowTcpForwarding no 和 X11Forwarding no：禁用TCP和X11转发，进一步限制功能。

   保存并退出编辑器后，重启SSH服务：

   sudo systemctl restart sshd
   

3. 设置目录权限

   确保ChrootDirectory指定的目录及其所有上级目录的权限设置正确，以防止用户逃逸chroot环境。

   sudo chown root:root /home/sftpuser
   sudo chmod 755 /home/sftpuser
   

   创建用户的数据目录，并设置适当的权限：

   sudo mkdir /home/sftpuser/uploads
   sudo chown sftpuser:sftpuser /home/sftpuser/uploads
   

三、从客户端连接到SFTP服务器

1. 使用SFTP客户端连接

   在客户端Linux机器上，打开终端并使用以下命令连接到SFTP服务器：

   sftp sftpuser@服务器IP地址
   

   例如：

   sftp sftpuser@192.168.1.100
   

   输入密码后，你将进入SFTP命令行界面。

2. 基本SFTP命令

   • ls：列出当前目录文件
   • cd 目录名：切换目录
   • get 远程文件路径 本地文件路径：下载文件
   • put 本地文件路径 远程文件路径：上传文件
   • mkdir 目录名：创建目录
   • rmdir 目录名：删除空目录
   • rm 文件名：删除文件
   • exit 或 bye：退出SFTP会话

   示例：

   • 上传本地文件到服务器：

     put /home/localuser/file.txt /home/sftpuser/uploads/
     

   • 从服务器下载文件到本地：

     get /home/sftpuser/uploads/file.txt /home/localuser/
     

四、使用图形化SFTP客户端（可选）

如果你更喜欢使用图形界面进行文件传输，可以使用以下流行的SFTP客户端：

1. FileZilla

   • 下载并安装FileZilla：FileZilla官网
   • 打开FileZilla，输入SFTP服务器的IP地址、端口号（默认22）、用户名和密码。
   • 连接成功后，你可以在本地和远程站点之间拖放文件进行传输。

2. WinSCP

   • 下载并安装WinSCP：WinSCP官网
   • 启动WinSCP，选择“新建站点”，输入连接信息（协议：SFTP，主机名：服务器IP，端口：22，用户名：sftpuser，密码）。
   • 连接后，可以使用图形界面进行文件管理。

五、增强安全性（可选）

1. 使用SSH密钥认证

   为了提高安全性，建议使用SSH密钥对进行身份验证，而不是密码。

   • 在客户端生成SSH密钥对（如果尚未生成）：

     ssh-keygen -t rsa -b 4096
     

     按提示操作，通常会生成~/.ssh/id_rsa（私钥）和~/.ssh/id_rsa.pub（公钥）。

   • 将公钥复制到SFTP服务器的授权密钥文件中：

     ssh-copy-id sftpuser@服务器IP地址
     

     输入密码后，公钥将被添加到~/.ssh/authorized_keys文件中。

   • 禁用密码登录（可选，但推荐）：

     编辑sshd_config文件，确保以下行存在且未被注释：

     PasswordAuthentication no
     

     保存并重启SSH服务：

     sudo systemctl restart sshd
     

2. 配置防火墙

   确保服务器的防火墙允许SSH（默认端口22）流量。

   • 对于ufw防火墙：

     sudo ufw allow 22
     sudo ufw enable
     

   • 对于firewalld：

     sudo firewall-cmd --permanent --add-service=ssh
     sudo firewall-cmd --reload
     

3. 使用VPN或SSH隧道

   如果需要在公共网络中安全地传输文件，可以考虑使用VPN或SSH隧道来加密流量。

六、故障排除

• 连接被拒绝

  • 确保SSH服务正在运行：

    sudo systemctl status sshd
    

  • 检查服务器防火墙设置，确保端口22开放。

  • 确认用户名和IP地址正确。

• 权限问题

  • 确保SFTP用户的ChrootDirectory及其上级目录的权限设置正确。

  • 确保用户对目标上传/下载目录具有适当的读写权限。

• 密钥认证失败

  • 确认公钥已正确添加到服务器的~/.ssh/authorized_keys文件中。

  • 检查文件权限：

    chmod 600 ~/.ssh/authorized_keys
    chmod 700 ~/.ssh
    

通过以上步骤，你应该能够顺利地在Linux系统之间使用SFTP共享文件。如果在过程中遇到问题，请检查相关日志文件（如/var/log/auth.log）以获取更多调试信息。